gmx Account versendet Spam Mails - Seite 2

Seite 2 von 3 - Forum: Internet & Provider auf overclockers.at

URL: https://www.overclockers.at/internet-provider/gmx-account-versendet-spam-mails_246086/page_2 - zur Vollversion wechseln!

lass dir das Email als attachment schicken und poste noch mal den Header

bei meiner freundin war das leider jetzt auch ein paar mal. passwort ist geändert, gmx mail app verwendet sie nicht, outlook auch nicht, nur web-interface.

man kann absolut nix machen oder? unter "gesendet" ist kein einziges mail drin, aber die delivery failed nachrichten kommen trotzdem... grrrr

Die Notifications kommen vermutlich weil einfach eine Reply-To Adresse im Header (MIME) der Mail eingetragen ist die halt auf dich zeigt (weil wohin die Notifs gehen ist denen vermutlich egal).

Mails gingen auch an meinen Uni Account (kein Anhang):

[quote]Return-Path: <N.N@gmx.at>
Received: from lmtpproxyd (justin.univie.ac.at [131.130.3.111]) (authenticated user=postman bits=0) by luis.univie.ac.at (Cyrus v2.4.17-univie-6.5) with LMTPSA (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128 verify=YES); Sun, 08 May 2016 22:52:32 +0200
X-Sieve: CMU Sieve 2.4
Received: from roger.univie.ac.at (roger.univie.ac.at [131.130.3.102]) (authenticated user=postman bits=0) by justin.univie.ac.at (Cyrus v2.4.17-univie-6.5) with LMTPSA (version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128 verify=YES); Sun, 08 May 2016 22:52:32 +0200
Authentication-Results: roger.univie.ac.at; dmarc=none header.from=GMX.AT
Received-SPF: fail (roger.univie.ac.at: domain of gmx.at does not designate 80.82.112.242 as permitted sender) client-ip=80.82.112.242; envelope-from=N.N@gmx.at; helo=server.treefire.com;
Received: from marilyn-a.com ([80.82.112.242] helo=server.treefire.com) by roger.univie.ac.at with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256) (Exim 4.87) (envelope-from <N.N@gmx.at> id 1azVgj-0004k3-P7 for protected; Sun, 08 May 2016 22:52:32 +0200 Received: (qmail 31415 invoked from network); 8 May 2016 21:45:47 +0100
Received: from user-13-200-102-176.fobos.pl.ua (HELO rolxch.com) (176.102.200.13) by treefire.com with ESMTPSA (DHE-RSA-AES256-GCM-SHA384 encrypted, authenticated); 8 May 2016 21:45:47 +0100 From: Ultimus <N.N@GMX.AT>
To: Mail Empfänger
Subject: Fw: new message
Date: Sun, 8 May 2016 23:45:44 +0300 Message-ID: <00009edc4a9c$0e90e696$7f059857$@gmx.at>
MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_NextPart_000_0001_04495F2F.64039BEF"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: AdG2fH8EAcpyb9a8HahfU2XTGMEVcA==
Content-Language: en-us
X-Univie-DKIM-Check: header.i=@GMX.AT adsp:unknown result:none
X-DCC-Univie-Metrics: roger.univie.ac.at 32722; Body=0 Fuz1=0 Fuz2=3814766
X-Univie-expurgate: spam
X-Univie-Virus-Scan: scanned by ClamAV on roger.univie.ac.at X-Univie-Spam-Score: 18.2 X-Univie-Spam-Score-Int: 182
X-Univie-Spam-Level: ++++++++++++++++++
X-Univie-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on roger.univie.ac.at
X-Univie-Spam-Status: Yes, score=18.2, tests=FREEMAIL_FROM,GENERIC_IXHASH, HTML_MESSAGE,NIXSPAM_IXHASH,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_BRBL_RELAY, RCVD_IN_SBL_CSS,RCVD_IN_UCEPROT_L1,RCVD_IN_UCEPROT_L23,SPF_FAIL, TO_EQ_FM_DOM_SPF_FAIL,URIBL_PH_SURBL,ZIDDCC_FUZ2_HIGH,ZIDEXPURGATE,ZIDGREY
X-Univie-Spam-Languages:
X-Univie-Spam-Relay-Countries: GB UA
X-Univie-Spam-Report: Content analysis details: (18.2 points) * 0.0 URIBL_PH_SURBL Contains an URL listed in the PH SURBL blocklist * [URIs: finansist24.ru] * 2.0 NIXSPAM_IXHASH iXhash found @ ix.dnsbl.manitu.net * 1.2 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net * [Blocked - see <http://www.spamcop.net/bl.shtml?176.102.200.13>] * 2.0 GENERIC_IXHASH iXhash found @ generic.ixhash.net * 2.0 RCVD_IN_UCEPROT_L1 RBL: Received via a relay in UCE-Protect Lvl. 1 * [176.102.200.13 listed in dnsbl.uceprotect.net] * 0.5 RCVD_IN_UCEPROT_L23 RBL: Received via a relay in UCE-Protect Lvl. 2 * or 3 * 1.0 RCVD_IN_BRBL_RELAY RBL: received via a relay rated as poor by * Barracuda * [176.102.200.13 listed in b.barracudacentral.org] * 3.5 ZIDEXPURGATE eXpurgate thinks this mail is spam * 0.0 FREEMAIL_FROM Sender email is commonly abused enduser mail provider * (N.N[at]gmx.at) * 0.9 SPF_FAIL SPF: sender does not match SPF record (fail) * 0.0 HTML_MESSAGE BODY: HTML included in message * 3.6 RCVD_IN_SBL_CSS RBL: Received via a relay in Spamhaus SBL-CSS * [176.102.200.13 listed in zen.spamhaus.org] * 1.5 ZIDDCC_FUZ2_HIGH DCC fuz2 count reached threshold * 0.0 TO_EQ_FM_DOM_SPF_FAIL To domain == From domain and external SPF * failed * 0.0 ZIDGREY greylisting triggered
X-Univie-Spam-Flag: YES[/quote]

da sieht man leider schön wie sinnlos SPF records sind wenns dann eh erst recht wieder ignoriert werden
(nicht falsch verstehen, ich find spf records super aber wenn dann eh bei jedem trotz fail quasi durchgewunken wird )

SPF ist einfach ein kaputter Standard. Kann man niemandem verdenken, keinen Furz darauf zu geben.

warum, wär eine einfache möglichkeit genau sowas großflächig zu verhindern
klar es ist administrationsaufwand aber im normalfall setzt man das einmal und passt es vielleicht ein paar mal an wenns notwendig ist

ich hab in meiner alten firma SPF restriktiv gefahren und nur 1 oder 2x den fall das sich jemand seinen spf kaputtkonfiguriert hat und somit nichts angekommen ist

Es bricht Mailinglisten (bzw. erfordert ein aufwendiges Return-Path-Rewriting, um diese Warze zu korrigieren - und davon gibt es keine gewartete Standardimplementierung wie bspw. fuer DKIM) und ist somit fuer E-Mail unbrauchbar.

Wenn ich das jetzt richtig interpretiere, der erste Hop kommt aus der Ukraine und nicht von gmx.at. Also denke ich wurden da einfach Daten gestohlen und kein Login zu GMX.

Received: from user-13-200-102-176.fobos.pl.ua (HELO rolxch.com) (176.102.200.13) by treefire.com with ESMTPSA (DHE-RSA-AES256-GCM-SHA384 encrypted, authenticated); 8 May 2016 21:45:47 +0100

Zitat von COLOSSUS

Es bricht Mailinglisten (bzw. erfordert ein aufwendiges Return-Path-Rewriting, um diese Warze zu korrigieren - und davon gibt es keine gewartete Standardimplementierung wie bspw. fuer DKIM) und ist somit fuer E-Mail unbrauchbar.

Gut, die Mails werden nicht von meinem Account verschickt. Aber wieso gehen die an alle möglichen Leute, mit denen ich per E-mail kommunizierte und nicht random Menschen?!

weil da die chance höher ist dass sie der email "vertrauen" und sich infizieren ...

irgendwie müssen sie an die kontakte gekommen sein. das kann aber heutzutage jede 3te app sein die du geladen hast. oder es gab wirklich einen virus auf einem pc von dir, der das Adressbuch bzw. die email-empfänger ausgelesen hat.

Mein gmx.at-Account verschickt leider auch die gleichen E-mails. Ich hatte ein anderes Passwort bei gmx als sonst und hatte das passswort auch schon zweimal geändert.

ich zähl mal meine clients auf, vielleicht erkennen wir überschneidungen:
* native email app von android
* android aqua-mail, diese app habe ich in verdacht
* synology email server

Bei mir gmx app für android und chrome für android; am PC Opera und Firefox.

Ich hab diese Woche wieder Mails erhalten, aber das PW bereits zuvor geändert und dieses nicht für die gmx app für android aktualisiert, sodass dieses Programm keinen Zugriff auf meinen Account hatte.

Also kann mMn nur jemand meinen Account irgendwann ausgelesen haben und die Mails werden mit dem Stand dauernd verschickt. Nicht so leiwand.

overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025