Was geht jetzt ab?

Jürgen Fahnenschreiber

30 Oct 2003 30 Oct '03

16:27

Ich erhielt gerade folgende Mail von mir selbst: Return-Path: X-Original-To: fahnenju@localhost.linux1.local Delivered-To: fahnenju@localhost.linux1.local Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id C05C7C104 for ; Thu, 30 Oct 2003 17:08:15 +0100 (CET) Received: from linux1.local ([127.0.0.1]) by localhost (linux1 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 18211-04 for ; Thu, 30 Oct 2003 17:08:15 +0100 (CET) Received: from localhost (localhost [127.0.0.1]) by linux1.local (Postfix) with ESMTP id D3903C103 for ; Thu, 30 Oct 2003 17:08:14 +0100 (CET) Received: from pop.tiscali.de [62.26.116.130] by localhost with POP3 (fetchmail-6.2.3) for fahnenju@localhost (single-drop); Thu, 30 Oct 2003 17:08:14 +0100 (CET) Received: from MANFRED.de (217.81.219.88) by webmail.tiscali.de (6.7.019) id 3F9D27650016AAFD; Thu, 30 Oct 2003 17:07:38 +0100 Date: Thu, 30 Oct 2003 17:07:38 +0100 (added by postmaster@webmail.tiscali.de) Message-ID: <3F9D27650016AAFD@falcon.intern.zoo.tiscali.de> (added by postmaster@webmail.tiscali.de) From: fahnenju@tiscali.de To: All , ""@tiscali.de Subject: Neue Sobig Variante (Lesen!!) X-MailScanner: Clean Importance: Normal MIME-Version: 1.0 Content-Type: multipart/mixed; boundary="_MANFRED_Mime_001.E7D977290.E847" X-Virus-Scanned: by amavisd-new at local X-Spam-Status: No, hits=3.0 required=5.0 tests=BAYES_60,NO_REAL_NAME,RCVD_IN_NJABL version=2.55 X-Spam-Level: *** X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp) Status: R X-Status: N X-KMail-EncryptionState: X-KMail-SignatureState: Ich hab die aber niemals abgeschickt! Versendet hier irgendjemand SPAM mit meiner Email-Adresse? Jürgen

Show replies by date

Peter Geerds

30 Oct 30 Oct

16:55

Am 30.10.2003 um 17:27 Uhr schrieb Jürgen Fahnenschreiber:

...

Ich erhielt gerade folgende Mail von mir selbst:

Received: from MANFRED.de (217.81.219.88) by webmail.tiscali.de (6.7.019) id 3F9D27650016AAFD; Thu, 30 Oct 2003 17:07:38 +0100

Auf jeden Fall ist MANFRED.de bei T-Online und webmail.tiscali.de (6.7.019) ist m. E. eine Fälschung, da eine gültige IP fehlt - oder? cu PeeGee

Christian Boltz

21:37

Hallo Peter, hallo Jürgen, hallo Leute, Am Donnerstag, 30. Oktober 2003 17:55 schrieb Peter Geerds:

...

Am 30.10.2003 um 17:27 Uhr schrieb Jürgen Fahnenschreiber:

...
Ich erhielt gerade folgende Mail von mir selbst:

Received: from MANFRED.de (217.81.219.88) by webmail.tiscali.de (6.7.019) id 3F9D27650016AAFD; Thu, 30 Oct 2003 17:07:38 +0100

Auf jeden Fall ist MANFRED.de bei T-Online und webmail.tiscali.de (6.7.019) ist m. E. eine Fälschung, da eine gültige IP fehlt - oder?

Das "oder" ist richtig ;-) Die Header scheinen soweit OK zu sein, nur das "MANFRED.de" halte ich für unglaubwürdig (ohne jetzt die IP nachgesehen zu haben). Ich "übersetze" die Received-Zeile mal, dann wird es vielleicht klarer: "Ich bin webmail.tiscali.de und habe von 217.81.219.88, am ... um ... eine Mail erhalten. Übrigens, dieser 217.81.219.88 hat _behauptet_, dass er 'MANFRED.de' heißt." BTW: Was bedeutet eigentlich X-Spam-Stauts: [...] RCVD_IN_NJABL [...]? Vermutlich: RCVD=Received und NJABL dürfte irgendeine Blacklist sein... Die restlichen Received-Zeilen dürften bei Jürgen "intern" entstanden sein, sind also a) glaubwürdig und b) uninteressant ;-) Ach so: Ich vermute mal, dass die Mail ein neuer Wurm sein könnte, zu dem auch schon ein Thread läuft (Subject: Die nächste Stufe der Dreistigkeit). Der passende Virenscanner oder eine Anleitung, wie man den Wurm "los wird", war nicht zufällig gleich angehängt? Im übrigen sind bei modernen Würmern die Absender meist gefälscht und stammen aus dem Adressbuch irgendeines "gewurmten" Windows-Users, der beim Mailen aus dem Fenster guckt... Ich hatte übrigens heute auch zwei "interessante" Mails im Posteingang meiner web.de-Adresse: Subject: [gescannt] Ein Wurm ist auf Ihrem Computer! === Ich bekomme ständig von Ihnen Spam Mails mit einem Virus im Gepäck. Sie sollten diesen Entfernen!! Lesen Sie sich das Dokument durch, bevor Sie meine oder anderen Mailbox sprengen! Mit freundlichen Grüßen: # hier stand eine Mailadresse, kein Realname === Dateianhang: [gescannt] AntiVirusDoc.pif Komischerweise war der Dateianhang ganz klein und enthielt nur ein "M". Jetzt bin ich am Rätseln (auch wegen des "[gescannt]"): - hat web.de jetzt einen Filter, der die Würmer killt? Wäre neu ;-) oder - ist der Wurm so defekt wie die über 100 Sobic.F, die hier ohne Anhang ankamen? [1] Gruß Christian Boltz [1] Dazu kamen auch 81 mit Anhang, aber keiner davon unter Linux lauffähig ;-( *g* -- Meine allerste Festplatte hatte 30 MB, und ich war der King, weil alle anderen 20 MB hatten. Sie fragten, was ich mit 30 MB wolle, die bekomme ich doch nie voll. ;) Meine jetzige Graphikkarte hat mehr. ;)) [Bernd Brodesser in suse-linux]

Peter Geerds

21:54

Am 30.10.2003 um 22:37 Uhr schrieb Christian Boltz:

...

Das "oder" ist richtig ;-)

-vv

...

Die Header scheinen soweit OK zu sein, nur das "MANFRED.de" halte ich für unglaubwürdig (ohne jetzt die IP nachgesehen zu haben).

217.81.x.x ist T-Online-Kunde, der Mailserver von denen hat 194.15.x.x und nennt sich als annehmender mailin06.sul.t-online.de oder ähnlich, als weiterleitender fwdallmx.t-online.com. Daher hast du m. E. recht.

...

Ich "übersetze" die Received-Zeile mal, dann wird es vielleicht klarer:

"Ich bin webmail.tiscali.de und habe von 217.81.219.88, am ... um ... eine Mail erhalten. Übrigens, dieser 217.81.219.88 hat _behauptet_, dass er 'MANFRED.de' heißt."

...

Jetzt bin ich am Rätseln (auch wegen des "[gescannt]"): - hat web.de jetzt einen Filter, der die Würmer killt? Wäre neu ;-) oder - ist der Wurm so defekt wie die über 100 Sobic.F, die hier ohne Anhang ankamen? [1]

Survival of the fittest? ;-) cu PeeGee

Christian Boltz

31 Oct 31 Oct

21:53

Hallo Peter, hallo Leute, Am Donnerstag, 30. Oktober 2003 22:54 schrieb Peter Geerds:

...

Am 30.10.2003 um 22:37 Uhr schrieb Christian Boltz:

...
Das "oder" ist richtig ;-)

-vv

Naja, das vor dem "oder" hat eben nicht so ganz gestimmt ;-)

...

...
Die Header scheinen soweit OK zu sein, nur das "MANFRED.de" halte ich für unglaubwürdig (ohne jetzt die IP nachgesehen zu haben).

217.81.x.x ist T-Online-Kunde, der Mailserver von denen hat 194.15.x.x und nennt sich als annehmender mailin06.sul.t-online.de oder ähnlich, als weiterleitender fwdallmx.t-online.com. Daher hast du m. E. recht.

Jepp. Der angezeigte Name stammt ja nur aus dem "HELO" und kann daher prinzipiell beliebig sein. Meine Mails hatten (haben?) im Header einen Eintrag, dass sie von "tux.boltz" stammen ;-) [...]

...

...
Jetzt bin ich am Rätseln (auch wegen des "[gescannt]"): [...] ist der Wurm so defekt wie die über 100 Sobic.F, die hier ohne Anhang ankamen?

Survival of the fittest? ;-)

*LoL* Gruß Christian Boltz --

...

[/v/l/messages] mingetty[1678]: tty1: invalid character for login name Du hast einen Stubentiger ? Unsere Katze tat sich auch immer schwer mit dem Einloggen:-) [Thomas Moritz in suse-linux]

Olaf Höfelmeyer

30 Oct 30 Oct

17:02

Thursday, October 30, 2003, 5:27:30 PM, you wrote: JF> Ich erhielt gerade folgende Mail von mir selbst: JF> Return-Path: JF> X-Original-To: fahnenju@localhost.linux1.local JF> Delivered-To: fahnenju@localhost.linux1.local JF> Received: from localhost (localhost [127.0.0.1]) JF> by linux1.local (Postfix) with ESMTP id C05C7C104 JF> for ; Thu, 30 Oct 2003 JF> 17:08:15 +0100 (CET) JF> Received: from linux1.local ([127.0.0.1]) JF> by localhost (linux1 [127.0.0.1]) (amavisd-new, port 10024) with JF> ESMTP JF> id 18211-04 for ; JF> Thu, 30 Oct 2003 17:08:15 +0100 (CET) JF> Received: from localhost (localhost [127.0.0.1]) JF> by linux1.local (Postfix) with ESMTP id D3903C103 JF> for ; Thu, 30 Oct 2003 17:08:14 +0100 JF> (CET) JF> Received: from pop.tiscali.de [62.26.116.130] JF> by localhost with POP3 (fetchmail-6.2.3) JF> for fahnenju@localhost (single-drop); Thu, 30 Oct 2003 JF> 17:08:14 +0100 (CET) JF> Received: from MANFRED.de (217.81.219.88) by webmail.tiscali.de JF> (6.7.019) JF> id 3F9D27650016AAFD; Thu, 30 Oct 2003 17:07:38 +0100 JF> Date: Thu, 30 Oct 2003 17:07:38 +0100 (added by JF> postmaster@webmail.tiscali.de) JF> Message-ID: <3F9D27650016AAFD@falcon.intern.zoo.tiscali.de> (added JF> by postmaster@webmail.tiscali.de) JF> From: fahnenju@tiscali.de JF> To: All , JF> ""@tiscali.de JF> Subject: Neue Sobig Variante (Lesen!!) JF> X-MailScanner: Clean JF> Importance: Normal JF> MIME-Version: 1.0 JF> Content-Type: multipart/mixed; JF> boundary="_MANFRED_Mime_001.E7D977290.E847" JF> X-Virus-Scanned: by amavisd-new at local JF> X-Spam-Status: No, hits=3.0 required=5.0 JF> tests=BAYES_60,NO_REAL_NAME,RCVD_IN_NJABL JF> version=2.55 JF> X-Spam-Level: *** JF> X-Spam-Checker-Version: SpamAssassin 2.55 JF> (1.174.2.19-2003-05-19-exp) JF> Status: R JF> X-Status: N JF> X-KMail-EncryptionState: JF> X-KMail-SignatureState: JF> Ich hab die aber niemals abgeschickt! Versendet hier irgendjemand JF> SPAM mit meiner Email-Adresse? JF> Jürgen Hallo! Hast Du Dir den Wurm evtl selbst eingefangen und der verschickt nun lustig Mails mit Deinem Absender? Zufällig sogar an dich selbst adressiert ;-) -- MfG, Olaf Höfelmeyer

Helga Fischer

17:34

Hallo Olaf, Am Donnerstag Oktober 30 2003 18:02 schrieb Olaf Höfelmeyer: Leckeres TOFU...

...

Thursday, October 30, 2003, 5:27:30 PM, you wrote:

JF> Ich erhielt gerade folgende Mail von mir selbst:

JF> Return-Path:

... das ich jetzt geschluckt habe. Obligatorisch: http://www.suse-etikette.de.vu/

...

Hast Du Dir den Wurm evtl selbst eingefangen und der verschickt nun lustig Mails mit Deinem Absender? Zufällig sogar an dich selbst adressiert ;-)

Oooh, kann das KMail jetzt? Komisch, so recht wollte er die bei mir nicht weiterverschicken... Helga -- ## Content Developer OpenOffice.org: lang/DE ## Office-Suite für Linux, Mac, Windows -- http://de.openoffice.org/ ## Werkstatt & Information zu OpenSource -- http://www.eschkitai.de/ ## Etikette, nein Danke? -- http://www.suse-etikette.de.vu/

Jürgen Fahnenschreiber

17:42

Am Donnerstag, 30. Oktober 2003 18:02 schrieb Olaf Höfelmeyer:

...

Thursday, October 30, 2003, 5:27:30 PM, you wrote:

JF> Ich erhielt gerade folgende Mail von mir selbst:

JF> Return-Path: JF> X-Original-To: fahnenju@localhost.linux1.local JF> Delivered-To: fahnenju@localhost.linux1.local JF> Received: from localhost (localhost [127.0.0.1]) JF> by linux1.local (Postfix) with ESMTP id C05C7C104 JF> for ; Thu, 30 Oct 2003 JF> 17:08:15 +0100 (CET) JF> Received: from linux1.local ([127.0.0.1]) JF> by localhost (linux1 [127.0.0.1]) (amavisd-new, port 10024) with JF> ESMTP JF> id 18211-04 for ; JF> Thu, 30 Oct 2003 17:08:15 +0100 (CET) JF> Received: from localhost (localhost [127.0.0.1]) JF> by linux1.local (Postfix) with ESMTP id D3903C103 JF> for ; Thu, 30 Oct 2003 17:08:14 +0100 JF> (CET) JF> Received: from pop.tiscali.de [62.26.116.130] JF> by localhost with POP3 (fetchmail-6.2.3) JF> for fahnenju@localhost (single-drop); Thu, 30 Oct 2003 JF> 17:08:14 +0100 (CET) JF> Received: from MANFRED.de (217.81.219.88) by webmail.tiscali.de JF> (6.7.019) JF> id 3F9D27650016AAFD; Thu, 30 Oct 2003 17:07:38 +0100 JF> Date: Thu, 30 Oct 2003 17:07:38 +0100 (added by JF> postmaster@webmail.tiscali.de) JF> Message-ID: <3F9D27650016AAFD@falcon.intern.zoo.tiscali.de> (added JF> by postmaster@webmail.tiscali.de) JF> From: fahnenju@tiscali.de JF> To: All , JF> ""@tiscali.de JF> Subject: Neue Sobig Variante (Lesen!!) JF> X-MailScanner: Clean JF> Importance: Normal JF> MIME-Version: 1.0 JF> Content-Type: multipart/mixed; JF> boundary="_MANFRED_Mime_001.E7D977290.E847" JF> X-Virus-Scanned: by amavisd-new at local JF> X-Spam-Status: No, hits=3.0 required=5.0 JF> tests=BAYES_60,NO_REAL_NAME,RCVD_IN_NJABL JF> version=2.55 JF> X-Spam-Level: *** JF> X-Spam-Checker-Version: SpamAssassin 2.55 JF> (1.174.2.19-2003-05-19-exp) JF> Status: R JF> X-Status: N JF> X-KMail-EncryptionState: JF> X-KMail-SignatureState:

JF> Ich hab die aber niemals abgeschickt! Versendet hier irgendjemand JF> SPAM mit meiner Email-Adresse?

JF> Jürgen

Hallo!

Hast Du Dir den Wurm evtl selbst eingefangen und der verschickt nun lustig Mails mit Deinem Absender? Zufällig sogar an dich selbst adressiert ;-)

-- MfG, Olaf Höfelmeyer Also, ich hab hier momentan nur einen Linux-Rechner. Mir ist jetzt nicht bekannt, das derzeit irgendein Wurm kmail bzw. postfix zum Versenden verwendet...

Jürgen

Al Bogner

17:55

Am Donnerstag, 30. Oktober 2003 18:42 schrieb Jürgen Fahnenschreiber:

...

Also, ich hab hier momentan nur einen Linux-Rechner. Mir ist jetzt nicht bekannt, das derzeit irgendein Wurm kmail bzw. postfix zum Versenden verwendet...

Ich hab in "Linux" überflogen, dass es einen Wurm gibt der sich via SQL verbreiten kann. Wenn ich es richtig mitbekommen habe, dann war davon die Win-Variante betroffen. So undenkbar scheint mir das aber unter Linux nicht. Eine Gefährdung glaube ich, ist nur dann gegeben, wenn mysql-root kein PW hat. Al

Jan.Trippler＠t-online.de

20:00

Am Donnerstag, 30. Oktober 2003 18:55 schrieb Al Bogner:

...

Am Donnerstag, 30. Oktober 2003 18:42 schrieb Jürgen Fahnenschreiber:

...
Also, ich hab hier momentan nur einen Linux-Rechner. Mir ist jetzt nicht bekannt, das derzeit irgendein Wurm kmail bzw. postfix zum Versenden verwendet...

Ich hab in "Linux" überflogen, dass es einen Wurm gibt der sich via SQL verbreiten kann. Wenn ich es richtig mitbekommen habe, dann war davon die Win-Variante betroffen. So undenkbar scheint mir das aber unter Linux nicht. Eine Gefährdung glaube ich, ist nur dann gegeben, wenn mysql-root kein PW hat.

Wo habt Ihr denn die letzten Wochen gelebt? Die Würmer verwenden Mailadressen, die sie auf den PCs finden, u. a. zum Fälschen der Absenderadresse (BTW mittlerweile auch ein beliebtes Spiel bei Spammern). Das läuft schon seit etlichen Wochen so. In je mehr Win-Adressbüchern Ihr steht, desto mehr von dem Mist kriegt Ihr. Ignorieren! Filtern! Jan

7502

Age (days ago)

7503

Last active (days ago)

List overview

Download

9 comments

7 participants

participants (7)

Al Bogner
Christian Boltz
Helga Fischer
Jan.Trippler＠t-online.de
Jürgen Fahnenschreiber
Olaf Höfelmeyer
Peter Geerds

Was geht jetzt ab?

Jürgen Fahnenschreiber

Peter Geerds

Christian Boltz

Peter Geerds

Christian Boltz

Olaf Höfelmeyer

Helga Fischer

Jürgen Fahnenschreiber

Al Bogner

Jan.Trippler＠t-online.de

tags

participants (7)