Sender einer E-Mail anhand Head herausfinden

[KasselJulian]

Hallo,

ich bin von dem momentan stark herumgehenden Heartbleed-Hack betroffen. Mein altes Yahoo-Konto wurde gehackt und es wurde an alle Absender die mir einmal Mails geschickt hatten, ein Link mit Malware verschickt. Die Malware hat den Zweck dem Benutzer Angst einzujagen und ihn dazu aufzufordern, Geld zu überweisen.

Nun denn, ich habe durch Zufall dadurch erfahren als ich heute einen Anruf von einem Freund erhielt. Die E-Mails sind nicht im "Gesendet"-Ordner, weshalb ich nur durch den Head der E-Mail die an meinen Freund geschickt wurde, herausfinden kann, von wem diese Mail stammt.

Hier ist mal ein Teil des Heads der Mail die von meinem Konto verschickt wurde:

Received: from sv1169.svwh.net ([208.166.53.162]) by mx-ha.gmx.net (mxgmx110) with ESMTPS (Nemesis) id 0LdLbR-1XHcNQ0vRp-00iSZW for <empfaengeradresse@xyz.xyz>; Sun, 13 Apr 2014 05:14:21 +0200
Received: from [94.143.192.19] (port=37871 helo=squidandrobot.com) by sv1169.svwh.net with esmtpa (Exim 4.82) (envelope-from <meineadresse@xyz.xyz>) id 1WZArz-0008UL-NI; Sat, 12 Apr 2014 20:14:15 -0700
Message-ID: <D4DB8C475A61F09E87CA53CE8F9DB52C@squidandrobot.com>

Ich habe die Empfängeradresse und meine Adresse verändert, da sie irrelevant sind.
Drei Stichpunkte sind da jetzt für mich herausgestochen (fett hinterlegt [wurde entfernt]), doch welcher sagt mir von wem die Mail geschickt wurde?

Übrigens habe ich noch von anderen Yahoo-Nutzern eine E-Mail auch mit einem Malware-Link bekommen. Das sagt mir, dass ich nicht der einzige bin. Der Link hatte zwar den gleichen Zweck, war aber anders. Der Head dazu sieht folgendermaßen aus:

Received: from vps.jobkon.com (unknown [91.148.168.160])
   by webgo24-server22.de (Postfix) with ESMTPS id CAD125DA3A34
   for <meineadresse@xyz.xyz>; Sun, 13 Apr 2014 21:59:02 +0200 (CEST)
Received: from [5.248.57.213] (port=49465 helo=jobvision.org)
   by vps.jobkon.com with esmtpa (Exim 4.80)
   (envelope-from <senderadresse@xyz.xyz>)
   id 1WZOoO-0003uD-CC; Sun, 13 Apr 2014 20:07:24 +0200
Message-ID: <88DCC936EA7D399AAB303C3415022A63@jobvision.org>

Grüße

 

[pixelmaker]

Hallo,

ich bin von dem momentan stark herumgehenden Heartbleed-Hack betroffen. Mein altes Yahoo-Konto wurde gehackt

Der Heartbleed Bug hat nichts mit den millionenfach bei den üblich verdächtigen Freemailern geklauten Passwörtern zu tun. Die Heartbleed Sicherheitslücke betrifft OpenSSL. Kein Mensch kann sagen ob es durch diese Sicherheitslücke überhaupt zu Schäden gekommen ist oder nur theoretisch dazu kommen kann. Sollte jemand diese Lücke ausnutzen kann er lediglich ein falsches SSL Zertifikat vortäuschen.

Bei den gestohlenen Passwörtern die aufgetaucht sind handelt es sich um eine gehandelte Liste mit Zugangsdaten. Ob eine Mailadresse betroffen ist kann und sollte man man über abtesten.
Wenn über Dein Mailkonto Spam oder Malware verschickt wurde, dann steht unter
"Received: from" Deine Mailserver Adresse oder IP Nummer. Steht dort eine andere, dann ist die Mail nicht von Deinem Postfach gekommen. Das sollte man nicht mit dem "Reply to:" Eintrag verwechseln, denn den kann jeder so schreiben wie er will. Sie bedeuted gar nichts. Man nennt das Domain-Spamming. Den Sinn sehen die Spammer darin, das die Rücklauf-Mails zu Dir kommen.

Die IP
94.143.192.19 ist auf die WINLINE-KG-NET KYRGYZSTAN eingetragen
208.166.53.162 ist auf BG-TELEHOUSE-20061113 BULGARIA eingetragen
208.166.53.162 ist auf Silicon Valley Web Hosting, Inc. in USA eingetragen
5.248.57.213 ist auf die Kyivstar GSM in der Ukraine eingetragen.

Solltest Du nicht bei einem dieser Firmen ein Mailkonto unterhalten kommt keine der Mails von Deinem Konto. Ich sehe in den angegebenen Headern keine IP die auf Yahoo zeigt.

grüße

 

[KasselJulian]

Hallo und danke für deine Antwort!

Das ist schonmal hilfreich. Welche der genannten IPs ist denn mit höchster Wahrscheinlichkeit die des Absenders und woran machst du das fest?
Ich habe den Provider von
sv1169.svwh.net bereits kontaktiert und nach den Inhaberdaten von dieser Domain gefragt. Vermutlich wird er mir nichts sagen dürfen aber ein Versuch ist es wert.

 

[pixelmaker]

Hallo

sv1169.svwh.net bereits kontaktiert und nach den Inhaberdaten von dieser Domain gefragt.

Das kannst Du selbst raus finden. Suche nach "IP whois" und finde die Reverse DNS. Man findet heraus das

sv1169.svwh.net

die Reverse DNS dieser IP ist. Macht man eine Whois Abfrage sieht man das diese Domain "svwh.net" auf ENOM, INC. eingetragen ist. Das ist wiederum ein Provider. Die third level domain "sv1169" deuted auf einen Dial Up Account hin. Das kann ein Account sein der nur einen Tag verwendet wurde.
Du musst die Einträge auch von unten nach oben lesen. Gesendet wurde ursprünglich von
94.143.192.19 in Kirgisien. Der helo squidandrobot.com ist bereits gefälscht.
Aber, bis auf die IP Nummern kann alles gefälscht werden und selbst bei den IP bin ich mir nicht sicher.

Du kannst Dich weiter da reinsteigern, Du kommst nicht zum Ziel. Stelle sicher das nicht über Deinen Account gesendet wurde und dann lenkst Du Deine Energie auf etwas sinnvolles.
Gib niemals ein Zeichen das es Dich gibt, z.B. indem Du Kontakt aufnimmst. Das wird Deinen Spam nur vervielfachen.

grüße

 

[mapegele]

Ich weiß, dass ist jetzt eine blöde Frage. Da aber im gesamten Beitrag noch nicht die Rede davon war:
Hast Du Dein Passwort schon geändert?????

Das wird nämlich oft vergessen in der Aufregung.

Wenn ja ist ja alles ok und Dein Account ist erstmal wieder safe.
Wenn nicht: Dann aber schnell.......

Verpixelte Grüße

 

[KasselJulian]

Hi,
ja das habe ich mittlerweile auch herausgefunden. Habe den Provider von dieser IP bereits kontaktiert. Mit dem Provider von der anderen IP habe ich auch geschrieben, der Account wurde ebenfalls gehackt und als Weiterleitungsaccount genutzt.

Mein Account ist komplett gelöscht, ich nutze ihn nicht mehr. Klar, ich habe jetzt auch bei allen anderen Diensten unterschiedliche sehr schwierige Passwörter. Das einzige was mir noch Sorgen bereitet ist, dass er trotzdem die ganzen Kontaktdaten in seinem Bot gespeichert hat und ja auch meine Absenderadresse fälschen kann, Also könnte er auch wenn er kein Zugang zu meinem Account hat mich als Absender mit seinen Malware-Links setzen. Er schickt übrigens immer aus der Zukunft: Seine letzte Spam-Mail an eine andere Adresse von mir von meinem alten Account aus wurde scheinbar am 19.04 (sprich in 5 Tagen) versendet. Dann wird es einfach für ihn sein auch meine E-Mail-Adresse als Absender zu fälschen und ggf. auch seine IP in Kirgistan.

 

[mapegele]

Um deine Mail-Adresse als Absender zu nutzen, braucht man nicht Deinen Account hacken. Da benötige ich nur Deine Mail-Adresse. Ist also eigentlich am allerleichtesten für die Spammer.
Viel interessanter ist es für die Spammer, Deinen Account nutzen zu können, um ihren Spam zu verteilen. Das ist der Grund für das Hacken. Nicht Deine Mail.Adresse.
Deshalb bei Auffälligkeiten immer als Erstes: Paswort ändern!

Damit hast Du erstmal dicht gemacht.

Evtl. noch umgehend Deinen Provider informieren.

Den Account zu löschen halte ich für übertrieben. Schließlich verschrotte ich ja auch nicht meinen Ferrari, nur weil er mal aufgebrochen wurde. Da kommt ein neues Fenster rein und die Alarmanlage wird verbessert. Fertig ist der Lack.
Und Dein erst 3 Monate altes MAC-Book schmeißt Du ja auch nicht weg, nur weil sich mal einer reingehackt hat. Oder? (Falls doch: Schick mir ne PM. Ich nehm es!) ;-)

Verpixelte Grüße