Seltsam

Hallo zusammen,

seit ein paar Tagen werde ich in einem meiner E-Mail-Konten mit „Mailer-Daemon“-Mails bombardiert, dass von mir angeblich geschriebene E-Mails nicht hätten zugestellt werden können. Diese E-Mails habe ich nicht geschrieben und die angegebenen Empfänger sind mir gänzlich unbekannt. Dieser Teil ist ja noch einigermassen verständlich, weil es gibt ja so selbstverschickende Viren, die sich aus den Adresslisten bedienen.

Aber jetzt wirds wirklich seltsam… ich besitze eine HP, und dazu eine E-Mail-Adresse. Diese Daemon-Mails werden mir jedoch an eine andere, meine private E-mail-Adresse geschickt, und als Absender wird angegeben, dass ich mit meiner HP-E-Mail-Adresse diese angeblichen Mails geschrieben hätte. Als Absender wird jedoch bei jeder Daemon-Mail die Adresse ein wenig verschieden angeben, also z.B. [email protected], beim nächsten Mail [email protected].

Wie ist das möglich? Und warum werden die Mails an meine private Adresse geschickt, die rein gar nichts mit meiner HP zu tun hat?

Um aufklärende Tipps sehr dankbar,
Mirea

Aber jetzt wirds wirklich seltsam… ich besitze eine HP, und
dazu eine E-Mail-Adresse. Diese Daemon-Mails werden mir jedoch
an eine andere, meine private E-mail-Adresse geschickt, und
als Absender wird angegeben, dass ich mit meiner
HP-E-Mail-Adresse diese angeblichen Mails geschrieben hätte.
Als Absender wird jedoch bei jeder Daemon-Mail die Adresse ein
wenig verschieden angeben, also z.B. [email protected],
beim nächsten Mail [email protected].

Klingt, als habest du für @name-der-hp.de einen catch all-Account eingerichtet, der wieder auf deine private Adresse zeigt oder weiterleitet.

Falls nicht: Ein Header sagt mehr als tausend Worte.

Sagt
Schorsch

Hallo Schorsch,

danke für die Antwort.

Klingt, als habest du für @name-der-hp.de einen catch
all-Account eingerichtet, der wieder auf deine private Adresse
zeigt oder weiterleitet.

Nö, eben nicht! Das ist ja das Seltsame dabei, sonst wäre die Erklärung offensichtlich. Aber ich habe keine Weiterleitung, ich habe auch meine private E-Mail-Adresse nirgends auf meiner HP mit drauf. Meine sämtlichen E-Mail-Konten sind allerdings alle zusammen im Thunderbird, vielleicht besteht da ein Zusammenhang? Aber warum wird als Absender immer ein verschiedenes „Voranhängsel“ angegeben, das klingt doch schon irgendwie nach automatischer Generierung?

Falls nicht: Ein Header sagt mehr als tausend Worte.

Die Header der Deamon-Mails? Die sind praktisch in jeder Mail verschieden. Ich habe unten mal ein paar hinkopiert.

Liebe Grüsse, Mirea

Betreff: Need extra? (GTT is now hiring…).
Von: „GTT“
Datum: Sat, 15 Apr 2006 14:29:15 +0200
An:
___________________________________

This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

[email protected]

Reporting-MTA: dns;remote.versatilesash.com
Received-From-MTA: dns;mail2.on-line-support.net
Arrival-Date: Sat, 15 Apr 2006 05:31:00 -0700

Final-Recipient: rfc822;[email protected]
Action: failed
Status: 5.1.1
________________________________________

This is the Postfix program at host mx8.daemonmail.net.

I’m sorry to have to inform you that your message could not be
be delivered to one or more recipients. It’s attached below.

For further assistance, please send mail to

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The Postfix program

(expanded from ): host
pbimail5.prodigy.net[207.115.20.20] said: 553 5.3.0
… Addressee unknown, relay=[216.104.160.48] (in reply to RCPT TO command)

Reporting-MTA: dns; mx8.daemonmail.net
X-Postfix-Queue-ID: 03BC52973B9
X-Postfix-Sender: rfc822; [email protected]
Arrival-Date: Sat, 15 Apr 2006 05:25:35 -0700 (PDT)

Final-Recipient: rfc822; [email protected]
Original-Recipient: rfc822; [email protected]
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host pbimail5.prodigy.net[207.115.20.20] said: 553
5.3.0 … Addressee unknown, relay=[216.104.160.48](in reply to RCPT TO command)
_____________________________________________________________

Hi. This is the qmail-send program at mail.icgcorp.net.
I’m afraid I wasn’t able to deliver your message to the following addresses.
This is a permanent error; I’ve given up. Sorry it didn’t work out.

Sorry, no mailbox here by that name. (#5.1.1)

— Below this line is a copy of the message.

Return-Path:
Received: (qmail 77548 invoked from network); 15 Apr 2006 12:28:20 -0000
Received: from unknown (HELO ufvxxx) (217.219.225.182)
by 0 with SMTP; 15 Apr 2006 12:28:20 -0000
Received: from wfzm.hkj ([217.219.99.42]) by ufvxxx with Microsoft SMTPSVC(6.0.3790.1830); Sat, 15 Apr 2006 15:54:57 -0700
Message-ID:
From: „GTT“
To:
Subject: Need extra? (GTT is now hiring…).
Date: Sat, 15 Apr 2006 15:50:51 -0700
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset=„Windows-1252“;
reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1106
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106

Hei zusammen,

hat echt niemand eine Idee zu meinem Problem? Heute hatte ich einen neuen Rekord zu verbuchen, 19 dieser lästigen Daemon-Mails landeten in meinem Posteingang. Ich hab keinen blassen Schimmer, was das sein könnte und was ich dagegen tun kann. Mein AntiVir findet nichts, ich hab den heute 2 Mal durchlaufen lassen, nichts.

Liebe Grüsse, Mirea

Die Header der Deamon-Mails? Die sind praktisch in jeder Mail
verschieden. Ich habe unten mal ein paar hinkopiert.

Interessant sind die Header der Mails, die bei dir eingehen, was du einkopiert hast, sind die Fehlermeldungen der Daemons. Auch die in diesen Meldungen zitierten Header geben gewisse Aufschlüsse, nicht aber darüber, warum die Mails bei dir im falschen Postfach landen.

Im Thunderbird kommst du an die Header, indem du die Mail im Nachrichtenfenster anklickst, Menu-> Ansicht-> Nachrichtenquelltext. Davon dürfte dann ein vollständiges Zitat reichen, evtl. erkennst du anhand dieser Daten schon auf Anhieb selbst, warum die Mails im falschen Postfach landen.

Zu deiner nachgeschobenen Frage, wie du gegen das Problem vorgehen kannst, wie du verhinderst, dass „dieser Mist“ in deinem Postfach landet: In der Praxis ziemlich garnich. Ausser Spamfilter einrichten. Was sollte man ernsthaft dagegen unternehmen, dass u. a. ein - wahrscheinlich gehijackter - Rechner im Iran unter deiner Absenderadresse Spams verschickt.

Nun, mein Namensvetter aus Amerika wüsste eine Lösung, ich leider nicht
Schorsch

Interessant sind die Header der Mails, die bei dir eingehen,
was du einkopiert hast, sind die Fehlermeldungen der Daemons.
Auch die in diesen Meldungen zitierten Header geben gewisse
Aufschlüsse, nicht aber darüber, warum die Mails bei dir im
falschen Postfach landen.

Ach so, das kannte ich gar nicht mit diesen Nachrichtenquelltexten. Ich kopier unten einen hin, ich versteh davon ehrlich gesagt nur Bahnhof, warum die im falschen Postfach zu liegen kommen kann ich daraus überhaupt nicht herauslesen.

Ausser
Spamfilter einrichten. Was sollte man ernsthaft dagegen
unternehmen, dass u. a. ein - wahrscheinlich gehijackter -
Rechner im Iran unter deiner Absenderadresse Spams verschickt.

Ach du schande, na das ist ja ganz toll… Ja, da wird mir nix anderes übrig bleiben, als bei gmx den Spamfilter jeden Tag auf den neusten Stand zu bringen, bei 25 E-Mails täglich (Tendenz steigend) ganz schön nervig.

Nun, mein Namensvetter aus Amerika wüsste eine Lösung, ich
leider nicht

Falls wir den selben Namensvetter von Dir meinen, bin ich mir nicht so sicher, ob ich dem seine Lösung überhaupt wissen möchte… den Iran einnehmen?

Liebe Grüsse, Mirea

From - Mon Apr 17 01:49:32 2006
X-Account-Key: account3
X-UIDL: 255c92fd8fdb0b15ac2e260e89f194cc
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path:
X-Flags: 0000
Delivered-To: GMX delivery to [email protected]
Received: (qmail invoked by alias); 16 Apr 2006 23:46:40 -0000
Received: from appendix.udag.de (EHLO appendix.udag.de) [62.146.106.70]
by mx0.gmx.net (mx057) with SMTP; 17 Apr 2006 01:46:40 +0200
Received: from boa.e-dotsolutions.com (216-43-213-130.dsl.mcleodusa.net [216.43.213.130])
by appendix.udag.de (Postfix) with SMTP id 8CC9B60C11
for ; Mon, 17 Apr 2006 01:46:38 +0200 (CEST)
Received: (qmail 91187 invoked for bounce); 16 Apr 2006 23:39:56 -0000
Date: 16 Apr 2006 23:39:56 -0000
From: [email protected]
To: [email protected]
Subject: failure notice
Message-Id:
X-GMX-Antivirus: -1 (not scanned, may not use virus scanner)
X-GMX-Antispam: 0 (Mail was not recognized as spam)
X-GMX-UID: BrMqCf48bHIytRviTDU0MikqJihyalD6

Hi. This is the qmail-send program at boa.e-dotsolutions.com.
I’m afraid I wasn’t able to deliver your message to the following addresses.
This is a permanent error; I’ve given up. Sorry it didn’t work out.

66.243.106.225 does not like recipient.
Remote host said: 550 5.1.1 User unknown
Giving up on 66.243.106.225.

— Below this line is a copy of the message.

Return-Path:
Received: (qmail 91184 invoked from network); 16 Apr 2006 23:39:55 -0000
Received: from unknown (HELO 68-114-16-5.dhcp.gwnt.ga.charter.com) (68.114.16.5)
by 0 with SMTP; 16 Apr 2006 23:39:55 -0000
Received: from cmp.fr ([68.114.207.45])
by 68-114-16-5.dhcp.gwnt.ga.charter.com (8.13.3/8.13.3) with SMTP id k3GNh2o6043875;
Sun, 16 Apr 2006 19:43:02 -0400
Message-ID:
From: „Julius Slaughter“
To: „Allan Pena“
Subject: exemplary relativity
Date: Sun, 16 Apr 2006 19:31:00 -0400
MIME-Version: 1.0
Content-Type: multipart/related;
type=„multipart/alternative“;
boundary="----=_NextPart_000_001A_01C6618D.A04B4BF1"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1165
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1165

This is a multi-part message in MIME format.

------=_NextPart_000_001A_01C6618D.A04B4BF1
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_001B_01C6618D.A04B4C12"

------=_NextPart_001_001B_01C6618D.A04B4C12
Content-Type: text/plain;
charset=„windows-1252“
Content-Transfer-Encoding: quoted-printable

primordial clothe was validity,. peak rigid
barnyard,. colonization DVD to was
spurious souvenir weekend suspenders of prelude that secondary school =
forewarn expertise,?! financing, the

misadventure, a homogeneous. the expiration embodiment but stratum =
vandal outfield Third World
gold rush that bout orthopedics with
boor the are siding woven a player. suntan at
foster: tractor that sterling renegade, nil a
crystallize a embroider, of lovers
decay spangle lake outskirts, goose bumps, stimulation flippant as =
convoluted definite article! jagged a prefix forum h with compose as an =
jeweled a was
trigger-happy accountant get leprosy this quilt torso is for bloc =
stigma:? proton redeemable
lobbyist, the flaming give-and-take, curfew cup was bonnet of appendix =
an yo eater,
theirs occupant loom in as revival felt but Rep., tush the
approval a as assuredly, decadence syrup safe-deposit box. as vandal and =
steamroll the? elevator was as poverty-stricken!!! tier attendant
------=_NextPart_001_001B_01C6618D.A04B4C12
Content-Type: text/html;
charset=„windows-1252“
Content-Transfer-Encoding: quoted-printable

primordial clothe was validity,. peak =
rigid=20

barnyard,. colonization DVD to was=20

spurious souvenir weekend suspenders =
of=20
prelude that secondary school forewarn expertise,?! financing, the =

misadventure, a homogeneous. the =
expiration=20
embodiment but stratum vandal outfield Third World
gold rush that bout orthopedics with=20

boor the are siding woven a player. =
suntan at=20

foster: tractor that sterling renegade, =
nil a=20

crystallize a embroider, of lovers=20

decay spangle lake outskirts, goose =
bumps,=20
stimulation flippant as convoluted definite article! jagged a prefix =
forum h=20
with compose as an jeweled a was
trigger-happy accountant get leprosy =
this=20
quilt torso is for bloc stigma:? proton redeemable
lobbyist, the flaming give-and-take, =
curfew=20
cup was bonnet of appendix an yo eater,
theirs occupant loom in as revival felt =
but=20
Rep., tush the

approval a as assuredly, decadence =
syrup=20
safe-deposit box. as vandal and steamroll the? elevator was as=20
poverty-stricken!!! tier attendant

------=_NextPart_001_001B_01C6618D.A04B4C12–

------=_NextPart_000_001A_01C6618D.A04B4BF1
Content-Type: image/gif;
name=„blue chip.gif“
Content-Transfer-Encoding: base64
Content-ID:

seit ein paar Tagen werde ich in einem meiner E-Mail-Konten
mit „Mailer-Daemon“-Mails bombardiert, dass von mir angeblich
geschriebene E-Mails nicht hätten zugestellt werden können.

Hallo Mirea,

das liegt daran, dass einer Deiner Freunde und Bekannten (jemand der Deine Email-Adresse im Outlook etc. gespeichert hat) einen Virus/Wurm hat, der mit den dort gespeicherten Adressen diesen Unfug treibt.

Allgemein gesagt, die Malware verschickt sich nicht nur an die im Adressbuch gespeicherten Personen, sondern benutzt diese Adressen auch als Absender für die weitere Verbreitung von sich selbst.

Da kannst Du nichts machen! Alle die Deine Adresse haben müssten sich vor so was schützen, was anderes gibt es nicht.

Gruß
Andreas

Hallo Mirea,

die Absenderadresse -Deine!- ist gefälscht (das ist leider möglich),

Als Absender wird jedoch bei jeder Daemon-Mail die Adresse ein
wenig verschieden angeben,

und die Adressaten/Absender werden willkürlich (per Script
automatisiert) gewählt.

Den wahren Absender siehst Du nur! in den Headerdaten
der ursprünglich versendeten Email.
In manchen Nichtzustellbarkeitsmeldungen ist dieser anbei.

\q

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]