Spam Mail im "Neue Antwort auf" Design

Status
Für weitere Antworten geschlossen.
H
humi
Vertrieb VA Technik
HCA
Zuletzt hier
11.10.17
Registriert
03.06.08
Beiträge
3.439
Kekse
26.009
moin moin,

ich habe heute ein Mail im Design der normalen "Neue Antwort auf" Mail erhalten.
Was mich stutzig machte
- die Chinesichen (?) Zeichen in der Mail
- der enthaltene Board Link führt zu einem schon längst erledigtem Post
- der schreibende User (zl402hihi666) ist nicht hier registriert

Hier noch ein paar Infos für die Admins:
- Sender IP ist die des Musiker Board Servers
- Message ID 20090624053147.03d65c1ff893@www.musiker-board.de
- Timestamp Wed, 24 Jun 2009 07:31:48 +0200 (CEST)
- Ziel des enthaltenen Links (laut whois):
Code: 
Registrars.Domain Name : xiaochui.com

Registrant Contact Information :
袁华
袁华
xiaochuicom@gmail.com
盘龙区江东花城650224, 650051
tel: 86 08715127748
fax: 86 08715127748

Administrative Contact Information :
袁华
袁华
xiaochuicom@gmail.com
盘龙区江东花城650224, 650051
tel: 86 08715127748
fax: 86 08715127748

Technical Contact Information :
袁华
袁华
xiaochuicom@gmail.com
盘龙区江东花城650224, 650051
tel: 86 08715127748
fax: 86 08715127748

Billing Contact Information :
袁华
袁华
xiaochuicom@gmail.com
盘龙区江东花城650224, 650051
tel: 86 08715127748
fax: 86 08715127748

Status :
clientDeleteProhibited
clientTransferProhibited

Domain Name Server :
ns1.ename.cn
ns2.ename.cn
ns3.ename.cn
ns4.ename.cn
ns5.ename.cn
ns6.ename.cn

Registration Date :2008-7-25
Expiration Date : 2010-7-25

Bei Fragen steh ich gern zur Verfügung.

grüße, humi
 
Eigenschaft
 
In deinem profil hast du eine von jedem registrierten benutzer herunterladbare vcard eingestellt. Diese vcard enthält eine e-mail adresse. Vielleicht macht sich hier jemand etwas zunutze...

Empfehlung kann eigentlich nur sein, jedermanns zugriff auf v-card/mail-addy abzuschalten.

Gruss, Ben
 
moin moin,

danke für den Tip, aber ich hab keine vCard eingerichtet. Wenn ist dies eine Standarteinstellung, wo kann ich dies abschalten?

Das ändert aber nichts an der Tatsache, das diese Mail von dem Musiker Board Server gesendet worden ist.

dank und gruß, humi
 
humi schrieb:
Wenn ist dies eine Standarteinstellung, wo kann ich dies abschalten?
Zum Vergrößern anklicken....
Kontrollzentrum, dann links unter dem untertitel "Einstellungen & Optionen" auf "Einstellungen ändern" klicken. Dort mal alles durchgucken. Das mit der vcard ist gleich ziemlich am anfang, da gibt es aber noch mehr interessantes...

Zum versand per musikerboard-server wird sich dann wohl jemand von den admins äussern müssen.

Viel glück

Gruss, Ben
 
nur zur Info

den User gab es ganz kurz, bis er gesperrt wurde :D

Zum versand per musikerboard-server wird sich dann wohl jemand von den admins äussern müssen.
Zum Vergrößern anklicken....
Was das angeht, schau doch mal in den erweiterten Header der Mail - die 'offensichtliche' Absender-Adresse lässt sich sehr einfach fälschen.
 
moin moin,

@Ben: dank für den Tip: die Anzeigen sind jetzt nur noch für registrierte Benutzer einsehbar.

Aus den mir vorliegenden Headerdaten ist als Sender der Musiker Board Server auszulesen (sonst hätte ich ja oben auch nicht diese Aussage gemacht).
...
Received: from Debian-40-etch-64-LAMP (213-133-99-170.clients.your-server.de [213.133.99.170]) by ...
...
Zum Vergrößern anklicken....

Ich habe eine Anfrage an meinen Provider gestellt, damit er die Sender IP nochmals überprüft. Wenn ich eine Antwort des Providers erhalte, werd ich mich wieder melden.
Sollte dieser den Sender bestätigen, ist wohl leider von einer Kompromitierung auszugehen.

Dank für Eure Mühen

grüße, humi
 
poor but loud schrieb:
Wie hast Du das überhaupt herausbekommen?
Zum Vergrößern anklicken....
ich benutz Thunderbird als Mailclient, da kannst unter Ansicht->Kopfzeilen->Alle Dir die Headerdaten anzeigen lassen. Je nach Provider sind diese mehr oder weniger ausführlich. Da findest dann zum Beispiel die Meldungen des Spamscanners, Virenscanners, ... und halt auch die Senderdaten.

grüße, humi
 
Das geht imo auch mit anderen Mailprogrammen.

Bei Outlook (2000) z.B. unter "Ansicht -> Optionen -> "Internetkopfzeilen" (bei geöffneter Mail!)
 
...und der ursprung der mail liegt im letzten "Received"-header von allen, falls der (und anderes) nicht gefälscht ist.

Gruss, Ben
 
häh? Entweder ich steh aufm schlauch oder ich bin einfach nur zu primitiv gestrickt, um das Problem in seiner vollen Tragkraft zu erkennen. Die Mail war doch vermutlich einfach die übliche Benachrichtigungsmail. In der steht eben auch der gepostete Text. Wenn ein Spambot in einen Thread auf chinesisch postet, dann enthält eben auch die Mail chinesische Schriftzeichen - und wenn der User und seine Beiträge zwishcen dem Erhalt der Mail und dem Besuchen des Threads von einem Mod gelöscht wurden, dann kann es doch durchaus sein, dass der letzte Post im Thread schon lange "erledigt" ist (sprich viel älter ist). Den gelöschten Post sieht man ja nicht unbedingt.
Wo ist nun das große Mysterium oder die Frage? Oder anders gefragt: was spricht dagegen, dass die Mail eine ganz normale, echte benachrichtigungsmail und der Beitrag im Thread eben ein Spambeitrag war?
 
Ich fürchte du hast recht Xytras, das klingt auch völlig einleuchtend. Man du bist so schalau. :hail: :D
 
Xytras schrieb:
Die Mail war doch vermutlich einfach die übliche Benachrichtigungsmail... Wenn ein Spambot in einen Thread auf chinesisch postet, dann enthält eben auch die Mail chinesische Schriftzeichen - und wenn der User und seine Beiträge zwishcen dem Erhalt der Mail und dem Besuchen des Threads von einem Mod gelöscht wurden, dann kann es doch durchaus sein, dass der letzte Post im Thread schon lange "erledigt" ist (sprich viel älter ist).
Zum Vergrößern anklicken....
Du meinst, der TE hat ein Thema abonniert, irgendein chinesischer Spammer hat dort 'reingepostet, die Forensoftware hat den TE über neue Posts benachrichtigt, und bis er die einsehen konnte, war der Post gelöscht?
 
poor but loud schrieb:
Du meinst, der TE hat ein Thema abonniert, irgendein chinesischer Spammer hat dort 'reingepostet, die Forensoftware hat den TE über neue Posts benachrichtigt, und bis er die einsehen konnte, war der Post gelöscht?
Zum Vergrößern anklicken....

ja genau, eigentlich war das mein erster Gedanke. Ich weiss jetzt bloß nicht, ob ich die Problematik voll verstanden hab, oder ob Antje mich veräppelt, weil ich das Problem nicht kapier :D
 
genau so wird es gewesen sein. Eine Benachrichtigung oder der hat angefangen wahllos User anzumailen über das Userprofil.

Ich hatte den User zufällig wohl sehr schnell 'erwischt' und ihn gesperrt, sowie die 3 Postings die er schon abgesetzt hatte gelöscht.

Es kamen bisher auch keine weiteren Meldungen von Usern, die eine Mail von 袁华
(ist das sein Name ??? ) bekommen haben. Daher mach ich hier mal zu.
Falls noch jemand eine Mail über das Board - keine Benachrichtigungs-Mail - bekommen hat, bitte per PN melden.

zumach ... http://*************.net/sign-smiley-6796.gif
 
Status
Für weitere Antworten geschlossen.

Quick Links

Tipps & Tricks
Fragen (FAQ)
Regeln
Board-Mitarbeiter
Unser weiteres Online-Angebot:
Bassic.de · Deejayforum.de · Sequencer.de · Clavio.de · Guitarworld.de · Recording.de

 Musiker-Board Logo
Zurück
Oben