GMX schon wieder gehackt?

[derwunner]

Hallo Leute,

ich weiß nicht, ob das hier das richtige Forum dafür ist. Aber ich würde gerne mal von euch wissen, ob eure GMX Accounts auch gehackt wurden?

Denn dann läge der Verdacht nahe, dass es bei GMX schon wieder ein Sicherheitsleck gibt. Denn ich wurde in kurzer 2 mal gehackt. Ich habe angeblich eine E-Mail mit Spam Inhalt an mir selber geschickt, die ich aber nie geschrieben habe. Das bereitet mir schon Anlass zur Sorge. Also muss ja jemand da draußen mein Passwort geknackt haben. Ich verwende Zahlen, Groß- und Kleinbuchstaben, sowie Sonderzeichen und keine Wörterbuch Wörter. Also das Passwort sollte sicher sein, daran sollte es also nicht gescheitert sein. Dann kann es fast nur noch an GMX liegen. Außer einer sagt mir, dass selbst das kein sicheres Passwort wäre.

Danke für euren Rat/Hilfe. Bei GMX bekomme ich für soetwas keinen Support, weil man als FreeMail Kunde keinen kostenlosen Support bekommt. Und ich sehe es nicht ein, für Fehler von Anderen etwas bezahlen zu müssen.

Gruß, derwunner

[Eye-Q]

Wie willst Du aus einer Spam-Mail schließen, dass dein Account gehackt wurde? Eine Absender-Adresse kann man ganz easy fälschen, es hat überhaupt nichts zu bedeuten, dass Du eine Mail angeblich von dir selber bekommst.

Erst wenn im Webmail diese Mail auch in den gesendeten Objekten steht, ist dein Account eindeutig gehackt worden.

Wie sehen denn die Kopfzeilen bzw. der Quelltext der Spam-Mail aus? Da steht ja eindeutig drin, über welchen Weg die Mail gekommen ist und ob sie wirklich von deinem Account gekommen ist oder einfach nur ein falscher Absender drin steht.

[Crash2001]

Entweder war es nur eine Spam-Mail, die als angeblichen Absender deine E-Mail-Adresse hat (wie Eye-Q schon schrieb, kann man das ganz einfach machen), oder es könnte aus sein (falls die Mail wirklich von "dir" kam), dass du einen Keylogger auf dem Rechner hast, der die Passwörter mitloggt. Dann kannst du als Passwort nehmen, was du willst und es ist dennoch nicht sicher.

Ich würde vorschlagen, du schaust dir den Header der E-Mail mal genau an (oder postest ihn hier - E-Mail-Adresse von dir aber bitte unkenntlich machen dabei) und falls sich dabei zeigen sollte, dass die Mail wirklich über deinen Account versendet wurde, lässt du deinen Rechner mal von einer Online-Virus-Scan-Anwendung (z.B. Homecall) überprüfen oder startest ein Live-Betriebssystem mit integriertem Antivirusprogramm und führst dieses einmal aus. Hat man erst einmal einen Virus drauf, kann dieser durchaus auch die gängigen Antivirusprogramme aushebeln (z.b. bestimmte Ordner nicht durchscannen lassen, eine Anwendung als unbedenklich einordnen, u.s.w.).

[SaJu]

Analysiere bitte den Header und überprüfe, ob die Mail wirklich über Deinen Account lief. Wenn das wirklich ein Sicherheits-Leck ist, schick mir bitte per PM Deine Kunden-Nummer, Namen und E-Mail-Adresse inkl. E-Mail-Header. Es wäre vorteilhaft, wenn Du mir für die Support-Weiterleitung Deine Telefonnummer geben würdest.

Auch als FreeMail-Kunde kannst Du über mich bei GMX Support bekommen.

[derwunner]

Also die E-Mail hatte ich leider schon gelöscht. Es kam aber mittlerweile schon wieder eine neue, die angeblich von mir ist. Wie bekomme ich den E-Mail Header?

Ich hatte das mal unter Linux mit einem SSL Testclient gemacht, also direkt mit dem IMAP Protokoll. Das ist aber auch schon einige Zeit her. Es gibt bestimmt auch User-Friendlier Wege, oder?

[flashpixx]

Es kam aber mittlerweile schon wieder eine neue, die angeblich von mir ist. Wie bekomme ich den E-Mail Header?

Im Normalfall kann Dir der Client den Header anzeigen bzw. schau Dir Dir die EMail im Plaintext an. Der Aufbau des Header kannst Du in der passenden RFC nachlesen

Es gibt bestimmt auch User-Friendlier Wege, oder?

Dein Mailclient

[EdwinMosesPray]

Hallo

Entschuldigt bitte meine Einmischung. Ist etwas OFF-Topic, aber ich möchte zu dem Thema etwas beitragen. Mich wundert es, dass ich ab und zu Spam-Mails bekomme, die 1.) an einen anderen Empfänger gehen und 2.) im CC: 10,20 oder mehr Adressen stehen, die -NUR- "@gmx.de" heissen. Darunter dann auch meine eigene, sonst hätte ich die E-Mail ja nicht bekommen. Gruppieren die Versender jetzt die Spam-Mails?

Gruß,

Frank M.

[derwunner]

@EdwinMosesPray: Deine Aussage verstehe ich von der Logik her nicht ganz.

Das ist der E-Mail Header:

Return-Path: editiert@gmx.de

Received: from new-flash-portal.biz ([94.75.199.240]) by mx-ha.gmx.net

 (mxgmx009) with ESMTP (Nemesis) id 0LzoY7-1VW1E611jH-014xci for

 <editiert@gmx.de>; Mon, 16 Dec 2013 14:14:53 +0100

Received: from new-flash-portal.biz (NL_681 [94.75.199.240])

	by new-flash-portal.biz

	; Mon, 16 Dec 2013 00:42:22 -0800

From: "TG" <editiert@gmx.de>

Subject: Sie haben 100,- EUR am 12/16/2013 gewonnen > Jetzt sofort aktivieren

 ...

To: editiert@gmx.de

Content-Type: multipart/related; type="multipart/alternative"; boundary="qibU1hPJI3Nm=_lOxlhEO3E2n5gAk5JhlB"

MIME-Version: 1.0

Date: Mon, 16 Dec 2013 00:42:22 -0800

Priority: urgent

X-Priority: 2

Message-Id: <20131216004222F3FEA4316D$12BF3B77CA@NL>

X-Mailer: Microsoft Outlook, Build 11.5608.5606

Envelope-To: <editiert@gmx.de>

X-GMX-Antispam: 0 (Mail was not recognized as spam); Detail=V3;

X-GMX-Antivirus: 0 (no virus found)

X-UI-Filterresults: notjunk:1;V01:K0:QdiMvMqfRQM=:QuLkt2oOVSqoVAJx3KSuj3zcl3

 OAHwouCxd2SRHiCOpptbEMOmmhffw5k4TfDJYMgpE3xEFnXSVKQ1S8iLjFxaipuQGAg1U0175

 /3gY5rJGT1r8x3lbCJCmDSwxGcE50Zg1X33yZIbDAmG8R4Z7JqJ4xHEEcQBtTCxgSjpbx3NuB

 7YhBHKqOTx7vsbqA9dGlwVJpRoPfd3uEcs5/1XGOKAPiKuCT3hsNGl3EalvI8cRfMeuJ+W1IZ

 Oew+gF14CjYHNASKKrTcsM5fovidgzJcL8SjwyZRBvTuJUOrEtMqBAXCEKq0Y/12rSC07tY/k

 FSjbbyCpaGV6Es3mybA0yfFy5ocw/cZAvZaKUJUaIoT2bJeA+VfFsTWjG1b7MIAUrycwaSUYv

 mvXxP4cVGhtZpWsT7q+asio0Tqlc/79tx9iJWkm/UPjDCEYa/PjzXBc6fOiMvAM+MvWytXgaC

 jnRjItmu1+7F4FQVQcQTPKLlkq4ISsmRCQvdguxet5npAlsVCCM/6JzGPQMNpRT5A3pqrHx+X

 2KpmtCMsDUOzR1HIdnDhcCo3/PDFiIAF+RltVJ9g7O20udEhD+NzVceN5/6aSMzX2Vqwxx7bZ

 YpdhXbTQ26QaP/w9KFZFTen4FiUAvSbS8iI3+ss+H6iJT98sEckeZk+If1J8dhZpAOGM0cuxM

 +ZDCI12WYJER0O6K4xt6fIbPJmZncKSD+v94FjA0WdxDifkVllKqK03M9ja2/ZbPjisKTMCGw

 CY88hGMSnORnpPXfs9JdHrbxW6jIG/pR0wPfIfia4lC0SSMt+mgkTNjhQuT9v7esSJoCxyoea

 bWwLyvedR6Fh+rEaxf3rRHSCF9WXYl7sDkIzgssUr8LOId/g+GzKrFON1oSM3z8kHdf86+6Oc

 46mlj0OCTKLFwJajqNnF794gxt4yDuw1bt1+tJx5GpcmggeZV9jqyQe+08DdfKXils5n9af2d

 fDutz7FNMiqhGNudfQc4jj45ADf2mI+Acrk7NOSpU9ci9W2CK/CP8i7T/J6rE2YJynk4wm7kN

 7IGNlifJH+Fk1pF7zjKo0KCg/HMlq1z2ETg92OcsgsRNa7Vj17ceq/b5M5F4AvrH61BqAYuzZ

 uXgHZLj5Q8P8bNvailhw37jKHuEwzpGKcX1fRkMyDUI1KAPzQIe8442pokhg8bFlykZb4PXbo

 CBeoLqcuYm1HwJjP/HLk5eFa7o6JblPvlvr25sCIIpkv9FzJe9Qvdjsxv9m5GDwHdGcfAF3/m

 2kVdMIvJ8GsUSwRlUVHg6/YXa3lmxa7qufYGdU4/o9TDjgfsSDjTkSLopZDDjEJNooY4EL8Nc

 xsxV/MqX5Tx1tAmm8XRn5C45Uw0juY2R6/rMTJ/zP1R9zYa5BcRw06Qv7OtFgAFvIpnIPUbRX

 bkxtkC8O6obHTJCRbvSlXxk4yyWGp5RrnSlb/zCQ0fHZJWZ205MvPlz80RWIz0NHOwdum9Gy6

 c6fAN5sBEuhSw5CM8f/RgEtVX7ACIJD5uqMR6+Lsek/EiZCFjAPlB9m5y9w32Qnkzqfp2+lZJ

 ImPuaJ7ZjWBVXUqfIbS8=


This is a multi-part message in MIME format


--qibU1hPJI3Nm=_lOxlhEO3E2n5gAk5JhlB

Content-Type: multipart/alternative;

	boundary="JUJNOhW6pcPiE06xEAX9q4nkYeVbIb=_Ng"


--JUJNOhW6pcPiE06xEAX9q4nkYeVbIb=_Ng

Content-Type: text/plain; charset="iso-8859-1"

Content-Transfer-Encoding: quoted-printable

Ich habe kein Outlook. Also hat sich die Sache für mich schon erledigt, oder?

Bearbeitet 17. Dezember 2013 von Chief Wiggum

[Thanks-and-Goodbye]

Ganz eindeutig... die Mail kommt von extern, aber deine Mail ist als Absender im Header angegeben. Ist ungefähr so einfach wie einen falschen Absender auf einen Briefumschlag zu schreiben.

Received: from new-flash-portal.biz ([94.75.199.240])

Gehostet bei Leaseweb in Holland... da wundert mich nichts mehr.

(Für diejenigen die sich über diese Aussage wundern: einfach mal nach Leaseweb bei den Kollegen von Antispam-ev.de suchen.)

Bearbeitet 16. Dezember 2013 von Chief Wiggum

[SaJu]

Ich habe den Antrag für Blacklisting an den Support abgeschickt und den E-Mail-Header dazu gegeben. Morgen sollte es mehr Infos (von GMX-Seite) dazu geben.

[Thanks-and-Goodbye]

Die Mailadresse des Fragestellers wurde (Spamschutz) editiert.

[SaJu]

Der TO müsste gestern eine E-Mail vom GMX-Support erhalten haben.

[SaJu]

@derwunner: Was hat der GMX-Support gesagt?