Hallöchen,
von einer meiner Domains wurde scheinbar der Mailaccount gehackt und Spammails versendet. Der Provider stellt sich doof, weiß von nichts und gibt mir die Schuld.
Ich versuche daher das Problem nachzuvollziehen.....
Gestern Abend konnte alle 5 Mailadressen dieser einer Domain nicht mehr abrufen. Outlook gab eine Fehlermeldung, Passwort zurückgewiesen. Soweit nichts ungewöhnliches, kommt dort leider öfters vor, daß die Mails temporär nicht gehen. Deswegen habe ich alle anderen Domains bereits umgezogen. Also erstmal nichts bei gedacht.
Heute morgen immernoch das Problem. Jetzt kam ich mal auf die Idee das Passwort einer Mailadresse zu ändern. Und siehe da es ging wieder. Plötzlich kamen massig Unzustellbarkeit Benachrichtigungen von Spammails rein die offensichtlich von meiner Mailadresse versendet wurden.
Es wurden also alle Passwörter meiner 5 eingerichteten Mailadressen geändert, so daß ich diese nicht mehr abrufen konnte. Das komische an der Sache ist, daß man die Passwörter nur über den postmaster@meine-domain.de Account ändern kann. Und dieses Passwort habe ich nicht auf dem Rechner gespeichert.
"Der Provider schreibt dazu auf seiner HP Aus Sicherheitsgründen speichern wir E-Mail-Passwörter verschlüsselt in der Datenbank. Eine Entschlüsselung ist dadurch nicht mehr möglich".
Auf meine Fragen kommen nur ausweichende Antworten und das mein postmaster Passwort nun zurückgesetzt wurde.
Habe ich hier Sicherheitsprobleme oder der Provider? Finde es auch irgendwie merkwürdig....da werden massig Spammails von meinem Account gesendet und dort fällt nichts auf. Auf meine Supportanfrage, daß die Emails mal wieder nicht funktioniert, kam nur die Antwort, daß alles funktioniert ich mal prüfen soll, ob ich den Speicherplatz überschritten hätte....."
Danke! LG
Mailaccount gehackt.
Re: Mailaccount gehackt.
Merkwürdig mutet das schon an, leider ist sowas ja auch sehr nachteilig für eine Mailadresse falls diese mal als Spamschleuder genutzt wurde (musste damals nen kompletten Maßnahmen Katalog schicken und das für ne Privatadresse)
Frage wäre dann, ruft wer anderes die Mailadresse in der Firma ab? Hat dieser vielleicht das PW gespeichert?
In wieweit das deine Mailadresse unbrauchbar macht (Blacklists etc) kann ich leider nicht beurteilen. Was du jedoch von deinem Provider berichtest würde mich zu einem sofortigen Wechsel annimieren. Mit All-Inc als anbieter habe ich eigentlich recht gute und günstige Erfahrungen wie weit das aber für gewerbliche Zwecke nutzbar ist....
Frage wäre dann, ruft wer anderes die Mailadresse in der Firma ab? Hat dieser vielleicht das PW gespeichert?
In wieweit das deine Mailadresse unbrauchbar macht (Blacklists etc) kann ich leider nicht beurteilen. Was du jedoch von deinem Provider berichtest würde mich zu einem sofortigen Wechsel annimieren. Mit All-Inc als anbieter habe ich eigentlich recht gute und günstige Erfahrungen wie weit das aber für gewerbliche Zwecke nutzbar ist....
Re: Mailaccount gehackt.
Wegen solcher Sachen bin ich ja von dort weg zu all-ink. Also die Mailadressen nutzen noch andere....allerdings niemals den master account, also die postmaster Adresse. Da weiß auch nur ich, daß es diese gibt und wie man diese administriert.
Die Domain ist jetzt auch nicht so wichtig. Dennoch möchte ich gerne meine Sicherheitslücken schließen.
Die Domain ist jetzt auch nicht so wichtig. Dennoch möchte ich gerne meine Sicherheitslücken schließen.
Re: Mailaccount gehackt.
hmm okay, eigentlich bin ich bisher immer ganz zufriden mit den Sicherheitsaspekten von All-Ink gewesen aber dein Problem leist sich schon echt unangenehm. Es liest sich perse erstmal wie ein "Fehler" vom Hoster, dein erster Schritt Virenscan anwerfen. ob das was bringt ka, aber soviel mehr kannste an deinen Rechnern ja nicht machen, ich werd aber mal daheim gerne durch meine All-Ink domains gehen ob mir ähnlicher "Spaß" auffällt.
Re: Mailaccount gehackt.
Missverständniss, da habe ich mich falsch ausgedrückt. Mit All-Ink bin ich zufrieden. Ich bin bereits mit mehreren Domains vom alten Hoster zu all-ink gewechselt. Aber diese jetzt betroffene ist als einzige noch beim alten Hoster.....
Re: Mailaccount gehackt.
ah okay, mein fehler.daytrader hat geschrieben:Missverständniss, da habe ich mich falsch ausgedrückt. Mit All-Ink bin ich zufrieden. Ich bin bereits mit mehreren Domains vom alten Hoster zu all-ink gewechselt. Aber diese jetzt betroffene ist als einzige noch beim alten Hoster.....
- Matt
- Beiträge: 1584
- Registriert: 27. Okt 2009 14:37
- Land: Deutschland
- Firmenname: WIBROS GmbH
- Branche: Erzgebirge Volkskunst, Kuckucksuhren, Nordic Skating
- Wohnort: Mainz
- Kontaktdaten:
Re: Mailaccount gehackt.
Das ist hier sehr wahrscheinlich der Fall, muss aber nicht zwingend so sein, da die Absenderadresse ja beliebig gefälscht werden kann.daytrader hat geschrieben:Und siehe da es ging wieder. Plötzlich kamen massig Unzustellbarkeit Benachrichtigungen von Spammails rein die offensichtlich von meiner Mailadresse versendet wurden.
Und der Provider hat die Passwörter nicht geändert als er gemerkt hat, dass die Adressen missbraucht werden? So macht das zumindest Uberspace, die schicken dann aber auch proaktiv eine Mail an den Hauptaccount, dass sie es getan haben.daytrader hat geschrieben:Das komische an der Sache ist, daß man die Passwörter nur über den postmaster@meine-domain.de Account ändern kann. Und dieses Passwort habe ich nicht auf dem Rechner gespeichert.
Schwer zu sagen. Ich sehe alle Nase lang schwache Mailpasswörter, die geknackt werden. Das alle Accounts einer Domain betroffen sind ist mir aber noch nicht untergekommen. Entweder waren alle extrem schwach oder der Provider hat hier doch eingegriffen.daytrader hat geschrieben:Habe ich hier Sicherheitsprobleme oder der Provider?
Gar nicht. RBLs arbeiten auf IP-Basis. Man kann natürlich auch manuell Adresse in irgendwelche Spamfilter oder Blacklisten auf dem Server eintragen. Aber die Wahrscheinlichkeit, dass das jemand tut, dürfte ziemlich gering sein.Mitleser hat geschrieben:In wieweit das deine Mailadresse unbrauchbar macht (Blacklists etc) kann ich leider nicht beurteilen.
Re: Mailaccount gehackt.
Dazu fällt mir ein das All-Ink das auch so handhabt und einen "maßnahmenkatalog" gefordert hatte.Schwer zu sagen. Ich sehe alle Nase lang schwache Mailpasswörter, die geknackt werden. Das alle Accounts einer Domain betroffen sind ist mir aber noch nicht untergekommen. Entweder waren alle extrem schwach oder der Provider hat hier doch eingegriffen.
Re: Mailaccount gehackt.
Also die PW Änderung erfolgte nicht vom Provider....die haben nichtmal was gemerkt. Selbst auf meine Supportanfrage, als ich merkte das was nicht stimmt, kam nur......"bei uns ist alles in Ordnung"
- Matt
- Beiträge: 1584
- Registriert: 27. Okt 2009 14:37
- Land: Deutschland
- Firmenname: WIBROS GmbH
- Branche: Erzgebirge Volkskunst, Kuckucksuhren, Nordic Skating
- Wohnort: Mainz
- Kontaktdaten:
Re: Mailaccount gehackt.
Dann weg da. Und am besten an die Aktion einen Haken machen. Und beim Umzug auf sichere Passwörter achten.
Re: Mailaccount gehackt.
Wie ändern denn die Haker die Passwörter? Reichen denen die Passwörter meiner Emailadressen? Also ich (bin allerdings hoffnungsloser Laie) kann mit den Passwörtern nichts anfangen. Ich könnte damit Emails abrufen und versenden. Aber wenn ich die Passwörter ändern möchte, muss ich mich bei meinem Provider einloggen, mich dort mit dem Masteraccount (postmaster@) einloggen und erst dann kann ich die Passwörter meiner Emailadressen ändern.Matt hat geschrieben:Und beim Umzug auf sichere Passwörter achten.
Und dieses Masterpasswort habe ich wiegesagt nicht auf dem Rechner. Wenn die das über dieses PW gemacht haben, dann kann doch nur der Provider gehackt worden sein, denn nur dort ist das PW hinterlegt.
- Matt
- Beiträge: 1584
- Registriert: 27. Okt 2009 14:37
- Land: Deutschland
- Firmenname: WIBROS GmbH
- Branche: Erzgebirge Volkskunst, Kuckucksuhren, Nordic Skating
- Wohnort: Mainz
- Kontaktdaten:
Re: Mailaccount gehackt.
Das ist ein Punkt. Mein Hinweis wg. sicherer Passwörter bezog sich auch erstmal auf die Mailaccounts, um zu verhindern, dass das Passwort mit einer Wörterbuchattacke o.ä. ermittelt wird und das Konto dann zum Versand von Mails missbraucht wird. In der Tat hatte ich es bislang auch noch nie, dass bei einem gehackten Account das Passwort geändert wurde, denn dafür braucht man wie du richtig sagst das Passwort des Master-Accounts (in deinem Fall, es gibt auch Anbieter wo man das übers Webmail ändern kann).daytrader hat geschrieben:Wie ändern denn die Haker die Passwörter? Reichen denen die Passwörter meiner Emailadressen? Also ich (bin allerdings hoffnungsloser Laie) kann mit den Passwörtern nichts anfangen. Ich könnte damit Emails abrufen und versenden. Aber wenn ich die Passwörter ändern möchte, muss ich mich bei meinem Provider einloggen, mich dort mit dem Masteraccount (postmaster@) einloggen und erst dann kann ich die Passwörter meiner Emailadressen ändern.
Es gibt da noch die Möglichkeit eines Keyloggers bei dir. Aber das wäre dann schon ein sehr zielgerichteter Angriff, wenn sich der Angreifer dann auch noch die Mühe macht, da die Passwörter der Mailaccounts zu ändern. Und wenn er das tut, warum sollte er nicht gleich auch noch den Masteraccount ändern, damit du selbst nichts mehr machen kannst?daytrader hat geschrieben:Und dieses Masterpasswort habe ich wiegesagt nicht auf dem Rechner. Wenn die das über dieses PW gemacht haben, dann kann doch nur der Provider gehackt worden sein, denn nur dort ist das PW hinterlegt.
Insgesamt wirkt das in der Tat so, dass es einen Security Breach beim Provider gab, den dieser aber nicht eingestehen will. Da die Wahrheit herauszubekommen dürfte viel Nachbohren erfordern und ich glaube nicht, dass sich der Zeitaufwand lohnt.
- ||CoDer||
- Beiträge: 1740
- Registriert: 1. Jun 2010 19:41
- Land: Deutschland
- Firmenname: doo!media
- Branche: Konzept, Entwicklung, Template/Design, SEO, Sicherheit, Vermarktung & mehr
- Kontaktdaten:
Re: Mailaccount gehackt.
Bitte unbedingt auch beachten, dass es nicht unbedingt ein gehacktes Postfach sein muss! Es kann ebenso möglich sein, dass die Adressen lediglich als Absender gedient haben, jedoch der Versand nicht über deinen Account/Server stattgefunden hat. Man kann eine E-Mail problemlos mit einem falschen Absender verschicken. Der Empfänger(-Server) merkt das dann nur, wenn er einen Gegencheck (Domain->IP) macht.
Was aber - sofern eine Website oder ein Shop (...) betrieben wird - viel wahrscheinlicher ist, wäre der Versand über ein unsicheres Script oder gekaperten Webspace. Das ist im Prinzip die am meisten genutzte Methode eines Spammers/Angreifers. Da werden ungeschützte Mail-Funktionen in einem Script (z.Bsp. im Shopsystem) genutzt, was zum Beispiel die "Weiterempfehlen" Funktion oder auch Dinge wie ein Kontaktformular sein könnten und der Angreifer dabei mittels Bot die Funktion nutzt und Spam verschickt. Alternativ könnte auch eine Sicherheitslücke genutzt worden sein, um entsprechende Scripts hochzuladen und diese dann direkt anzusteuern, um Spam zu versenden.
Wenn bisher unbekannt ist, WIE die Nachrichten verschickt wurden, dann würde ich den Hoster mal genauer fragen. Sollte sich der Betreiber querstellen, dann schick mir einfach Details und ich frage dort mal "besonders freundlich" nach, ob ich mir mal deren Server unter die Lupe nehmen soll. Das hat bisher immer geholfen.
Vielleicht auch mal Logdaten und Webspace auf Auffälligkeiten hin checken.
Was aber - sofern eine Website oder ein Shop (...) betrieben wird - viel wahrscheinlicher ist, wäre der Versand über ein unsicheres Script oder gekaperten Webspace. Das ist im Prinzip die am meisten genutzte Methode eines Spammers/Angreifers. Da werden ungeschützte Mail-Funktionen in einem Script (z.Bsp. im Shopsystem) genutzt, was zum Beispiel die "Weiterempfehlen" Funktion oder auch Dinge wie ein Kontaktformular sein könnten und der Angreifer dabei mittels Bot die Funktion nutzt und Spam verschickt. Alternativ könnte auch eine Sicherheitslücke genutzt worden sein, um entsprechende Scripts hochzuladen und diese dann direkt anzusteuern, um Spam zu versenden.
Wenn bisher unbekannt ist, WIE die Nachrichten verschickt wurden, dann würde ich den Hoster mal genauer fragen. Sollte sich der Betreiber querstellen, dann schick mir einfach Details und ich frage dort mal "besonders freundlich" nach, ob ich mir mal deren Server unter die Lupe nehmen soll. Das hat bisher immer geholfen.
Vielleicht auch mal Logdaten und Webspace auf Auffälligkeiten hin checken.
doo!media
- Service, Template/Design & SEO
- Offizieller Gambio Partner (Design, Sicherheit & Mehr)
- Sicherheitsüberprüfungen für Internetportale
Angebot anfordern | Persönliche Referenzen
- Service, Template/Design & SEO
- Offizieller Gambio Partner (Design, Sicherheit & Mehr)
- Sicherheitsüberprüfungen für Internetportale
Angebot anfordern | Persönliche Referenzen
Re: Mailaccount gehackt.
Aber wiegesagt....ich konnte meine Emailadressen mit Outlook nicht mehr abrufen. Es kam die Fehlermeldung Passwort falsch. Nach Kennwortänderung konnte ich diese wieder abrufen. Es wurden also alle Kennwörter geändert. Oder habe ich etwas übersehen?||CoDer|| hat geschrieben:Bitte unbedingt auch beachten, dass es nicht unbedingt ein gehacktes Postfach sein muss! Es kann ebenso möglich sein, dass die Adressen lediglich als Absender gedient haben,
- ||CoDer||
- Beiträge: 1740
- Registriert: 1. Jun 2010 19:41
- Land: Deutschland
- Firmenname: doo!media
- Branche: Konzept, Entwicklung, Template/Design, SEO, Sicherheit, Vermarktung & mehr
- Kontaktdaten:
Re: Mailaccount gehackt.
Es kann durchaus sein, dass der Admin von einem Netzbetreiber oder Spamfilter über das Problem informiert wurde. In der Regel werden die Accounts dann temporär deaktiviert oder eben das Passwort der Postfächer vom Admin geändert. Im Normalfall wirst du als Kunde darüber informiert, jedoch kann es auch irgendwo untergegangen sein. Angreifer ändern in der Regel keine Passwörter, weil sie dann schlichtweg die längste Zeit unbemerkt mit dem Opfer arbeiten können. Würden die das Passwort ändern, würde es dir sofort auffallen, dass etwas nicht stimmt. Du würdest dann das Passwort wieder ändern und die netten Besucher hätten keinen Zugriff mehr - müssten erneut das Ding knacken.daytrader hat geschrieben:Aber wiegesagt....ich konnte meine Emailadressen mit Outlook nicht mehr abrufen. Es kam die Fehlermeldung Passwort falsch. Nach Kennwortänderung konnte ich diese wieder abrufen. Es wurden also alle Kennwörter geändert. Oder habe ich etwas übersehen?||CoDer|| hat geschrieben:Bitte unbedingt auch beachten, dass es nicht unbedingt ein gehacktes Postfach sein muss! Es kann ebenso möglich sein, dass die Adressen lediglich als Absender gedient haben,
Was genau passiert ist, kann uns nur dein Hoster verraten.
doo!media
- Service, Template/Design & SEO
- Offizieller Gambio Partner (Design, Sicherheit & Mehr)
- Sicherheitsüberprüfungen für Internetportale
Angebot anfordern | Persönliche Referenzen
- Service, Template/Design & SEO
- Offizieller Gambio Partner (Design, Sicherheit & Mehr)
- Sicherheitsüberprüfungen für Internetportale
Angebot anfordern | Persönliche Referenzen
Re: Mailaccount gehackt.
Tja das Passwort vom Adminaccount war das einzige was nicht geändert war....aber alle anderen eingerichten Mailadressen.
Nunja egal. Alle PW sind geändert, der Provider beteuert seine Unschuld, war ich eben der Doofe.
Nunja egal. Alle PW sind geändert, der Provider beteuert seine Unschuld, war ich eben der Doofe.
Re: Mailaccount gehackt.
Emails können wieder nicht abgerufen werden. Diesmal die Meldung "Der Pop 3 Server antwortet nicht."....bei allen 5 Mailadressen dieser Domain.
Habe das nochmal zum Anlass genommen den Support zu fragen wie denn alle PW geändert werden konnten wo das Postmasterkennwort doch ausschließlich bei denen gespeichert ist. Und natürlich was diesmal das Problem ist.
Habe das nochmal zum Anlass genommen den Support zu fragen wie denn alle PW geändert werden konnten wo das Postmasterkennwort doch ausschließlich bei denen gespeichert ist. Und natürlich was diesmal das Problem ist.
Re: Mailaccount gehackt.
Ich versteh das nicht.
1. Die Passwörter können lt. Support auch anhand meiner gehackten Passworter dezentral geändert werden?
2. Angeblich wurden wohl wieder die PW geändert. Aber heute morgen kam die Meldung "Authentifizierung fehlgeschlagen"......jetzt kommt" Pop3 Server reagiert nicht". Also andere Fehlermeldung, aber gleiche Ursache?
3. Ich habe von einer Mailadresse vor 30 Minuten das PW geändert.....es kommt immernoch "Server reagiert nicht"
Es ist auch nur diese eine Domain betroffen. Warum nehmen die Hacker (wenn ich doch die Schwachstelle bin) nicht die anderen Domains gleich mit?
Der Support antwortet:
"Passwörter können sowohl zentral über das Postmasterlogin,
aber auch dezentral für einen Mailaccount mit dem Login über
eine Mailadresse geändert werden.
Wenn wieder Ihre Passwörter geändert wurden, ist zu vermuten, dass
Sie einen Virus auf Ihrem Rechner haben, der die Zugangsdaten aus
Ihrem Mailprogramm ausliest.
Unsere Mailserver sind auch jetzt problemlos erreichbar"
1. Die Passwörter können lt. Support auch anhand meiner gehackten Passworter dezentral geändert werden?
2. Angeblich wurden wohl wieder die PW geändert. Aber heute morgen kam die Meldung "Authentifizierung fehlgeschlagen"......jetzt kommt" Pop3 Server reagiert nicht". Also andere Fehlermeldung, aber gleiche Ursache?
3. Ich habe von einer Mailadresse vor 30 Minuten das PW geändert.....es kommt immernoch "Server reagiert nicht"
Es ist auch nur diese eine Domain betroffen. Warum nehmen die Hacker (wenn ich doch die Schwachstelle bin) nicht die anderen Domains gleich mit?
Der Support antwortet:
"Passwörter können sowohl zentral über das Postmasterlogin,
aber auch dezentral für einen Mailaccount mit dem Login über
eine Mailadresse geändert werden.
Wenn wieder Ihre Passwörter geändert wurden, ist zu vermuten, dass
Sie einen Virus auf Ihrem Rechner haben, der die Zugangsdaten aus
Ihrem Mailprogramm ausliest.
Unsere Mailserver sind auch jetzt problemlos erreichbar"
Re: Mailaccount gehackt.
Ich habe jetzt 20.20 Uhr das PW einer weiteren Mailadresse geändert. Nach 10 Minuten soll dieses Aktiv sein.
Re: Mailaccount gehackt.
Ich bin echt ratlos. Das wieder die PW geändert wurden möchte ich ausschließen. Habe nun 20.20 Uhr nochmal ein PW zurückgesetzt. Jetzt 20.33 kommt immernoch Server reagiert nicht.daytrader hat geschrieben:Ich habe jetzt 20.20 Uhr das PW einer weiteren Mailadresse geändert. Nach 10 Minuten soll dieses Aktiv sein.
Laut Support alles i.O.
-
- Information
-
Wer ist online?
Mitglieder in diesem Forum: 0 Mitglieder und 24 Gäste