..png)
Ich brauche Hilfe bei einer unmöglich aufzuspürenden Schadsoftware, die per direktem SMTP-Versand meine gesamte Kontaktliste mit Spam überflutet.
Es verwendet meine persönliche E-Mail-Adresse (ISP, POP3/SMTP-basiert, NICHT webbasiert, da ich im Web nur Probleme und Antworten zu Gmail oder Hotmail finden konnte, was bei mir NICHT der Fall ist) und kann meine Kontaktliste durchsuchen und verwenden, um kurze Spam-Nachrichten mit einem Link zu einer infizierten Website an eine Gruppe von Empfängern zu senden (die einzige Möglichkeit, festzustellen, dass etwas nicht stimmt, besteht darin, Fehlermeldungen zu erhalten, wenn beispielsweise eine der Adressen in der Liste veraltet ist oder wenn der Server eines der Empfänger oder der ISP-Server sie ablehnt).
Mein ISP hat den Verlauf der in diesen wiederkehrenden Warnungen angegebenen Daten und Zeiten überprüft und kann bestätigen, dass der Spam tatsächlich von meiner IP-Adresse gesendet wurde. Es handelt sich also NICHT nur um eine Fälschung meiner Adresse: Der eigentliche Absender war mein Computer. Übrigens sind alle Empfänger in meiner tatsächlichen Kontaktliste.
Das begann, als ich meinen alten Computer mit Windows XP und Outlook Express verwendete. Jetzt funktioniert es jedoch genauso auf meinem brandneuen Computer mit Windows 7 Pro und Thunderbird. Das heißt, er kann auch meine Thunderbird-Kontaktliste durchsuchen und nicht nur die alte, offensichtliche WAB-Datei von Outlook Express.
Kürzlich hat einer meiner Kunden dasselbe Problem gemeldet (er hat bemerkt, dass einige seiner Kundenserver ihn auf die schwarze Liste gesetzt haben und er nun dieselben nicht zugestellten Rückmeldungen erhält, die ich erlebt habe). Übrigens ist sein ISP derselbe wie meiner (siehe unten, dass er möglicherweise immer noch anonymes SMTP zulässt). In ihrem Fall läuft auf ihrem Computer Windows 10 Professional und sie verwendet MS Outlook 2007.
- Höchstwahrscheinlich verwendet es zum Versenden der Spam-Mails ohnehin nicht mein E-Mail-Client-Programm (obwohl es natürlich schwer zu sagen ist, ob es nicht im Hintergrund gestartet wird), aber obwohl der Computer natürlich eingeschaltet bleiben muss, versendet es die Spam-Mails normalerweise nachts (meistens zwischen 1 und 3 Uhr morgens, obwohl sie manchmal auch tagsüber verschickt werden), wenn mein E-Mail-Client geschlossen ist.
Daher muss eine direkte Verbindung zu meinem ISP-Server über SMTP hergestellt werden (natürlich unter Verwendung meiner E-Mail-Adresse und meines Passworts, obwohl mein ISP möglicherweise immer noch anonymes SMTP zulässt, was natürlich ein Problem darstellt).
Leider verwendet mein lokaler ISP weder SSL noch TLS-Verschlüsselung (obwohl sich daran wohl nicht viel ändern würde, solange kein Passwort erforderlich ist). Wenn man jedoch bedenkt, dass er meine E-Mail-Adresse und Kontaktliste abrufen konnte, war es vermutlich auch nicht so schwer, an mein gespeichertes Passwort zu kommen, da NirSoft dies beispielsweise kann).
- Keine Antivirensoftware konnte etwas erkennen, und trotzdem ist es immer noch da und spammt meine gesamte Kontaktliste etwa zweimal im Monat zu, manchmal öfter, manchmal nur einmal: Die Häufigkeit, Uhrzeit usw. sind völlig zufällig und unvorhersehbar.
Ich habe alles versucht, was im Internet empfohlen wurde, aber ohne das geringste Ergebnis.
- Natürlich zeigt eine manuelle Überprüfung der Registrierung, Dienste usw. beim Start nichts Verdächtiges. Und dennoch muss der verdammte Prozess irgendwo lauern, sonst könnte er nicht wie er es tut innerhalb weniger Sekunden Hundertstel von E-Mails verschicken!
Also habe ich jetzt einfach versucht, es mithilfe von Firewall-Regeln zu blockieren.
Mithilfe der Microsoft-Firewall könnte ich jedoch eine ausgehende Regel hinzufügen, die es Thunderbird ermöglicht, Port 25 mit Benutzerauthentifizierung zu verwenden. Ich bin mir jedoch absolut nicht sicher, ob die Regel dadurch exklusiv wird, d. h., durch die Aktivierung wird wahrscheinlich keine andere Verwendung verhindert.
Leider macht das Hinzufügen einer weiteren Regel, die Port 25 blockiert, die obige Regel nicht zu einer Ausnahme. Wenn ich das tue, kann ich trotz der ausdrücklichen Erlaubnis einfach überhaupt keine E-Mails senden. Anscheinend überschreibt die Verbotsregel die Erlaubnisregel, wobei ich genau das entgegengesetzte Verhalten erreichen möchte (alles blockieren, dann die Ausnahme zulassen).
Im Idealfall würde ich mir wünschen, dass jeder Versuch der einzigen zulässigen App (in meinem aktuellen Fall Thunderbird) protokolliert wird, damit ich den Schuldigen ausfindig machen kann.
Hat jemand von Ihnen schon einmal von einem solchen Problem gehört und könnte mir oder jemandem, der dieses Problem lösen kann, einen Lösungsansatz bieten oder ein Tool kennen, mit dem es effizienter erkannt werden kann?
Weiß jemand, wie ich die Firewall so einrichten kann, dass sie jede Nutzung von Port 25 außer von einer zugelassenen App blockiert? Und idealerweise, wie man jeden Versuch von jedem Prozess außer dem zugelassenen protokolliert? Oder vielleicht eine kostenlose Firewall-Software von Drittanbietern, die diese Aufgabe erledigen würde?
Natürlich wäre es ideal, den Übeltäter zu identifizieren und ihn beseitigen zu können. Wenn das aber nicht gelingt, ist die Verhinderung von Schäden immer noch ein akzeptabler Kompromiss, bis Antivirenprogramme ihn eines Tages erkennen können.
BEARBEITEN :
Hier ist ein Beispiel:http://www.mediafire.com/download/relstor86wkfw44/Undelevered_Mail_Returned_to_Sender.eml.zip
BEARBEITEN: Zusammenfassend lässt sich also sagen, dass die Analyse des Headers Ihnen hilft herauszufinden, ob der Spam von Ihrem PC stammt oder ob Ihre E-Mail-Adresse gefälscht wurde.
Das Problem ist in meinem Fall dank Davids Antwort unten gelöst. Dies erklärt, warum kein Antivirentool vor Ort etwas Verdächtiges finden konnte.
Antwort1
Woher kommt diese E-Mail eigentlich?
Mein ISP hat den Verlauf der in diesen wiederkehrenden Warnungen angegebenen Daten und Zeiten überprüft und kann bestätigen, dass der Spam tatsächlich von meiner IP-Adresse gesendet wurde. Es handelt sich also NICHT nur um eine Fälschung meiner Adresse: Mein Computer war der tatsächliche Absender.
Mein ISP ist canl.nc
Hier sind die Header einer solchen zurückgesendeten E-Mail:
Return-Path: <my email address> Received: from localhost (localhost [127.0.0.1]) by mail.zakat.com.my (Postfix) with ESMTP id 29D9C1930B2; Sun, 7 Aug 2016 23:00:34 +0800 (MYT) X-Virus-Scanned: amavisd-new at zakat.com.my Received: from mail.zakat.com.my ([127.0.0.1]) by localhost (mail.zakat.com.my [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id cl7meerEgQyi; Sun, 7 Aug 2016 23:00:33 +0800 (MYT) Received: from pebow.org (82-160-175-227.tktelekom.pl [82.160.175.227]) by mail.zakat.com.my (Postfix) with ESMTPSA id 4A03B193085; Sun, 7 Aug 2016 23:00:28 +0800 (MYT) From: <my email address> To: <some recipient address>, <some recipient address>, <some recipient address>, <some recipient address> Subject: =?utf-8?B?Rnc6IGNvb2wgcGVvcGxl?= Date: Sun, 7 Aug 2016 17:59:57 +0300 Message-ID: <[email protected]>
Ihr ISP ist inkompetent:
Diese E-Mail stammt nicht von Ihnen (es sei denn, Sie leben in Polen)
Es kam von 82.160.175.227 (Polen)
% Information related to '82.160.175.0 - 82.160.175.255' % Abuse contact for '82.160.175.0 - 82.160.175.255' is '[email protected]' inetnum 82.160.175.0 - 82.160.175.255 netname PL-NETLINE-STARGARD descr Net-line sp. z o.o. descr Stargard Szczecinski country PL admin-c LH133-RIPE tech-c LH133-RIPE status ASSIGNED PA mnt-by NETIA-MNT mnt-lower NETIA-MNT mnt-routes NETIA-MNT created 2014-04-07T07:36:13Z last-modified 2016-03-15T14:24:30Z source RIPE # FilteredEs wurde an mail.zakat.com.my (Malaysia) gesendet (und zugestellt).
zakat.com.my hat die E-Mail mit einem 451-SMTP-Fehler abgelehnt:
Wenn Sie eine der oben genannten (oder eine ähnliche) Fehlermeldung von Ihrem Mailserver erhalten (nachdem Sie einige Nachrichten verschickt haben), dann haben Sie ein Limit auf Ihrem Mailserver (oder E-Mail-Konto) erreicht. Das bedeutet, dass Ihr Mailserver keine weiteren Nachrichten mehr akzeptiert, bis Sie eine Weile gewartet haben.
Ihr E-Mail-Konto unterliegt möglicherweise einer oder mehreren Einschränkungen:
- Tägliches Maillimit, zB max. 2000 Nachrichten pro Tag
- Stündliches Maillimit, zB max. 500 Nachrichten pro Stunde
- Ratenbegrenzung für die Nachrichtenübermittlung
Der Ablehnungsbescheid wurde Ihnen aus folgendem Grund zugesandt:
Return-Path: <my email address>Ihr ISP ist canl.nc. Zu keinem Zeitpunkt in derVersendungdieser E-Mail ist canl.nc beteiligt. Sie sind nur beteiligt, weil der Bounce an Sie gesendet wurde.
Was ist also tatsächlich passiert?
Ihr Adressbuch ist irgendwie durchgesickert.
Ein Spammer in Polen hat Spam mit Ihrer gefälschten E-Mail-Adresse als Absenderadresse von der IP-Adresse 82.160.175.227 gesendet.
Der Spam wurde an mail.zakat.com.my gesendet und abgelehnt – wahrscheinlich, weil mail.zakat.com.my zu viel Spam von der IP-Adresse des Spammers bemerkte.
mail.zakat.com.my ist nicht besonders gut konfiguriert, da 82.160.175.227 eigentlich eine auf der schwarzen Liste stehende IP-Adresse ist.
mail.zakat.com.my ist kein offenes Relay, daher ist es möglich, dass der Spammer dort ein Konto hat.
Der Spam wird also zurückgeschickt und Sie sind der Empfänger einer sog.Rückstreuung:
Backscatter (auch bekannt als Outscatter, fehlgeleitete Bounces, Blowback oder Kollateral-Spam) sind fälschlicherweise automatisierte Bounce-Nachrichten, die von Mailservern gesendet werden, typischerweise als Nebeneffekt von eingehendem Spam.
Anmerkungen:
Viele E-Mail-Header können (und werden normalerweise) von Spammern beim Versenden von Spam gefälscht.
- "Von der Adresse
- Rückweg: Adresse
- Auch einige „Received:“-Header können gefälscht sein.
SMTP-Nachrichten-Spoofingzeigt, wie einfach dies mit einem offenen (ungesicherten) Relay-Mailserver möglich ist.
Analyse der E-Mail-Header
Es gibt viele Tools zum Analysieren von E-Mail-Headern. Einige davon können anzeigen, ob eine der IP-Adressen in der Kette auf Spam-Blacklists steht.
Diese Tools können auch feststellen, ob einer der „Received:“-Header in der Kette gefälscht ist.
Ein solches Werkzeug istMxToolbox E-Mail-Header-Analysator.
Die Analyse mit diesem Tool zeigt folgende Ergebnisse:
