Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Adressbuch gekapert oder Bot an Bord?
19 views
Skip to first unread message
Frank Scheffski
Apr 28, 2013, 2:25:28 PM4/28/13
to
Hallo allerseits,
von jemandem, der mir bisher nur eine einzige Mail geschrieben hat
(Adresse wurde einem Brief entnommen, das Ganze war 2011), bekam ich
heute folgende Spam-Mail:
From - Sun Apr 28 18:53:40 2013
X-Account-Key: account4
X-UIDL: 1136471868.25631
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <ZZZZ...@freenet.de>
Received: from mailin56.aul.t-online.de ([172.20.27.5])
by ehead404.aul.t-online.de (Dovecot) with LMTP id
soHiI54yfVEOLQAA3WtLHw;
Sun, 28 Apr 2013 16:56:53 +0200
Received: from mout3.freenet.de ([195.4.92.93]) by
mailin56.aul.t-online.de
with esmtp id 1UWT1z-27c6N00; Sun, 28 Apr 2013 16:56:47 +0200
Received: from [195.4.92.141] (helo=mjail1.freenet.de)
by mout3.freenet.de with esmtpa (ID ZZZZ...@freenet.de) (port
25) (Exim 4.80.1 #3)
id 1UWSsV-00032Q-R3
for YYYYYY...@t-online.de; Sun, 28 Apr 2013 16:46:59 +0200
Received: from localhost ([::1]:56341 helo=mjail1.freenet.de)
by mjail1.freenet.de with esmtpa (ID ZZZZ...@freenet.de)
(Exim 4.80.1 #3)
id 1UWSsV-0008Bc-JR
for YYYYYY...@t-online.de; Sun, 28 Apr 2013 16:46:59 +0200
Received: from [195.4.92.17] (port=45308 helo=7.mx.freenet.de)
by mjail1.freenet.de with esmtpa (ID ZZZZ...@freenet.de)
(Exim 4.80.1 #3)
id 1UWSot-0006hq-UT
for YYYYYY...@t-online.de; Sun, 28 Apr 2013 16:43:15 +0200
Received: from 79.sub-174-233-197.myvzw.com ([174.233.197.79]:4297
helo=localhost)
by 7.mx.freenet.de with esmtpsa (ID ZZZZ...@freenet.de)
(TLSv1:DHE-RSA-AES256-SHA:256) (port 465) (Exim 4.80.1 #3)
id 1UWSos-0005Uv-Bw
for YYYYYY...@t-online.de; Sun, 28 Apr 2013 16:43:15 +0200
Date: Mon, 1 Apr 2013 14:40:40 +0100
From: ZZZZZZZZ ZZZZZZ <ZZZZ...@freenet.de>
To: <YYYYYY...@t-online.de>
Subject: FW:
Content-Type: text/plain;
Message-ID: <1UWSos-0...@7.mx.freenet.de>
X-TOI-SPAM: u;0;2013-04-28T14:56:53Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: d97b23c9-96be-4a3c-b89e-972dd238171c
X-Seen: false
X-ENVELOPE-TO: <YYYYYY...@t-online.de>
X-AntiVirus: checked (incoming) by Avira MailGuard (Version:
13.6.1.780; AVE:8.2.12.32; VDF:7.11.74.184
http://www.zaszlokeszites.com/........
Wurde hier nur sein Adressbuch gekapert, oder kam die Mail direkt von
seinem Rechner?
Leider bin ich des Headerlesens nicht ganz so m�chtig.
Vielen DANK im Voraus
Frank
von jemandem, der mir bisher nur eine einzige Mail geschrieben hat
(Adresse wurde einem Brief entnommen, das Ganze war 2011), bekam ich
heute folgende Spam-Mail:
From - Sun Apr 28 18:53:40 2013
X-Account-Key: account4
X-UIDL: 1136471868.25631
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <ZZZZ...@freenet.de>
Received: from mailin56.aul.t-online.de ([172.20.27.5])
by ehead404.aul.t-online.de (Dovecot) with LMTP id
soHiI54yfVEOLQAA3WtLHw;
Sun, 28 Apr 2013 16:56:53 +0200
Received: from mout3.freenet.de ([195.4.92.93]) by
mailin56.aul.t-online.de
with esmtp id 1UWT1z-27c6N00; Sun, 28 Apr 2013 16:56:47 +0200
Received: from [195.4.92.141] (helo=mjail1.freenet.de)
by mout3.freenet.de with esmtpa (ID ZZZZ...@freenet.de) (port
25) (Exim 4.80.1 #3)
id 1UWSsV-00032Q-R3
for YYYYYY...@t-online.de; Sun, 28 Apr 2013 16:46:59 +0200
Received: from localhost ([::1]:56341 helo=mjail1.freenet.de)
by mjail1.freenet.de with esmtpa (ID ZZZZ...@freenet.de)
(Exim 4.80.1 #3)
id 1UWSsV-0008Bc-JR
for YYYYYY...@t-online.de; Sun, 28 Apr 2013 16:46:59 +0200
Received: from [195.4.92.17] (port=45308 helo=7.mx.freenet.de)
by mjail1.freenet.de with esmtpa (ID ZZZZ...@freenet.de)
(Exim 4.80.1 #3)
id 1UWSot-0006hq-UT
for YYYYYY...@t-online.de; Sun, 28 Apr 2013 16:43:15 +0200
Received: from 79.sub-174-233-197.myvzw.com ([174.233.197.79]:4297
helo=localhost)
by 7.mx.freenet.de with esmtpsa (ID ZZZZ...@freenet.de)
(TLSv1:DHE-RSA-AES256-SHA:256) (port 465) (Exim 4.80.1 #3)
id 1UWSos-0005Uv-Bw
for YYYYYY...@t-online.de; Sun, 28 Apr 2013 16:43:15 +0200
Date: Mon, 1 Apr 2013 14:40:40 +0100
From: ZZZZZZZZ ZZZZZZ <ZZZZ...@freenet.de>
To: <YYYYYY...@t-online.de>
Subject: FW:
Content-Type: text/plain;
Message-ID: <1UWSos-0...@7.mx.freenet.de>
X-TOI-SPAM: u;0;2013-04-28T14:56:53Z
X-TOI-VIRUSSCAN: unchecked
X-TOI-MSGID: d97b23c9-96be-4a3c-b89e-972dd238171c
X-Seen: false
X-ENVELOPE-TO: <YYYYYY...@t-online.de>
X-AntiVirus: checked (incoming) by Avira MailGuard (Version:
13.6.1.780; AVE:8.2.12.32; VDF:7.11.74.184
http://www.zaszlokeszites.com/........
Wurde hier nur sein Adressbuch gekapert, oder kam die Mail direkt von
seinem Rechner?
Leider bin ich des Headerlesens nicht ganz so m�chtig.
Vielen DANK im Voraus
Frank
Karl-Josef Ziegler
Apr 28, 2013, 2:54:37 PM4/28/13
to
Am 28.04.2013 20:25, schrieb Frank Scheffski:
> Wurde hier nur sein Adressbuch gekapert, oder kam die Mail direkt von
> seinem Rechner?
> Leider bin ich des Headerlesens nicht ganz so m�chtig.
Ich w�rde sagen, die Mail kam von 174.233.197.79, das scheint ein
> Wurde hier nur sein Adressbuch gekapert, oder kam die Mail direkt von
> seinem Rechner?
> Leider bin ich des Headerlesens nicht ganz so m�chtig.
Mobilzugang (Verizon Wireless) zu sein. Es fragt sich, ob der Absender
einen US Provider benutzt.
Viele Gr��e,
- Karl-Josef
Achim Peters
Apr 28, 2013, 3:20:43 PM4/28/13
to
Am 28.04.2013 20:25, schrieb Frank Scheffski:
> von jemandem, der mir bisher nur eine einzige Mail geschrieben hat
> (Adresse wurde einem Brief entnommen, das Ganze war 2011), bekam ich
> heute folgende Spam-Mail:
>
> (Adresse wurde einem Brief entnommen, das Ganze war 2011), bekam ich
> heute folgende Spam-Mail:
>
> Received: from mailin56.aul.t-online.de ([172.20.27.5])
> by ehead404.aul.t-online.de (Dovecot) with LMTP id
> soHiI54yfVEOLQAA3WtLHw;
> Sun, 28 Apr 2013 16:56:53 +0200
> Received: from mout3.freenet.de ([195.4.92.93]) by
> mailin56.aul.t-online.de
> by ehead404.aul.t-online.de (Dovecot) with LMTP id
> soHiI54yfVEOLQAA3WtLHw;
> Sun, 28 Apr 2013 16:56:53 +0200
> Received: from mout3.freenet.de ([195.4.92.93]) by
> mailin56.aul.t-online.de
> Wurde hier nur sein Adressbuch gekapert, oder kam die Mail direkt von
> seinem Rechner?
Die Mail kam von einem Freenet-Account (195.4.92.93 gehï¿œrt freenet), das
> seinem Rechner?
muss aber nicht seiner gewesen sein.
Ob der Rest der Received-Zeilen incl. der einliefernden IP korrekt ist,
weiᅵ nur Freenet.
Bye
Achim
Andreas Kohlbach
Apr 28, 2013, 6:49:16 PM4/28/13
to
Karl-Josef Ziegler wrote on 28. April 2013:
>
> Am 28.04.2013 20:25, schrieb Frank Scheffski:
>
>> Wurde hier nur sein Adressbuch gekapert, oder kam die Mail direkt von
>> seinem Rechner?
>> Leider bin ich des Headerlesens nicht ganz so mächtig.
>
> Am 28.04.2013 20:25, schrieb Frank Scheffski:
>
>> Wurde hier nur sein Adressbuch gekapert, oder kam die Mail direkt von
>> seinem Rechner?
>
> Ich würde sagen, die Mail kam von 174.233.197.79, das scheint ein
> Mobilzugang (Verizon Wireless) zu sein. Es fragt sich, ob der Absender
> einen US Provider benutzt.
Vielleicht ein kompromittiertes Laptop, was bei einem Coffeeshop in den USA im
> einen US Provider benutzt.
Verizon Hotspot war.
--
Andreas
43. If I knew it wasn't going to work, I would have tested it sooner.
--Top 100 things you don't want the sysadmin to say
Frank Scheffski
Apr 29, 2013, 1:46:22 AM4/29/13
to
Andreas Kohlbach schrieb:
>Vielleicht ein kompromittiertes Laptop, was bei einem Coffeeshop in den USA im
>Verizon Hotspot war.
Ich habe den Absender �ber den Spam informiert und auch gleich mal
gefragt, ob er zu Hause, oder im Ami-Urlaub ist ;-)
Mal sehen, was er dazu sagt...
MfG
Frank
>Vielleicht ein kompromittiertes Laptop, was bei einem Coffeeshop in den USA im
>Verizon Hotspot war.
gefragt, ob er zu Hause, oder im Ami-Urlaub ist ;-)
Mal sehen, was er dazu sagt...
MfG
Frank
Michael Landenberger
Apr 29, 2013, 4:00:48 AM4/29/13
to
"Frank Scheffski" schrieb am 29.04.2013 um 07:46:22:
> Ich habe den Absender �ber den Spam informiert und auch gleich mal
> gefragt, ob er zu Hause, oder im Ami-Urlaub ist ;-)
>
> Mal sehen, was er dazu sagt...
Wenn er einen Freenet-Mailaccount hat, dann besteht eine gewisse
> Ich habe den Absender �ber den Spam informiert und auch gleich mal
> gefragt, ob er zu Hause, oder im Ami-Urlaub ist ;-)
>
> Mal sehen, was er dazu sagt...
Wahrscheinlichkeit, dass seine Zugangsdaten f�r diesen Account geklaut und der
Account zum Spamversand missbraucht wurde. Selbstverst�ndlich hat der Spammer
dann auch kein Problem damit, s�mtliche bei Freenet gespeicherten Mails nach
Mailadressen zu durchforsten.
Gru�
Michael
0 new messages