Mail delivery subsystem - was passiert hier?

Hallo,
ich habe eine Bekannte in Moskau, mit der ich hin und wieder einige E-Mails austausche. Unmittelbar nach einer solchen über 1-3 Tage gehenden Korrespondenz erhalte ich innerhalb 24 Stunden bis zu 200 E-Mails mit ungefähr immer gleichem Inhalt, siehe unten:

_This is an informative message sent by compaq.harizma.lv.

The server was not able to deliver your email message

Subject: Реkлама для Вашего предприятия
Date: Wed, 28 Jan 2009 01:23:50 +0300

to the following addresses:

(compaq.harizma.lv: User quota exceeded)
(compaq.harizma.lv: User quota exceeded)

DETAILS:

Reporting-MTA: dns; compaq.harizma.lv
Arrival-Date: Wed, 28 Jan 2009 00:23:52 +0200

Original-Recipient: in**@netuniversity.lv
Final-Recipient: rfc822;in**@netuniversity.lv
Action: failed
Status: 4.2.2
Diagnostic-Code: SMTP; User quota exceeded

Original-Recipient: in**@netuniversity.lv
Final-Recipient: rfc822;ju****@netuniversity.lv
Action: failed
Status: 4.2.2
Diagnostic-Code: SMTP; User quota exceeded

WEITERS:

X-Spam-Status: No, hits=2.3 required=5.0
tests=DNSBL_SBL-XBL.SPAMHAUS.ORG: 4.00,BAYES_00: -1.665,TOTAL_SCORE: 2.335
X-Spam-Level: **
Received: from samlab ([77.123.220.180])
by compaq.harizma.lv
for in**@netuniversity.lv;
Wed, 28 Jan 2009 00:23:51 +0200
Date: Wed, 28 Jan 2009 01:23:50 +0300
From: Montoya
X-Priority: 3 (Normal)
Message-ID:
To: in**@netuniversity.lv
Subject: =?koi8-r?B?8sVrzMHNwSDEzNEg98HbxcfPINDSxcTQ0snR1MnR?=
MIME-Version: 1.0
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit_

**Wessen Computer ist hier gestört? Meiner oder der in Moskau? Was passiert hier? Was ich draus lesen kann ist, dass offensichtlich mails mit mir als Absender verschickt werden, obwohl ich sicher keine verschicke.

Nach 1-2 solchen Attacken ist wieder Ruhe bis zur nächsten Korrespondenz.**

Vielen Dank für Eure evtl. Hilfe
Grüße, Ira

_{–
[MOD] eMail Adressen anonymisiert (mvh)}

Hallo,

Zunächst:
@MOD: Könntest du die Mail-Adressen von Absender und Empfänger verfremden, damit die nicht von jedem Spambot abgegriffen werden können? Danke.

Subject: Реkлама для Вашего предприятия

Ist das Ein Betreff einer Mail von dir? Hast du diesen Betreff geschrieben?

Montoya
immitt@…

Ist das deine Absender-Adresse? Oder ist dir die Adresse unbekannt?

(compaq.harizma.lv: User quota
exceeded)
(compaq.harizma.lv: User quota
exceeded)

User quota exceeded bedeutet, dass das Postfach voll ist, d.h. der Benutzer hat allen Platz in seinem Postfach verbraucht und müsste erst Mails löschen oder abholen, damit wieder welche reinpassen.

Julija

Ist das deine Bekannte?

Wessen Computer ist hier gestört? Meiner oder der in
Moskau?

Das Postfach deiner Freundin in Moskau scheint zumindest insofern gestört zu sein, als dass es voll ist.

Was passiert hier?

Eine Mail konnte nicht zugestellt werden, weil das Postfach voll war.

Was ich draus lesen kann ist, dass
offensichtlich mails mit mir als Absender verschickt werden,
obwohl ich sicher keine verschicke.

Naja, du hast ihr ja Mails geschickt oder? Daher meine Frage ob der Betreff oben in der Mail von dir ist. Komisch ist nur, dass du soviele Meldungen bekommst. Normal wenn du eine Mail schickst die nicht zugestellt werden kann, dann kriegst du nur eine solche Nachricht. Irgendwas ist also zusätzlich komisch.

P.S:
Bitte verfremde die Mailadressen in den Auszügen immer etwas (also z.b. ein paar Buchstaben durch X-e ersetzen). Sonst steht deine Mail-Adressen im Artikel drin und kann von Spambots abgegriffen werden, was du sicher nicht willst.

Hallo,
danke für diese Aktion und den guten Rat am Ende der Nachricht an mich, werde dies beherzigen.

Zunächst:
@MOD: Könntest du die Mail-Adressen von Absender und Empfänger
verfremden, damit die nicht von jedem Spambot abgegriffen
werden können? Danke.

Subject: Реkлама для Вашего предприятия

Ist das Ein Betreff einer Mail von dir? Hast du diesen Betreff
geschrieben?

Nein, das ist nicht von mir.

Montoya
immitt@…

Ist das deine Absender-Adresse? Oder ist dir die Adresse
unbekannt?

Montoya ist mir unbekannt, immittxx ist eine alte, nicht mehr aktive Adresse von mir (Aliasadresse, sollte nicht mehr funktionieren, habe aber gerade ausprobiert … funktioniert noch. Dem muss ich noch nachgehen…)

(compaq.harizma.lv: User quota
exceeded)
(compaq.harizma.lv: User quota
exceeded)

User quota exceeded bedeutet, dass das Postfach voll ist, d.h.
der Benutzer hat allen Platz in seinem Postfach verbraucht und
müsste erst Mails löschen oder abholen, damit wieder welche
reinpassen.

Ich habe an die obigen Adressen nie was geschickt, die sind mir alle unbekannt.

Julija

Ist das deine Bekannte?

Nein! Ist mir unbekannt. Daten (Name, Adresse meiner Bekannten) kommen in dieser ganzen Meldung nicht vor.

Wessen Computer ist hier gestört? Meiner oder der in
Moskau?

Das Postfach deiner Freundin in Moskau scheint zumindest
insofern gestört zu sein, als dass es voll ist.

Nein, denn wenn ich ihr eine Nachricht schicke, erhält sie diese auch.

Was passiert hier?

Eine Mail konnte nicht zugestellt werden, weil das Postfach
voll war.

Ich habe an diesen Empfänger nie eine Mail geschickt.

Was ich draus lesen kann ist, dass
offensichtlich mails mit mir als Absender verschickt werden,
obwohl ich sicher keine verschicke.

Naja, du hast ihr ja Mails geschickt oder?

Ja, ihr schon, aber, wie gesagt, ihre Daten kommen bei diesen Meldungen gar nicht vor. Die erwähnten ca. 200 „Mail Delivery“ Meldungen beziehen sich jedes Mal auf andere Adressaten. Die hier gepostete ist nur ein Beispiel. Im Prinzip ist es immer dasselbe. Alles Adressen, Institutionen, die ich nicht kenne. Wird evtl. das Postfach meiner Bekannten ausspioniert? Aber, sie verwendet, wenn sie mir schreibt nicht diese alte Aliasadresse xximittyy, das habe ich überprüft. Sie adressiert ihre Nachrichten an mich über eine andere Mailadresse.

Danke für deine Mühe, hoffe, du kannst mit meinen Zusatzinformationen dieses Rätsel für mich klären bzw. mir erklären, was da läuft.

Liebe Grüße, Ira

Ich habe an die obigen Adressen nie was geschickt, die sind
mir alle unbekannt.

[…]

Nein! Ist mir unbekannt. Daten (Name, Adresse meiner
Bekannten) kommen in dieser ganzen Meldung nicht vor.

Wie kommst du dann auf die Idee, dass deine Bekannte in irgendeinem Zusammenhang zu dieser Spamflut stünde?

Danke für deine Mühe, hoffe, du kannst mit meinen
Zusatzinformationen dieses Rätsel für mich klären bzw. mir
erklären, was da läuft.

Da passiert nichts besonderes. Irgendjemand benutzt deine Adresse als Absender und versendet Spam. Das ist alltäglich, leider auch alltäglich ist, dass die Bounces (die Rückläufer) an die gefälschte Absenderadresse geschickt werden, statt ausschließlich an den einliefernden Server.

Natürlich ist mit viel Fantasie vorstellbar, dass die Spammer den PC deiner Bekannten gehackt haben und so an deine Mailadresse gekommen sind. Irgendwelche Indizien, und seien sie auch noch so schwach, die auf eine solche Verwicklung hindeuten, hast du aber nicht genannt.

Gruß

Achso… jetzt wird die Sache schon klarer.

Ja, ihr schon, aber, wie gesagt, ihre Daten kommen bei diesen
Meldungen gar nicht vor. Die erwähnten ca. 200 „Mail Delivery“
Meldungen beziehen sich jedes Mal auf andere Adressaten. Die
hier gepostete ist nur ein Beispiel.

Ich dachte zunächst, dass das immer die gleichen Adressen wären und dass das auch wirklich die deiner Freundin da drin ist. Wenn das aber immer andere Adressen sind, von denen du nie was gehört hast, dann ist die Sache eigentlich ziemlich klar:

Jemand versendet Spam und benutzt deine Adresse als Absender.

Wenn bei der Zustellung des Spams etwas schief geht (z.B. das Postfach des Empfängers ist voll) dann schickt der Mailserver einen Fehlerbericht an den Absender (also dich, da unter deiner Adresse der Spam versendet wird). Diese Fehlerberichte bekommst du deshalb.

Im Prinzip ist das, wie wenn jemand einen Werbe-Brief verschickt mit der klassischen Post, aber deinen Namen als Absender auf den Umschlag schreibt. Wenn der Brief nicht zugestellt werden konnte (z.b. Empfänger ist verzogen) dann würdest du auch diesen Rückläufer wieder bekommen, weil die Post ja nur deinen Absender sieht und nicht wissen kann, wer den Brief wirklich eingeworfen hat.

immittxx ist eine alte, nicht mehr aktive Adresse von mir
(Aliasadresse, sollte nicht mehr funktionieren, habe aber gerade
ausprobiert … funktioniert noch. Dem muss ich noch nachgehen…)

Wenn der Spammer nur diese alte Adresse von dir hat, dann kannst du das Problem vermutlich einfach dadurch beheben, dass du diese Mail-Adresse löscht. Denn dann bekommst du auch nicht mehr diese Fehlerberichte und das Problem ist für dich erledigt.

Etwas anderes kannst du aber kaum dagegen machen. Genausowenig wie du jemanden hindern kannst, dass er einen Brief mit einem Absender in den Briefkasten wirft, kannst du jemanden daran hindern, dass er Mails mit deiner Absender-Adresse veschickt.

Wird evtl. das Postfach meiner Bekannten ausspioniert? Aber,
sie verwendet, wenn sie mir schreibt nicht diese alte
Aliasadresse xximittyy, das habe ich überprüft. Sie adressiert
ihre Nachrichten an mich über eine andere Mailadresse.

Hast du ihr aber mal über diese alte Adresse was geschickt?
Prinzipiell muss der PC deiner Bekannten damit aber nichts zu tun haben und kann vollkommen in Ordnung sein. Einzig dass der Text der Mails offenbar in Russisch ist, legt mir den Verdacht nahe, dass deine Adresse auf einem russischen Computer abgegriffen wurde. Da käme dann z.B. ein Schadprogramm auf dem PC deiner Freundin in Frage, welches einfach alle Mail-Adressen aus ihrem Adressbuch (in dem wohl auch deine steht) kopiert hat. Aber wie gesagt: Das ist nur ein Verdacht, das muss nicht stimmen. Genausogut könnte deine Adresse auch auf einer russisch-sprachigen Webseite wie z.B. einem Forum abgegriffen worden sein.

Herzlichen Dank! Du hast mir das so erklärt, dass ich mich ziemlich auskenne und mir vorstellen kann, wie so etwas passiert. Ich habe jetzt meinem provider geschrieben und ihn gebeten, sich darum zu kümmern, warum es möglich ist, dass an eine nicht mehr existente Adresse geliefert wird - die Adresse (die als Absenderadresse benützt wird) ist nämlich schon längst gelöscht…
Also, nochmals danke für deine Mühe, mir das zu erklären.
Ira

Hallo Herrmann,

Wie kommst du dann auf die Idee, dass deine Bekannte in
irgendeinem Zusammenhang zu dieser Spamflut stünde?

Weil jedes Mal (und dies kommt höchstens 1 x pro Monat vor) nach einem E-Mail Kontakt mit dieser Bekannten dieses geschilderte Phänomen eintritt, die Betreffs in Russisch sind, die angeführten E-Mail Adressen, die ich - scheinbar - anschreibe meist hinten ein .ru (Russland) haben und ich aufgrund all dieser Punkte mit meinem einfachen Hausverstand hier einen Zusammenhang vermute.

Da passiert nichts besonderes. Irgendjemand benutzt deine
Adresse als Absender und versendet Spam. Das ist alltäglich,
leider auch alltäglich ist, dass die Bounces (die Rückläufer)
an die gefälschte Absenderadresse geschickt werden, statt
ausschließlich an den einliefernden Server.

Dieses „nichts besondere“ und die Erklärung dazu war genau das, worum ich gebeten hatte und was ich auch dankenswerterweise sehr freundlich erhalten habe.

Natürlich ist mit viel Fantasie vorstellbar, dass die Spammer
den PC deiner Bekannten gehackt haben und so an deine
Mailadresse gekommen sind. Irgendwelche Indizien, und seien
sie auch noch so schwach, die auf eine solche Verwicklung
hindeuten, hast du aber nicht genannt.

Vielleicht habe ich dies jetzt nachgeholt.

Gruß, Ira

Weil jedes Mal (und dies kommt höchstens 1 x pro Monat vor)
nach einem E-Mail Kontakt mit dieser Bekannten dieses
geschilderte Phänomen eintritt, die Betreffs in Russisch sind,
die angeführten E-Mail Adressen, die ich - scheinbar -
anschreibe meist hinten ein .ru (Russland) haben und ich
aufgrund all dieser Punkte mit meinem einfachen Hausverstand
hier einen Zusammenhang vermute.

Russland ist nun einmal der ‚Schurkenstaat‘, was Spam und Internetkriminalität angeht. Aussergewöhnlich wäre daher nur, wenn es tatsächlich einen klaren und statistisch belegbaren zeitlichen Zusammenhang zwischen Mailversand und dem Kontakt mit der Bekannten gäbe. Nach meiner Erfahrung aber sind solche Zusammenhänge meist nur gefühlt.

Etwas ähnliches ist mir aber auch schon untergekommen, und damals war die Ursache klar auszumachen: Ein Spediteur in Litauen hat eine Mail an eine bestimmte Person richten wollen, diese aber versehentlich an sämtliche Kontaktadressen im CC verschickt. Bei diversen Empfängern wurde die Mail nicht entgegengenommen, die Fehlermeldung hierüber aber nicht an den Absender, sondern an alle im CC genannten Empfänger verschickt. Was - wie man leicht erkennt - zu einem wunderschönen Endlos-Looping geführt hat.

Einen bayerischer Partner dieses Spediteurs hat das derart erregt, dass er eine bitterböse Beschwerdemail ebenfalls an alle CC-Empfänger geschickt hat. Und zusätzlich an alle Adressen aus seiner eigenen Kontaktdatenbank. Und auf diese Weise waren auf einen Schlag sämtliche Wettbewerber aus dem Baltikum, Russland… nahezu dem gesamten früheren Ostblock in den Besitz der Kundenlisten dieser beiden Unglücksraben gelangt.

Man kann sich leicht vorstellen, wie diese Kunden, darunter eine Kollegin von mir, in den Folgewochen unter dem Spam zu leiden hatten, der nun von diesen Wettbewerbern losgetreten wurde. Natürlich sind diese Listen sofort gehandelt worden und auch jetzt, Monate nach diesem Vorfall, machen sich die Folgen noch bemerkbar - nachweisbar aufgrund eines sehr speziellen Schreibfehlers in der ursprünglichen Kontaktliste.

Gruß

die Adresse
(die als Absenderadresse benützt wird) ist nämlich schon
längst gelöscht…

Stopp! Die scheinbare Absenderadresse, die du in der Mail siehst, ist nicht identisch mit der Adresse, von der die Mail tatsächlich gesendet wurde. Die tatsächlich benutzte Absenderadresse bekommt nur der entgegennehmende Server zu sehen und es lassen sich beide Adressen fälschen. Das ist nicht ganz leicht zu verstehen, Deconstructs Analogie mit dem Briefumschlag hapert insoweit:

Stell dir vor, du schreibst einen Brief mit deiner Absenderadresse auf dem Umschlag. Aber du bist ein bisschen geizig und hast nach dem letzten Umzug das vorgedruckte Briefpapier mit dem schönen Golddruck (und der alten Anschrift) nicht weggeworfen. Jetzt steht im Brief, im Briefkopf eine andere Adresse, als aussen auf dem Umschlag.

Der Brief wird nicht entgegengenommen, der Briefträger bringt ihn zurück zu dir. Aber unmittelbar bevor er ihn in deinen Briefkasten wirft, reisst er den Umschlag auf und wirft diesen weg. Genau das macht ein Mailserver! Wie kann es jetzt sein, dass die Retoure an deine neue Adresse gegangen ist, obwohl doch im Briefkopf nur deine alte Adresse zu sehen ist? Ganz klar, der Briefträger, der Mailserver hat sich nur an die Adresse auf dem Umschlag gehalten. Die Adresse im Briefkopf, die du jetzt siehst, hat ihn nicht interessiert.

Was dir da passiert ist, scheint verwirrend. Es ist aber durchaus logisch, wenn man weiss, wie Mailserver arbeiten. Und Spammer machen sich genau diese Schwächen des Mailsystems gezielt zu nutze.

Gruß

Vielen Dank für die weitere Analyse. Es ist tatsächlich verwirrend. Um es wirklich zu verstehen, müsste ich es mir fast aufzeichnen.
Es stellt sich mir ganz zuletzt nur noch die Frage: wer hat was davon und was hat er davon?
Herzlichst
Ira

Es stellt sich mir ganz zuletzt nur noch die Frage: wer hat
was davon und was hat er davon?

Naja, der Spam-Versender. Er kann seinen Spam unter einer realen eMail-Adresse verschicken, was es zum einen schwieriger macht den Spam als solchen zu identifizieren und zum anderen wird eine Spam-Mail sicher häufiger gelesen, wenn sie von lieschen.mü[email protected] kommt, als wenn sie von [email protected] stammt.
Im idealen Fall schickt dir der Spammer sogar Spam mit dem Absender eines Bekannten von dir. Das funktioniert dann sicherlich am besten, denn da vermuten die meisten Leute nicht, dass es sich um Spam handeln könnte.

Aha, klingt plausibel. Danke sehr!
lg, .