bosnigel
Goto Top

Eingrenzung Spam Mail

Moin!


Ich habe heute Spam von einem Rechner bekommen der eigentlich sauber sein sollte.
Der Rechner hat auch ein gewisses Alter erreicht und wird eh demnächst ausgetauscht.
Mich würde interessieren ob es nicht doch von extern kommt.
Vielleicht hat jemand anhand des Mailheaders eine Idee.


Return-Path: <mail@*************>
X-Original-To: info@**********
Delivered-To: *********@****************
Received: from server5.acidados.net (eaenergia.com [77.91.206.105])
	by *************** (Postfix) with ESMTPS id F01205160304
	for <info@************>; Mon, 12 Oct 2015 03:22:20 +0200 (CEST)
Received: from [210.195.84.**] (port=63696 helo=WIN-NPPN1JPV75J)
	by server5.acidados.net with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
	(Exim 4.85)
	(envelope-from <mail@**************>)
	id 1ZlRok-0001t1-Um; Mon, 12 Oct 2015 02:22:24 +0100

Dann ein paar Empfänger die ich jetzt der Übersichtlichkeit und des Datenschutzes gelöscht habe.
Und

X-Get-Message-Sender-Via: server5.acidados.net: authenticated_id: infusion@luteciahotel.com

Vom externen Rechner wird eine Homepage mit einem Joomla System beschickt (das macht irgendein HTML Schreiber).
Nicht das mir da einer Unsinn wegen eine uralten Jommla Version macht.

Gruß
Bosnigel

Content-Key: 285369

Url: https://administrator.de/contentid/285369

Ausgedruckt am: 28.03.2024 um 08:03 Uhr

Mitglied: Lochkartenstanzer
Lochkartenstanzer 12.10.2015 aktualisiert um 20:05:14 Uhr
Goto Top
Die Mail kommt von 210.195.84.**

Wenn Dein logging korrekt ist, solle Du die entsprechende Kiste prüfen.

lks
Mitglied: Bosnigel
Bosnigel 12.10.2015 aktualisiert um 20:21:16 Uhr
Goto Top
Hmm... die Kiste steht in Deutschland.
Soweit ich mich erinnern kann ist der Anschluß von der Telekom.

Ein 210er Bereich?
Ein schneller Blick ins Netz brachte Portugal und Malysia hervor.
(wegen server5.acidados.net)

Gruß
Bosnigel
Mitglied: LordGurke
LordGurke 13.10.2015 um 00:04:40 Uhr
Goto Top
Das komplette 210.195.0.0/17 wird irgendwo nach Malaysia geroutet.
Wenn der oberste Received-Header von eurem Mailserver generiert wurde (du ihm also Richtigkeit unterstellst) hat der die Mail von 77.91.206.105 - gehört zu einem Serverhoster in Portugal - erhalten.
Daraus lässt sich herleiten, dass da ein verseuchtes System in Malaysia gestohlene Zugangsdaten auf dem Server in Portugal missbraucht hat um die Spam zuzustellen. Willkommen im Internet face-wink

Falls dein avisierter Rechner sich weder in Malaysia oder Portugal aufhält würde ich einfach mal behaupten, dass er unschuldig ist face-wink
Mitglied: Bosnigel
Bosnigel 13.10.2015 um 07:53:12 Uhr
Goto Top
Merci, das bestätigt meine Vermutung.
Das komische ist, das passiert nicht zum ersten mal.

Beim ersten mal wurden vom User des anderen Systems die Zugangsdaten geändert.
Dann war drei - vier Monate Ruhe. Nach dem gestrigen Vorfall wurden die Zugangsdaten natürlich erneut geändert.

Ich denke das der User streckenweise Schadsoftware auf der Kiste hatte die seine Outlook Daten gestohlen hat.
Also dann beides. Spamserver irgendwo plus zusätzlich verseuchte Kiste.

Gruß
Bosnigel
Mitglied: LordGurke
LordGurke 13.10.2015 um 23:52:46 Uhr
Goto Top
Ja nein aber...
Also der Empfänger kann ja als Empfänger erstmal wenig dafür, dass er Spam bekommt.
WEM da jetzt konkret Zugangsdaten weggetragen wurden kann man so nicht sagen. Nur dass mit möglicherweise von irgendwem gestohlenen Zugangsdaten zu einem Server in Portugal Spam an dich resp. den Empfänger geschickt wurde.
Mehr kann man da nicht rauslesen!
Mitglied: ashnod
ashnod 30.10.2015 aktualisiert um 08:30:22 Uhr
Goto Top
Ahoi

helo=WIN-NPPN1JPV75J)


die Suche ergibt auch noch weitere Informationen

Google Suche zu WIN-NPPN1JPV75J

Interessantes Ergebnis: Ergebnis