[Gleichgewicht]

Kennt sich jemand mit web.de aus und kann mit helfen?

Seit einigen Tagen ist wohl mein Account gehackt.

Erkennbar daran, dass ich ständig Mail delivery failed: returning message to sender Meldungen bekomme. Im Postausgang/Gesendet sind aber keine Mails gelistet.

Passwort habe ich schon geändert, hat nichts geholfen. Kann man bei web.de irgendwie einstellen, dass nur selbst versendete Mails rausgehen oder es beim Verschicken einer nochmaligen Bestätigung bedarf?

Scheinbar wird mein Account als Zwischenstation genutzt? Ich kenne mich mit sowas nicht aus.


Ich befürchte, der web.de support wird mir nicht helfen können außer vielleicht direkt meinen Account ohne Vorwarnung dicht zu machen.



edit: Mir würde es auch schon reichen, meinen Account erstmal komplett still zu legen, das gar nichts mehr raus darf. Solange kann ich auf eine Alternative wechseln und in einigen Wochen schauen, ob es sich wieder beruhigt hat.

[Homerclon]

Nutzt du ein eMail-Programm, oder nur direkt über die Website?
Wenn du ein eMail-Programm verwendest, könnte etwas auf deinem Rechner sein das irgendwas über dein eMail-Programm versenden will.

Nebenbei: wenn Zugriff besteht, ist es auch ein leichtes den Postausgang/Gesendet-Ordner zu leeren.

[Gleichgewicht]

Ich nutze Thunderbird.

Der Windows Defender hat nichts entdeckt und ich war auch nicht auf irgendwelchen unsicheren Seiten.

[foobar]

Das muss nicht zwangsläufig ein Hack sein. Um zu verstehen, was passiert, kann man die Funktionsweise von E-Mail näherungsweise mit der von Briefpost vergleichen.

Wenn du einen Brief schickst und der ist nicht zustellbar, dann geht er zurück an die Anschrift, die als Absender auf dem Umschlag steht. Aber die muss nicht stimmen. Ich kann problemlos einen Brief an dich adressieren und dann auf den Umschlag schreiben, der Absender wäre Otto Schmidt in der Hauptstr. 14 in Hampelhausen. Ist der Brief dann nicht zustellbar, geht er nicht an mich, sondern an Otto. Sofern dessen Adresse korrekt war.

So funktioniert es auch bei E-Mails. Wenn ich eine Mail mit gefälschtem Absender verschicke (z.B. weil ich Spammer bin und mich nicht selbst enttarnen will), dann gehen unzustellbare Mails eben an die arme Sau, deren Adresse ich als Absender eingesetzt habe. Zum Beispiel eben an dich. Spammer setzen gerne echte Adressen, die sie irgendwo eingesammelt haben, als Absender ein, um damit Filter auszutricksen und für menschliche Empfänger glaubwürdiger zu wirken.

Gute Mailserver nehmen keine Mails mit gefälschten Absendern an (oder sie markieren sie "unsichtbar", damit man dennoch immer den Urheber identifizieren kann). Leider ist nicht jeder Mailserver auf der Welt sauber konfiguriert.

Es kann also ein Hack sein, muss es aber nicht. Wenn du mal den Quelltext eines solchen Rückläufers postest (in Thunderbird z.B. via Ansicht -> Nachrichtenquelltext anzeigen), kann ich dir evtl. sagen, ob der Müll von deinem Konto kam.

[Gleichgewicht]

Spoiler:(zum lesen bitte Text markieren)

Return-Path: <>
Received: from mout-bounce.web.de ([217.72.192.77]) by mx-ha.web.de (mxweb112
[212.227.17.8]) with ESMTPS (Nemesis) id 1MUWpW-1i7mAJ2YOO-00QVsv for
<meinemailadresse@web.de>; Sat, 29 Jun 2019 19:24:23 +0200
Received: from localhost by mout-bounce.web.de id 0LwI5a-1icxBp2KVy-0185zL
Sat, 29 Jun 2019 19:24:23 +0200
Date: Sat, 29 Jun 2019 19:24:23 +0200
From: "WEB.DE Mailer Daemon" <keineantwortadresse@web.de>
To: meinemailadresse@web.de
Subject: Mail delivery failed: returning message to sender
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
X-UI-Out-Filterresults: unknown:0;V03:K0:gtqSDyL3nbg=:rUkb7BQpWlNv0Kx2Nbj4LQ
==
Envelope-To: <meinemailaddresse@web.de>
X-UI-Filterresults: unknown:5;V03:K0:7/xwilC3jrg=:y26+D214MYVa4+pc9MQf9AmQFJ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This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of
its recipients. This is a permanent error. The following address(es)
failed:

wsp@rogers.com:
SMTP error from remote server for MAIL FROM command, host: mx-rogers.mail.am0.yahoodns.net (67.195.230.37) reason: 553 5.7.2 [TSS06] All messages from 82.165.159.34 will be permanently defe
rred; Retrying will NOT succeed. See https://help.yahoo.com/kb/postmas
ter/SLN3436.html



--- The header of the original message is following. ---

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=web.de;
s=dbaedf251592; t=1561829062;
bh=TQ4vjOLBWSp05EZBcX1IGBxeeUn6g+9y6tvERChZCWE=;
h=X-UI-Sender-Class:From:To:Subjectate;
b=qOaSSEsWUh1pjPKcrb84iF+nvan5RpLQ2mkME7hZ3h6aXjI0KZepKaO3r62j7OpaW
9dR9BgXveWH0xQkoYJx659XXAuRifVsjAjNNX4+9bn607vAnQxqIsBoeWVzsqPxL6j
xeGXvy5x50rstBQZ8tt4sjMS/bE/MICkrIc1ClkI=
X-UI-Sender-Class: c548c8c5-30a9-4db5-a2e7-cb6cb037b8f9
Received: from localhost ([138.186.197.27]) by smtp.web.de (mrweb101
[213.165.67.124]) with ESMTPSA (Nemesis) id 0LopiJ-1iDHo408Ql-00gtMm for
<wsp@rogers.com>; Sat, 29 Jun 2019 18:34:16 +0200
From: Joe Marusic <meinemailadresse@web.de>
To: all <wsp@rogers.com>
Subject: Fw: for all
Date: Sat, 29 Jun 2019 18:34:16 +0200
Message-ID: <0MPHC8-1hcqSW1SZk-004WkN@smtp.web.de>
X-Provags-ID: V03:K1:riN9BySI3QDDQMsX1pQMKQBrhJnXaFTWlbwCgzQoVv6Z2+bPCKT
b7NXKwuuR3JspbmLh5NZQKSXHroG1ZSc3LmyWtr5hrQXGe69gvVZnnoDf2Smsp6Q/hK9nbo
7T9QLNDeJomJyEjccUwad8O5XFajJbS61FvGHQ87kd7stnZl2M/jI7J1gJJtBvkTiH6auby
TNiBB8bzq3RBBp6doGU5g==
X-Spam-Flag: YES
X-UI-Out-Filterresults: junk:10;V03:K0:kpZjErlxhT0=:dXwB6y3zEBx7//KXrbLJCMB+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Da, bitte.

Sollten noch vertrauliche Dinge drin sein, sag bitte Bescheid, damit ich die rauseditieren kann.

[foobar]

Ok. Rückfrage: Hast du deinen Internetanschluss bei 1&1?

Und ich nehme an, du hast nichts weiter gelöscht, sondern nur deine eigene Adresse unkenntlich gemacht, richtig?

[Gleichgewicht]

Nein, Telekom

Und ja, ich habe nur meine eigene Adresse unkenntlich gemacht. Also alles was geändert wurde ist fett dargestellt.

[foobar]

Hmmm... da sind einige Inkonsistenzen drin, aber es könnte in der Tat ein kompromittiertes Mail-Konto sein. Der Bounce stammt augenscheinlich direkt vom SMTP-Server bei web.de, welcher versucht hat, sie dem Empfänger zuzustellen und dabei scheiterte. Wir können also annehmen, dass die Angaben darin korrekt sind. Da web.de die Mail nicht angenommen hätte, wenn der Absender sich nicht per SMTP-Auth beglaubigt hätte, spricht einiges dafür, dass dieser Absender tatsächlich deine Zugangsdaten hat. Auch die ursprüngliche Nachricht (die den Bounce ausgelöst hat), sieht in dieser Hinsicht authentisch aus.

Gegen einen echten Bounce spricht, dass der Empfänger die Mail abgelehnt hat, weil sie angeblich von der IP 82.165.159.34 (bei 1&1) stammt, was aber gar nicht der Fall ist. Es kann aber sein, dass da nur ein Admin vergessen hat, die Fehlermeldung anzupassen.

Ich will mich nicht zu weit aus dem Fenster lehnen (bin kein Experte im Lesen von Mailheadern), aber es sieht für mich danach aus, als sitze der Urheber der Nachricht in Brasilien und habe deine Mail-Zugangsdaten. Oder es ist alles so gut gefälscht, dass zumindest ich drauf reinfalle.

Jetzt ist natürlich die Frage: Wenn du das Passwort schon geändert hast, wieso nimmt es kein Ende? Entweder waren da noch Nachzügler irgendwo in der Warteschlange, oder der Spammer hat deine neuen Zugangsdaten ebenfalls. Wo kann er die her haben? Von deinem Rechner?

Was ich an deiner Stelle mal testen würde: Fokussiere dich auf ein Gerät. Wenn du deine E-Mail auch noch woanders eingerichtet hast (z.B. dem Smartphone), dann schalte das mal testweise alles solange ab. Besorge dir dann ein garantiert sauberes Rettungssystem (z.B. ein Live-Linux) und ändere darunter nochmal das Passwort für dein Mailkonto. Auf etwas sicheres. Fautformel: Alles, was man sich merken kann, ist unsicher. Dann bleibst du unter diesem Rettungssystem und benutzt das installierte Windows nicht weiter. Hören die Bounces dann auf, würde ich vermuten, dass dein Windows kompromittiert ist. Da hilft dann nur das restlose Plattmachen.

Hören die Bounces dann immer noch nicht auf, wird's schwierig. Theoretisch könnte ein anderes web.de-Konto der Urheber sein und deine Adresse wurde dort als Absender eingetragen. Aber meines Wissens erlaubt web.de sowas nicht. Außer, diese Adressen wurden vorher im Webfrontend freigeschaltet. Wenn du das selbst irgendwo gemacht hast (vielleicht bei einem zweiten web.de-Konto oder so), dann würde ich auch dort mal das Passwort ändern.

[Gleichgewicht]

Danke erstmal für die Hilfe.

Jetzt ist natürlich die Frage: Wenn du das Passwort schon geändert hast, wieso nimmt es kein Ende? Entweder waren da noch Nachzügler irgendwo in der Warteschlange, oder der Spammer hat deine neuen Zugangsdaten ebenfalls. Wo kann er die her haben? Von deinem Rechner?

Das werde ich als ersten Schritt morgen nochmal beobachten. Momentan ist wirklich Ruhe.

Dann muss ich nur zusehen, dass ich überall meine Passwörter ändere. Bisher habe ich mich an "es muss einfach nur so lang wie möglich sein" gehalten. Also Sachen die ich mir merken kann, aber eher kurze zusammengeschriebene Sätze. Ich dachte, das wäre aktuell der Way to Go.

Dann frage ich mich natürlich trotzdem, woher der mein Passwort hat. Ich bin schon sehr vorsichtig im Internet unterwegs.

[foobar]

Bisher habe ich mich an "es muss einfach nur so lang wie möglich sein" gehalten. Also Sachen die ich mir merken kann, aber eher kurze zusammengeschriebene Sätze. Ich dachte, das wäre aktuell der Way to Go.

Jein. Grundsätzlich sind lange Passwörter besser als komplizierte.

Ein 16 Zeichen langes Passwort, das nur aus Kleinbuchstaben besteht, hat 26¹⁶ = 43.608.742.899.428.874.059.776 mögliche Kombinationen. Mache ich das Passwort nur halb so lang, nehme dafür aber doppelt so viele Zeichen (Groß- und Kleinbuchstaben), sind das hingegen nur 52⁸ = 53.459.728.531.456 Kombinationen. Also 9 Größenordnungen weniger. Entsprechend sind die oft von hirnverbrannten Diensten verlangten Sonderzeichen ($§%! usw.) weit weniger effektiv als einfach ein paar mehr Stellen.

Das gilt aber nur bei wirklich rein zufälligen Passwörtern. Wenn ich Sätze nehme, ändern sich die Spielregeln. Meistens sind die Eingabemöglichkeiten ja in der Länge begrenzt. Nehmen wir an, das Passwort darf großzügige 32 Zeichen lang sein. Laut Duden ist ein deutsches Wort im Schnitt 10,2 Zeichen lang, also kriegt man da einen Satz mit 3, vielleicht 4 Worten gebaut. Angeblich hat der deutsche Durchschnittssprecher einen aktiven Wortschatz von im Mittel 14.000 Worten. Macht 14.000³ = 2.744.000.000.000 Kombinationen. Das ist weniger als das 8-stellige Passwort aus Groß- und Kleinbuchstaben. Mit 4 Worten wird man 3 Größenordnungen besser als das 8-stellige Kennwort ohne Sonderzeichen und Ziffern, liegt aber immer noch weit hinter dem 16-stelligen Kennwort aus nur Kleinbuchstaben. Und das lässt noch außer acht, dass ein Satz in der deutschen Sprache ja keine beliebige Kombination von Worten sein kann, sondern eine gewisse Struktur haben muss (z.B. Subjekt-verb-Objekt). Das reduziert die Möglichkeiten in der Praxis noch weiter.

16+ Stellen alphanumerisch (A-Z, a-z, 0-9) sind IMHO hinreichend sicher für die meisten Anwendungen. Natürlich hilft alles nix, wenn man keine zufälligen Kombinationen wählt, sondern Geburtsdaten oder Mädchennamen der Oma oder sowas. Der Mensch ist übrigens sehr schlecht darin, absichtlich Zufall zu erzeugen. In der Regel produzieren wir unbewusst doch irgendwelche Muster. Es gibt Programme, die echt zufällige Passwörter erzeugen können (natürlich darf man die nicht auf einem evtl. kompromittierten Gerät laufen lassen). Man kann auch Würfel oder sonstige Hilfsmittel nehmen.

Auf jeden Fall würde ich gerade bei E-Mail-Konten zu besonders sicheren Passwörtern raten, denn in der heutigen Welt ist die E-Mail der Generalschlüssel zu deiner digitalen Identität. Wenn ich deine E-Mail kontrolliere, kontrolliere ich de facto alles. Möchte ich z.B. auf deine Rechnung bei Ebay einkaufen, klicke ich halt auf "Passwort vergessen". Dann kommt der Link zum Zurücksetzen per Mail (die ich anschließend lösche, damit du nix merkst) und ich habe mir auch Zugang zu deinem Ebay-Konto verschafft. Dito für Paypal, Facebook, Netflix, Steam, Playstation-Store und so weiter.

In dem Zusammenhang willst du dann wahrscheinlich auch alle deine Passwörter ändern. Überall.

[Haftamo]

gmx und web.de gehören zu 1&1.

Was auch ggf. überprüft werden müsste sind die hinterlegte Mobilfunknummer und E-Mail Adresse des Accounts, falls es mit den bis jetzt genannten Tipps keine Besserung gibt.