Hallo,
ich bekomme seit einiger Zeit ständig emails mit infizierten Anhängen von einem bestimmten T-Online-Absender. Im Absenderfeld werden zwar immer neue Fantasienamen angezeigt, aber unter „Eigenschaften“ sieht man dann stets die selbe email-Adresse („520049…@t-online.de“). Wer hat das auch schon erlebt? Wie kann ich den Absender identifizieren?
Danke für baldige Antwort
Ursula.
Hallo,
schreib doch mal ne Mail an T-Online, die werden dann hoffentlich Ihren Kunden informieren, daß er 'n Wurm hat.
Du kannst auch selbst an diese Adresse [email protected] mailen. Das kommt auch an, nicht nur mit dem Namen.
Der macht das nicht absichtlich, der hat nen infizierten Rechner und freut sich über die Info, da bin ich sicher.
cu Rainer
Der macht das nicht absichtlich, der hat nen infizierten
Rechner und freut sich über die Info, da bin ich sicher.
cu Rainer
Der macht das wahrscheinlich gar nicht und hat auch keinen infizierten Rechner. Die Absenderadresse wird ebenfalls gefälscht sein.
Stefan
Der macht das wahrscheinlich gar nicht und hat auch keinen
infizierten Rechner. Die Absenderadresse wird ebenfalls
gefälscht sein.
Doch, der macht das schon, und der hat auch einen infizierten Rechner. Es ist eine Eigenart der SMTP-Server von t-offline, zwar beliebige Absender zuzulassen, die tatsächliche Absenderkennung, in diesem Falle die 520049…@t-online.de, aber zwingend einzutragen. Wir hatten derartige Fälle hier im Forum schon einige Male, und in jedem Fall hat das von Realsharkie vorgeschlagene Verfahren zum Ziel geführt.
Wenn du auch sonst aus den Headerangaben selten verlässliche Schlüsse ziehen kannst, bei t-offline ist dies möglich.
Gruss,
Schorsch
Der macht das wahrscheinlich gar nicht und hat auch keinen
infizierten Rechner. Die Absenderadresse wird ebenfalls
gefälscht sein.
Doch, der macht das schon,
Wer? Ich habe noch nicht den Namen gelesen…
Wenn du auch sonst aus den Headerangaben selten verlässliche
Schlüsse ziehen kannst, bei t-offline ist dies möglich.
Wenn der Virus seine eigene SMTP-Engine mitbringt und nicht den T-Online-SMTP-Server nutzt, kann er sehr wohl den Absender fälschen.
Sebastian
Im
Absenderfeld werden zwar immer neue Fantasienamen angezeigt,
aber unter „Eigenschaften“ sieht man dann stets die selbe
email-Adresse („520049…@t-online.de“).
Naja wenn es wirklich immer die selbe E-Mailadresse ist dann einfach absenderadresse blocken.
Verschicken sich würmer nicht nur über die Adress oder contactliste von outlook oder sonstigen emailproggie benutzern?? weil dann müsstest du ja den absender eigentlich kennen?
Bin mir da nicht sicher deshalb bitte korriegieren wenn ich falsch lieg
Wenn der Virus seine eigene SMTP-Engine mitbringt und nicht
den T-Online-SMTP-Server nutzt, kann er sehr wohl den Absender
fälschen.
Hallo Sebastian, dann darf ich mal einen Experten zu diesem Thema zitieren: http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…
Wir haben hier zwar keine Headerdaten zur Analyse zur Verfügung, die offenkundigen Parallelen aber deuten darauf hin, dass es sich hier um einen vergleichbaren Fall handelt.
Gruss,
Schorsch
Hallo,
Wenn der Virus seine eigene SMTP-Engine mitbringt und nicht
den T-Online-SMTP-Server nutzt, kann er sehr wohl den Absender
fälschen.
Hallo Sebastian, dann darf ich mal einen Experten zu diesem
Thema zitieren:
http://www.wer-weiss-was.de/cgi-bin/forum/showarchiv…
Jaja, den Artikel habe ich auch mal gelesen… In dm Fall haben wir aber die kompletten Header-Daten und sehen, daß die Mail tatsächlich über die Server von T-Online gegangen ist und eine Fälschung des Absenders recht unwahrscheinlich ist.
Wir haben hier zwar keine Headerdaten zur Analyse zur
Verfügung, die offenkundigen Parallelen aber deuten darauf
hin, dass es sich hier um einen vergleichbaren Fall handelt.
Meines Wissens gibt es eben genug Würmer, die ihre eigenen SMTP-Routinen mit sich bringen, um sich zu replizieren (ich bekomme die ‚dummerweise‘ hier nicht installiert), da wäre eine Fälschung durhaus denkbar. Ohne vollständigen Header ist das aber in der Tat nicht lösbar.
Ich muß Dur nicht zeigen, daß ich eine Mail mit gefälschtem T-Online-Absender senden kann, oder?
Gruß,
Sebastian
Jaja, den Artikel habe ich auch mal gelesen…
Nur gelesen? Hat da jemand deine Absendedaten gefälscht? Ich war davon ausgegangen, den Artikel hättest du geschrieben.
Meines Wissens gibt es eben genug Würmer, die ihre eigenen
SMTP-Routinen mit sich bringen, um sich zu replizieren (ich
bekomme die ‚dummerweise‘ hier nicht installiert), da wäre
eine Fälschung durhaus denkbar.
Na, hier wirst du akademisch. Natürlich können wir mit den gegebenen Daten kein Szenario ausschliessen, das Ursprungsposting bietet aber genügend Indizien, um Realsharkies Posting als durchaus angemessen zu bezeichnen.
Ich muß Dur nicht zeigen, daß ich eine Mail mit gefälschtem
T-Online-Absender senden kann, oder?
Mit welchem Absender soll ich antworten?
Gruss,
Schorsch
Hallo,
kein grund zum Streiten!
Wegen
aber unter „Eigenschaften“ sieht man dann stets die selbe email-Adresse
habe ich den Versuch vorgeschlagen. Natürlich fälschen die Würmer gern und Erfolgreich die Header, aber dann kommt es meist nicht zu so einer Häufung gleicher Daten. Wenn immer die selbe Info im Herder steht, liegt der Verdacht eines infizierten Rechners nahe.
Vor kurzem hatte ich einen ähnlichen Fall mit einer sich wiederholenden IP. Ich habe dem Provider ne Mail geschickt und zwei Tage später war Ruhe.
Wenn der Inhaber der obigen T-Online Nummer nicht betroffen ist und ne falsche Warnung bekommt, schadet das doch nicht. Einen Versuch ist’s wert.
cu Rainer
Hi,
Wenn der Inhaber der obigen T-Online Nummer nicht betroffen
ist und ne falsche Warnung bekommt, schadet das doch nicht.
Ich bekomme in letzter Zeit Spam-Mails, manche mit Dialer-Anhang, die eine Viruswarnung enthalten, nach dem Motto: Ich habe von Ihnen eine infizierte Mail bekommen, bitte gehen Sie auf http://www.ganzboeserdialer.de und holen Sie sich ein Bereinigungstool. Diese entsorge ich mittlerweile schon per Mailfilter.
Es könnte sein, daß die Viruswarnung den T-Online-Teilnehmer genausowenig erreicht.
Ein Versuch ist es trotzdem wert…
Gruß
Sancho
Hallo,
stimmt! 
Solche Mails werden bei mir auch ungesehen gelöscht.
Allerdings wird auch mein Virenscanner täglich aktualisiert.
Hmmm, also doch ne Mail an T-Online, die können ja anrufen, wenn sie wollen. … Ob die das tun? Ich bezweifle es!
cu Rainer
Hallo Ursula,
ohne den Thread jetzt ganz gelesen zu haben…
…Im Absenderfeld werden zwar immer neue Fantasienamen
angezeigt, aber unter „Eigenschaften“ sieht man dann stets
die selbe email-Adresse („520049…@t-online.de“).Wer hat das auch
schon erlebt? Wie kann ich den Absender identifizieren?
Ja, ich!
Ist zwar schon lange her. Aber eine Beschwerde bei T-Online ([email protected]) brachte erfolgreich Ruhe.
Dazu die Virus-Mail an T-Online weiterleiten UND den Header der Mail („Eigenschaften…“) kopieren und in der Mail komplett zitieren; dann kann T-Online den Absender ausfindig machen.
CU DannyFox64