Hallöchen,

von einer meiner Domains wurde scheinbar der Mailaccount gehackt und Spammails versendet. Der Provider stellt sich doof, weiß von nichts und gibt mir die Schuld.

Ich versuche daher das Problem nachzuvollziehen.....

Gestern Abend konnte alle 5 Mailadressen dieser einer Domain nicht mehr abrufen. Outlook gab eine Fehlermeldung, Passwort zurückgewiesen. Soweit nichts ungewöhnliches, kommt dort leider öfters vor, daß die Mails temporär nicht gehen. Deswegen habe ich alle anderen Domains bereits umgezogen. Also erstmal nichts bei gedacht.

Heute morgen immernoch das Problem. Jetzt kam ich mal auf die Idee das Passwort einer Mailadresse zu ändern. Und siehe da es ging wieder. Plötzlich kamen massig Unzustellbarkeit Benachrichtigungen von Spammails rein die offensichtlich von meiner Mailadresse versendet wurden.

Es wurden also alle Passwörter meiner 5 eingerichteten Mailadressen geändert, so daß ich diese nicht mehr abrufen konnte. Das komische an der Sache ist, daß man die Passwörter nur über den postmaster@meine-domain.de Account ändern kann. Und dieses Passwort habe ich nicht auf dem Rechner gespeichert.
"Der Provider schreibt dazu auf seiner HP Aus Sicherheitsgründen speichern wir E-Mail-Passwörter verschlüsselt in der Datenbank. Eine Entschlüsselung ist dadurch nicht mehr möglich".

Auf meine Fragen kommen nur ausweichende Antworten und das mein postmaster Passwort nun zurückgesetzt wurde.

Habe ich hier Sicherheitsprobleme oder der Provider? Finde es auch irgendwie merkwürdig....da werden massig Spammails von meinem Account gesendet und dort fällt nichts auf. Auf meine Supportanfrage, daß die Emails mal wieder nicht funktioniert, kam nur die Antwort, daß alles funktioniert ich mal prüfen soll, ob ich den Speicherplatz überschritten hätte....."

Danke! LG

Merkwürdig mutet das schon an, leider ist sowas ja auch sehr nachteilig für eine Mailadresse falls diese mal als Spamschleuder genutzt wurde (musste damals nen kompletten Maßnahmen Katalog schicken und das für ne Privatadresse)

Frage wäre dann, ruft wer anderes die Mailadresse in der Firma ab? Hat dieser vielleicht das PW gespeichert?

In wieweit das deine Mailadresse unbrauchbar macht (Blacklists etc) kann ich leider nicht beurteilen. Was du jedoch von deinem Provider berichtest würde mich zu einem sofortigen Wechsel annimieren. Mit All-Inc als anbieter habe ich eigentlich recht gute und günstige Erfahrungen wie weit das aber für gewerbliche Zwecke nutzbar ist....

Wegen solcher Sachen bin ich ja von dort weg zu all-ink. Also die Mailadressen nutzen noch andere....allerdings niemals den master account, also die postmaster Adresse. Da weiß auch nur ich, daß es diese gibt und wie man diese administriert.

Die Domain ist jetzt auch nicht so wichtig. Dennoch möchte ich gerne meine Sicherheitslücken schließen.

hmm okay, eigentlich bin ich bisher immer ganz zufriden mit den Sicherheitsaspekten von All-Ink gewesen aber dein Problem leist sich schon echt unangenehm. Es liest sich perse erstmal wie ein "Fehler" vom Hoster, dein erster Schritt Virenscan anwerfen. ob das was bringt ka, aber soviel mehr kannste an deinen Rechnern ja nicht machen, ich werd aber mal daheim gerne durch meine All-Ink domains gehen ob mir ähnlicher "Spaß" auffällt.

Missverständniss, da habe ich mich falsch ausgedrückt. Mit All-Ink bin ich zufrieden. Ich bin bereits mit mehreren Domains vom alten Hoster zu all-ink gewechselt. Aber diese jetzt betroffene ist als einzige noch beim alten Hoster.....

daytrader hat geschrieben:Missverständniss, da habe ich mich falsch ausgedrückt. Mit All-Ink bin ich zufrieden. Ich bin bereits mit mehreren Domains vom alten Hoster zu all-ink gewechselt. Aber diese jetzt betroffene ist als einzige noch beim alten Hoster.....

ah okay, mein fehler.

daytrader hat geschrieben:Und siehe da es ging wieder. Plötzlich kamen massig Unzustellbarkeit Benachrichtigungen von Spammails rein die offensichtlich von meiner Mailadresse versendet wurden.

Das ist hier sehr wahrscheinlich der Fall, muss aber nicht zwingend so sein, da die Absenderadresse ja beliebig gefälscht werden kann.

daytrader hat geschrieben:Das komische an der Sache ist, daß man die Passwörter nur über den postmaster@meine-domain.de Account ändern kann. Und dieses Passwort habe ich nicht auf dem Rechner gespeichert.

Und der Provider hat die Passwörter nicht geändert als er gemerkt hat, dass die Adressen missbraucht werden? So macht das zumindest Uberspace, die schicken dann aber auch proaktiv eine Mail an den Hauptaccount, dass sie es getan haben.

daytrader hat geschrieben:Habe ich hier Sicherheitsprobleme oder der Provider?

Schwer zu sagen. Ich sehe alle Nase lang schwache Mailpasswörter, die geknackt werden. Das alle Accounts einer Domain betroffen sind ist mir aber noch nicht untergekommen. Entweder waren alle extrem schwach oder der Provider hat hier doch eingegriffen.

Mitleser hat geschrieben:In wieweit das deine Mailadresse unbrauchbar macht (Blacklists etc) kann ich leider nicht beurteilen.

Gar nicht. RBLs arbeiten auf IP-Basis. Man kann natürlich auch manuell Adresse in irgendwelche Spamfilter oder Blacklisten auf dem Server eintragen. Aber die Wahrscheinlichkeit, dass das jemand tut, dürfte ziemlich gering sein.

Schwer zu sagen. Ich sehe alle Nase lang schwache Mailpasswörter, die geknackt werden. Das alle Accounts einer Domain betroffen sind ist mir aber noch nicht untergekommen. Entweder waren alle extrem schwach oder der Provider hat hier doch eingegriffen.

Dazu fällt mir ein das All-Ink das auch so handhabt und einen "maßnahmenkatalog" gefordert hatte.

Also die PW Änderung erfolgte nicht vom Provider....die haben nichtmal was gemerkt. Selbst auf meine Supportanfrage, als ich merkte das was nicht stimmt, kam nur......"bei uns ist alles in Ordnung"

Dann weg da. Und am besten an die Aktion einen Haken machen. Und beim Umzug auf sichere Passwörter achten.

Matt hat geschrieben:Und beim Umzug auf sichere Passwörter achten.

Wie ändern denn die Haker die Passwörter? Reichen denen die Passwörter meiner Emailadressen? Also ich (bin allerdings hoffnungsloser Laie) kann mit den Passwörtern nichts anfangen. Ich könnte damit Emails abrufen und versenden. Aber wenn ich die Passwörter ändern möchte, muss ich mich bei meinem Provider einloggen, mich dort mit dem Masteraccount (postmaster@) einloggen und erst dann kann ich die Passwörter meiner Emailadressen ändern.

Und dieses Masterpasswort habe ich wiegesagt nicht auf dem Rechner. Wenn die das über dieses PW gemacht haben, dann kann doch nur der Provider gehackt worden sein, denn nur dort ist das PW hinterlegt.

daytrader hat geschrieben:Wie ändern denn die Haker die Passwörter? Reichen denen die Passwörter meiner Emailadressen? Also ich (bin allerdings hoffnungsloser Laie) kann mit den Passwörtern nichts anfangen. Ich könnte damit Emails abrufen und versenden. Aber wenn ich die Passwörter ändern möchte, muss ich mich bei meinem Provider einloggen, mich dort mit dem Masteraccount (postmaster@) einloggen und erst dann kann ich die Passwörter meiner Emailadressen ändern.

Das ist ein Punkt. Mein Hinweis wg. sicherer Passwörter bezog sich auch erstmal auf die Mailaccounts, um zu verhindern, dass das Passwort mit einer Wörterbuchattacke o.ä. ermittelt wird und das Konto dann zum Versand von Mails missbraucht wird. In der Tat hatte ich es bislang auch noch nie, dass bei einem gehackten Account das Passwort geändert wurde, denn dafür braucht man wie du richtig sagst das Passwort des Master-Accounts (in deinem Fall, es gibt auch Anbieter wo man das übers Webmail ändern kann).

daytrader hat geschrieben:Und dieses Masterpasswort habe ich wiegesagt nicht auf dem Rechner. Wenn die das über dieses PW gemacht haben, dann kann doch nur der Provider gehackt worden sein, denn nur dort ist das PW hinterlegt.

Es gibt da noch die Möglichkeit eines Keyloggers bei dir. Aber das wäre dann schon ein sehr zielgerichteter Angriff, wenn sich der Angreifer dann auch noch die Mühe macht, da die Passwörter der Mailaccounts zu ändern. Und wenn er das tut, warum sollte er nicht gleich auch noch den Masteraccount ändern, damit du selbst nichts mehr machen kannst?
Insgesamt wirkt das in der Tat so, dass es einen Security Breach beim Provider gab, den dieser aber nicht eingestehen will. Da die Wahrheit herauszubekommen dürfte viel Nachbohren erfordern und ich glaube nicht, dass sich der Zeitaufwand lohnt.

Bitte unbedingt auch beachten, dass es nicht unbedingt ein gehacktes Postfach sein muss! Es kann ebenso möglich sein, dass die Adressen lediglich als Absender gedient haben, jedoch der Versand nicht über deinen Account/Server stattgefunden hat. Man kann eine E-Mail problemlos mit einem falschen Absender verschicken. Der Empfänger(-Server) merkt das dann nur, wenn er einen Gegencheck (Domain->IP) macht.

Was aber - sofern eine Website oder ein Shop (...) betrieben wird - viel wahrscheinlicher ist, wäre der Versand über ein unsicheres Script oder gekaperten Webspace. Das ist im Prinzip die am meisten genutzte Methode eines Spammers/Angreifers. Da werden ungeschützte Mail-Funktionen in einem Script (z.Bsp. im Shopsystem) genutzt, was zum Beispiel die "Weiterempfehlen" Funktion oder auch Dinge wie ein Kontaktformular sein könnten und der Angreifer dabei mittels Bot die Funktion nutzt und Spam verschickt. Alternativ könnte auch eine Sicherheitslücke genutzt worden sein, um entsprechende Scripts hochzuladen und diese dann direkt anzusteuern, um Spam zu versenden.

Wenn bisher unbekannt ist, WIE die Nachrichten verschickt wurden, dann würde ich den Hoster mal genauer fragen. Sollte sich der Betreiber querstellen, dann schick mir einfach Details und ich frage dort mal "besonders freundlich" nach, ob ich mir mal deren Server unter die Lupe nehmen soll. Das hat bisher immer geholfen.


Vielleicht auch mal Logdaten und Webspace auf Auffälligkeiten hin checken.

||CoDer|| hat geschrieben:Bitte unbedingt auch beachten, dass es nicht unbedingt ein gehacktes Postfach sein muss! Es kann ebenso möglich sein, dass die Adressen lediglich als Absender gedient haben,

Aber wiegesagt....ich konnte meine Emailadressen mit Outlook nicht mehr abrufen. Es kam die Fehlermeldung Passwort falsch. Nach Kennwortänderung konnte ich diese wieder abrufen. Es wurden also alle Kennwörter geändert. Oder habe ich etwas übersehen?

daytrader hat geschrieben:

||CoDer|| hat geschrieben:Bitte unbedingt auch beachten, dass es nicht unbedingt ein gehacktes Postfach sein muss! Es kann ebenso möglich sein, dass die Adressen lediglich als Absender gedient haben,

Aber wiegesagt....ich konnte meine Emailadressen mit Outlook nicht mehr abrufen. Es kam die Fehlermeldung Passwort falsch. Nach Kennwortänderung konnte ich diese wieder abrufen. Es wurden also alle Kennwörter geändert. Oder habe ich etwas übersehen?

Es kann durchaus sein, dass der Admin von einem Netzbetreiber oder Spamfilter über das Problem informiert wurde. In der Regel werden die Accounts dann temporär deaktiviert oder eben das Passwort der Postfächer vom Admin geändert. Im Normalfall wirst du als Kunde darüber informiert, jedoch kann es auch irgendwo untergegangen sein. Angreifer ändern in der Regel keine Passwörter, weil sie dann schlichtweg die längste Zeit unbemerkt mit dem Opfer arbeiten können. Würden die das Passwort ändern, würde es dir sofort auffallen, dass etwas nicht stimmt. Du würdest dann das Passwort wieder ändern und die netten Besucher hätten keinen Zugriff mehr - müssten erneut das Ding knacken.

Was genau passiert ist, kann uns nur dein Hoster verraten.

Tja das Passwort vom Adminaccount war das einzige was nicht geändert war....aber alle anderen eingerichten Mailadressen.

Nunja egal. Alle PW sind geändert, der Provider beteuert seine Unschuld, war ich eben der Doofe.

Emails können wieder nicht abgerufen werden. Diesmal die Meldung "Der Pop 3 Server antwortet nicht."....bei allen 5 Mailadressen dieser Domain.

Habe das nochmal zum Anlass genommen den Support zu fragen wie denn alle PW geändert werden konnten wo das Postmasterkennwort doch ausschließlich bei denen gespeichert ist. Und natürlich was diesmal das Problem ist.

Ich versteh das nicht.

1. Die Passwörter können lt. Support auch anhand meiner gehackten Passworter dezentral geändert werden?

2. Angeblich wurden wohl wieder die PW geändert. Aber heute morgen kam die Meldung "Authentifizierung fehlgeschlagen"......jetzt kommt" Pop3 Server reagiert nicht". Also andere Fehlermeldung, aber gleiche Ursache?

3. Ich habe von einer Mailadresse vor 30 Minuten das PW geändert.....es kommt immernoch "Server reagiert nicht"

Es ist auch nur diese eine Domain betroffen. Warum nehmen die Hacker (wenn ich doch die Schwachstelle bin) nicht die anderen Domains gleich mit?

Der Support antwortet:

"Passwörter können sowohl zentral über das Postmasterlogin,
aber auch dezentral für einen Mailaccount mit dem Login über
eine Mailadresse geändert werden.

Wenn wieder Ihre Passwörter geändert wurden, ist zu vermuten, dass
Sie einen Virus auf Ihrem Rechner haben, der die Zugangsdaten aus
Ihrem Mailprogramm ausliest.

Unsere Mailserver sind auch jetzt problemlos erreichbar"

Ich habe jetzt 20.20 Uhr das PW einer weiteren Mailadresse geändert. Nach 10 Minuten soll dieses Aktiv sein.

daytrader hat geschrieben:Ich habe jetzt 20.20 Uhr das PW einer weiteren Mailadresse geändert. Nach 10 Minuten soll dieses Aktiv sein.

Ich bin echt ratlos. Das wieder die PW geändert wurden möchte ich ausschließen. Habe nun 20.20 Uhr nochmal ein PW zurückgesetzt. Jetzt 20.33 kommt immernoch Server reagiert nicht.

Laut Support alles i.O.