Discussion:
web.de massenhaft undelivered Mail
(zu alt für eine Antwort)
Matthias Frank
2011-12-27 21:21:03 UTC
Permalink
Hallo,

bekomme in letzter Zeit öfter Mails in mein web.de Postfach
mit der Überschrift:

Undelivered Mail Returned to Sender

Gut das gab es früher auch schon, wenn eine Mail
mal nicht zugestellt werden konnte aber doch nicht
50, zumal ich überhaupt nicht 50 Mails verschicke.
Auch keine Gruppen oder Sammelmails.

unten hab ich mal den Inhalt einer Mail beispielhaft
angeführt, die Mail Adresse die da genannt ist, kenne
ich (wie zu erwarten war) auch nicht.


Hat jemand mein Postfach übernommen?
Hab allerdings vor ner Woche das Passwort
geändert. es passiert immer noch.
Oder ist das Spam?
Wo könnte man das melden bei web,de?
Ausser Werbung findet man auf deren Webseite
ja nichts sinnvolles.


"This is the mail system at host fmmailgate01.web.de.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<***@neon-nites.co.uk>: mail transport unavailable"

MfG
Matthias
Martin Gerdes
2011-12-27 22:01:01 UTC
Permalink
Post by Matthias Frank
bekomme in letzter Zeit öfter Mails in mein web.de Postfach
Undelivered Mail Returned to Sender
Gut das gab es früher auch schon, wenn eine Mail
mal nicht zugestellt werden konnte aber doch nicht
50, zumal ich überhaupt nicht 50 Mails verschicke.
Auch keine Gruppen oder Sammelmails.
Unten hab ich mal den Inhalt einer Mail beispielhaft
angeführt, die Mail Adresse die da genannt ist, kenne
ich (wie zu erwarten war) auch nicht.
Hat jemand mein Postfach übernommen?
Vermutlich nicht.
Post by Matthias Frank
Oder ist das Spam?
So etwa.

Möglicherweise verschickt einer Spam und gibt Deine Adresse als Absender
an. Etliche Mails bouncen (z.B. weil die Zieladresse nicht stimmt) und
die werden dann halt zum (vermeintlichen) Absender zurückgeschickt.
Post by Matthias Frank
Wo könnte man das melden bei web.de?
Vorschlag: Ruhe bewahren, nichts machen. Das hört von selber wieder auf.
Jochen Meier
2011-12-27 22:42:58 UTC
Permalink
Post by Martin Gerdes
Möglicherweise verschickt einer Spam und gibt Deine Adresse als Absender
an. Etliche Mails bouncen (z.B. weil die Zieladresse nicht stimmt) und
die werden dann halt zum (vermeintlichen) Absender zurückgeschickt.
Post by Matthias Frank
"This is the mail system at host fmmailgate01.web.de.
Also verschickt der Mailserver von web.de den Bounce. Das
sollte nur passieren, wenn die Mail über sein web.de Postfach
verschickt worden ist.

Eine genauere Analyse ist aber nur mit der kompletten Mail
möglich.
Post by Martin Gerdes
Vorschlag: Ruhe bewahren, nichts machen. Das hört von selber wieder auf.
Nein. Alle Rechner auf denen er sein web.de Kennwort benutzt
hat auf Trojaner prüfen und auf jeden Fall sein web.de
Kennwort ändern und alle Einstellungen des web.de Postfachs
überprüfen.

Gruß,
Jochen
Thomas Gohel
2011-12-28 13:56:00 UTC
Permalink
Jochen Meier meinte zum Thema "Re: web.de massenhaft undelivered Mail"

Hallo Jochen,
Post by Jochen Meier
Post by Matthias Frank
"This is the mail system at host fmmailgate01.web.de.
Also verschickt der Mailserver von web.de den Bounce. Das
sollte nur passieren, wenn die Mail über sein web.de Postfach
verschickt worden ist.
Dazu reicht es, wenn irgendwer mit einem (gehackten) Web.de-Account
Spam bei Web.de einwirft. Wenn Matthias den Spam selbst verschicken
würde, dann wären es nicht nur 50 Bounces, sondern eher so um die
5000 pro Tag. ;-)

Davon abgesehen: Web.de steht ja mit schöner Regelmäßigkeit in irgend-
welchen Blacklisten und nach meiner Statistik sind sie damit sogar
führend unter den deutschen Anbietern. :-/

Tschau,

--------------
/ h o m a s
--
Der neue Internet Trend: Abstossende Postings! Verfasse die Mail in
HTML, niemals mit Realnamen, haenge immer das Original-Posting als
Fullquote an die Antwort, signiere alles konsequent mit einer Visiten-
karte und Du wirst reichlich die diversen Filter begluecken. :-)))))))
Jochen Meier
2011-12-28 20:59:24 UTC
Permalink
Post by Thomas Gohel
Dazu reicht es, wenn irgendwer mit einem (gehackten) Web.de-Account
Spam bei Web.de einwirft.
Wenn jemand über einen fremden web.de Account SPAM verschickt, dann
müssen auch die Bounces im fremden web.de Account landen. Andernfalls
hätte web.de ein enormes Problem.

Gruß,
Jochen
Thomas Gohel
2011-12-29 19:54:00 UTC
Permalink
Jochen Meier meinte zum Thema "Re: web.de massenhaft undelivered Mail"

Hallo Jochen,
Post by Jochen Meier
Post by Thomas Gohel
Dazu reicht es, wenn irgendwer mit einem (gehackten) Web.de-Account
Spam bei Web.de einwirft.
Wenn jemand über einen fremden web.de Account SPAM verschickt, dann
müssen auch die Bounces im fremden web.de Account landen.
Nicht zwingend, da der Spammer die Envelope-From von Hand setzen
kann. Bei obigen Fragmenten der Bounce könnte durchaus Web.de die
fragliche Mail schon intern Bouncen.
Post by Jochen Meier
Andernfalls hätte web.de ein enormes Problem.
Nein, eigentlich auch nicht (ist ja nicht T-Online im Dummy-Modus),
denn eigentlich ist es ein Feature die Envelope-From selbst setzen
zu können, sofern der User sich ordentlich am SMTP-Server angemeldet
hat.

Tschau,

--------------
/ h o m a s
--
Der neue Internet Trend: Abstossende Postings! Verfasse die Mail in
HTML, niemals mit Realnamen, haenge immer das Original-Posting als
Fullquote an die Antwort, signiere alles konsequent mit einer Visiten-
karte und Du wirst reichlich die diversen Filter begluecken. :-)))))))
Oliver Schwickert
2011-12-29 20:40:49 UTC
Permalink
Post by Thomas Gohel
Jochen Meier meinte zum Thema "Re: web.de massenhaft undelivered Mail"
Hallo Jochen,
Post by Jochen Meier
Post by Thomas Gohel
Dazu reicht es, wenn irgendwer mit einem (gehackten) Web.de-Account
Spam bei Web.de einwirft.
Wenn jemand über einen fremden web.de Account SPAM verschickt, dann
müssen auch die Bounces im fremden web.de Account landen.
Nicht zwingend, da der Spammer die Envelope-From von Hand setzen
kann. Bei obigen Fragmenten der Bounce könnte durchaus Web.de die
fragliche Mail schon intern Bouncen.
Post by Jochen Meier
Andernfalls hätte web.de ein enormes Problem.
Nein, eigentlich auch nicht (ist ja nicht T-Online im Dummy-Modus),
denn eigentlich ist es ein Feature die Envelope-From selbst setzen
zu können, sofern der User sich ordentlich am SMTP-Server angemeldet
hat.
[...]
235 Authentication succeeded
mail from:<phantasie-***@web.de>
550-Requested action not taken: mailbox unavailable
550 Sender address is not allowed.

HTH
Jochen Meier
2011-12-29 21:19:34 UTC
Permalink
Post by Oliver Schwickert
Post by Thomas Gohel
Post by Jochen Meier
Wenn jemand über einen fremden web.de Account SPAM verschickt, dann
müssen auch die Bounces im fremden web.de Account landen.
Nicht zwingend, da der Spammer die Envelope-From von Hand setzen
kann. Bei obigen Fragmenten der Bounce könnte durchaus Web.de die
fragliche Mail schon intern Bouncen.
[...]
235 Authentication succeeded
550-Requested action not taken: mailbox unavailable
550 Sender address is not allowed.
Danke, das beruhigt mich wieder ;-) Andererseits: Hast du das auch mit einer
gültigen fremden web.de Adresse probiert (z.B. mit der von Matthias)?

Ich würde sogar noch erwarten, dass web.de auch das From im Mail-Header
auf unerlaubte Adressen prüft: Erlaubt sollte nur das sein, was über
die Webmailoberfläche freigeschaltet/verifiziert wurde.

Gruß,
Jochen
Mathias Fuhrmann
2011-12-30 09:51:00 UTC
Permalink
Post by Jochen Meier
Post by Oliver Schwickert
235 Authentication succeeded
550-Requested action not taken: mailbox unavailable
550 Sender address is not allowed.
Danke, das beruhigt mich wieder ;-) Andererseits: Hast du das auch mit einer
gültigen fremden web.de Adresse probiert (z.B. mit der von Matthias)?
Hier ein anderer Mathias ... ;-)
Ich kann bei meinen E-Mail-Providern eine beliebige From-Adresse von
Hand eintragen. Selbstverständlich ist im Header auch meine
'Einwahladresse' zu finden; man kann also sehen, wer eingeliefert hat.
Geht z.B. bei GMX, Arcor u.a.
Lediglich gmail nimmt als From immer die normale Adresse und löscht
meine von Hand eingegebene. So war es zumindest bisher.

Mathias
Oliver Schwickert
2011-12-30 17:19:18 UTC
Permalink
Post by Mathias Fuhrmann
Ich kann bei meinen E-Mail-Providern eine beliebige From-Adresse von
Hand eintragen. Selbstverständlich ist im Header auch meine
'Einwahladresse' zu finden; man kann also sehen, wer eingeliefert hat.
Geht z.B. bei GMX, Arcor u.a.
Die "Einwahladresse" ist zwar z.B. bei Arcor im Header zu finden, ein
Bounce geht aber nichtsdestotrotz an das - evtl. /gefälschte/ -
Envelope-From.

Und genau das scheint beim OP der Fall gewesen zu sein.
Thomas Gohel
2011-12-30 14:41:00 UTC
Permalink
Oliver Schwickert meinte zum Thema "Re: web.de massenhaft undelivered Mail"

Hallo Oliver,
Post by Oliver Schwickert
Post by Thomas Gohel
Nein, eigentlich auch nicht (ist ja nicht T-Online im Dummy-Modus),
denn eigentlich ist es ein Feature die Envelope-From selbst setzen
zu können, sofern der User sich ordentlich am SMTP-Server angemeldet
hat.
[...]
235 Authentication succeeded
550-Requested action not taken: mailbox unavailable
550 Sender address is not allowed.
Das sagt in meinen Augen erst einmal nichts aus, da Web.de offensichtlich
nur auf ein existierendes Postfach bei sich selber prüft.

Tschau,

--------------
/ h o m a s
--
Der neue Internet Trend: Abstossende Postings! Verfasse die Mail in
HTML, niemals mit Realnamen, haenge immer das Original-Posting als
Fullquote an die Antwort, signiere alles konsequent mit einer Visiten-
karte und Du wirst reichlich die diversen Filter begluecken. :-)))))))
Matthias Frank
2011-12-29 09:20:21 UTC
Permalink
Post by Jochen Meier
Eine genauere Analyse ist aber nur mit der kompletten Mail
möglich.
Die Mail die angeblich nicht zugestellt wurde ist im Anhang, z.b.:

"Von: "Mail Delivery System" <MAILER-***@arcor-online.net>
An: meine Adresse
Betreff: Mail konnte nicht zugestellt werden / Undelivered Mail Returned
to Sender
Datum: 29.12.11 03:56:49
Want to buy weapons, drugs? Want to become a terrorist? Check this video
and you can even blow up the White House!



Sieht doch irgendwie nach Spam aus.
Torsten Fleischmann
2011-12-29 09:30:00 UTC
Permalink
Post by Matthias Frank
Post by Jochen Meier
Eine genauere Analyse ist aber nur mit der kompletten Mail
möglich.
Die header der Mails sind das Interessante, aber...
Hast du nicht ursprünglich von web.de geschrieben?
Post by Matthias Frank
Sieht doch irgendwie nach Spam aus.
Aber beantwortet nicht die Frage wo der Spam herkommt. Falls die
wirklich bei Arcor bouncen und dann zu web.de zurück geschickt werden,
kannst du denen mal auf die Füße treten.
--
Tschüß,
Torsten
Werner P. Schulz
2011-12-29 09:30:35 UTC
Permalink
Post by Jochen Meier
Eine genauere Analyse ist aber nur mit der kompletten Mail
möglich.
Wenn schon, dann mußt du den gesamten header posten; da du Thunderbird
benutzt:
Ansicht => Nachrichten-Quelltext
--
Gruss Werner * http://www.wp-schulz.de/rettung.html
Eigene Rescue-CD (Knoppix V6.7.1 remaster)
mail nur an => nospam0601 at wp-schulz.de
Matthias Frank
2011-12-29 20:12:28 UTC
Permalink
Post by Werner P. Schulz
Wenn schon, dann mußt du den gesamten header posten; da du Thunderbird
Ansicht => Nachrichten-Quelltext
Ich hoffe das reicht, wie gesagt aus web.de bzw. von meiner dortigen
Adresse,
wo arcor herkommt weiß ich nicht:



Betreff: Mail konnte nicht zugestellt werden / Undelivered Mail
Returned to Sender
Von: "Mail Delivery System" <MAILER-***@arcor-online.net> ins
Adressbuch | zum Chat einladen
An: meine Adresse
Datum: 29.12.11 03:56:53

üblicher Header
Received: from [151.189.21.46] (helo=mail-in-06.arcor-online.net)
by mx13.web.de with esmtp (WEB.DE 4.110 #1)
id 1Rg6Aj-00048T-00
for meine Adresse; Thu, 29 Dec 2011 03:56:49 +0100
Received: by mail-in-06.arcor-online.net (Postfix)
id A661C10C911; Thu, 29 Dec 2011 03:56:49 +0100 (CET)
Date: Thu, 29 Dec 2011 03:56:49 +0100 (CET)
From: MAILER-***@arcor-online.net (Mail Delivery System)
Subject: Mail konnte nicht zugestellt werden / Undelivered Mail Returned
to Sender
To: meine Adresse
Auto-Submitted: auto-replied
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="7154310C48F.1325127409/mail-in-06.arcor-online.net"
Message-Id: <***@mail-in-06.arcor-online.net>
Return-Path:

Dies ist eine automatisch generierte Nachricht des Maildienstes von Arcor.
(Postfix auf mail-in-06.arcor-online.net.)
Die von Ihnen versendete Mail konnte nicht zugestellt werden.
Die betroffene Mail finden Sie im Anhang dieser Fehlermeldung.

Bitte ueberpruefen Sie ob der Empfaenger korrekt eingegeben wurde.
Weitere Unterstuetzung zu der Fehlermeldung und eine Kontaktmoeglichkeit
finden Sie hier:
http://www.arcor.de/hilfe/

Ihr Arcor Maildienst Postfix

Arcor - Ihr Internetportal - ist ein Service der Vodafone AG & Co. KG.
Das vollstaendige Impressum finden Sie hier:
http://www.arcor.de/imp/impressum.php

----------------------------------------------------------

This is the Postfix program at host mail-in-06.arcor-online.net.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please see (german language only):
http://www.arcor.de/hilfe/

The Postfix program

<yuib-***@microsoft.ru>: connect to microsoft.ru[207.46.197.32]:25:
Connection refused
Werner P. Schulz
2011-12-29 21:29:09 UTC
Permalink
Post by Werner P. Schulz
Wenn schon, dann mußt du den gesamten header posten; da du Thunderbird
Ansicht => Nachrichten-Quelltext
Ich hoffe das reicht, ...
Nein, es fehlt der Teil, wo die Headerzeilen der abgewiesenen email zu
sehen sind.
--
Gruss Werner * http://www.wp-schulz.de/rettung.html
Eigene Rescue-CD (Knoppix V6.7.1 remaster)
mail nur an => nospam0601 at wp-schulz.de
Loading...