Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Spam sturen met mijn email adres als antwoord adres

Pagina: 1
Acties:

Onderwerpen


  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
Beste tweakers,

Onderstaande probleem is afgelopen dinsdag begonnen.

Vanuit één van mijn email adressen wordt er spam mail gestuurd naar mensen in mijn contact list. De mail is niet terug te vinden in mijn verzonden items. De body van dit bericht zit er als volgt uit:
quote:
Hello!
Important message, visit [link] --> deze link is random
[naam afzender]
Sommige mensen die dit bericht hebben ontvangen, zijn inmiddels ditzelfde bericht ook weer gaan sturen naar mensen in hun contact list. Alleen het afzender adres is niet van degene die het bericht verstuurd heeft, maar het is mijn email adres.

Ik heb dit probleem aangekaart bij mijn hosting provider. Zij hebben direct een SPF record aangemaakt, zodat de meeste mail servers dit afzenderadres als spam zouden moeten rapporteren. Tot op heden heeft dat nog niet veel effect. Zij geven aan dat mijn email adres gespooofd wordt en dat ze er niet meer aan kunnen doen.

Het probleem is nog maar een paar dagen oud, maar inmiddels ontvangen en sturen honderden mensen inmiddels dit spam bericht met mijn email adres als return path. Zelf verstuur ik dit spam bericht ook nog, ondanks dat ik het email adres verwijderd heb en het dus niet meer bestaat. Mijn hosting provider kan wel bevestigen dat er nooit spam berichten via mijn/hun mailserver gestuurd is. Het lijkt erop dat er een (gedeelte) van mijn adresboek is gekopieerd en dat die misbruikt wordt. Mails worden ook gestuurd als mijn pc niet eens aan staat.

In het verleden heb ik nooit geklikt op links in vage emails Mijn pc draait altijd een up-to-date virusscanner en ik heb de laatste patches van Windows 10 geinstalleerd. Ook toen het probleem begonnen is. Het mail adres dat gespoofd wordt gebruik ik al jaren niet meer om mails te versturen. Mails die erop binnen komen, haal ik op in een gmail account.

Inmiddels heb ik al wat onderzoek gedaan en ben erachter gekomen dat ik niet de enigste ben. Op de volgende sites zie ik klachten van mensen met dezelfde problemen. In sommige gevallen is zelfs de email body hetzelfde. Helaas zie ik nog nergens een oplossing. Het lijkt erop dat het wel zeer recent begonnen is. Alle posts zijn van de afgelopen 14 dagen.

https://www.reddit.com/r/24hoursupport/comments/3k4y3t/something_is_sending_spam_emails_through_my_edu/

https://www.reddit.com/r/24hoursupport/comments/3krckr/someone_is_sending_spam_from_my_email_address_i/

In dit topic hebben zich heel veel slachtoffers gemeld:
http://community.virginmedia.com/t5/Email-Cloud-and-Webspace/Recieved-about-20-of-these-has-my-e-mail-or-system-been-hacked/td-p/2912431

http://community.virginmedia.com/t5/Email-Cloud-and-Webspace/Spam-from-my-e-mail-address-sent-to-my-contacts/td-p/2909598

Ik zit nu met de volgende vragen
1) Hoe kan ik dit zsm laten stoppen. Het is erg vervelend dat ik en mensen die ik ken spam versturen met mijn email adres als antwoord adres!
2) Hosting bedrijf geeft aan mijn domein op een blacklist (SPF) gezet te hebben en dat het 48 uur duurt voordat alle mail servers gesynchroniseerd zijn en mail geblokkeerd wordt. Die tijd is inmiddels al verstreken en toch ontvangen mensen nog steeds de betreffende email in hun inbox.
3) Hoe is dit begonnen?

  • Ulster Seedling
  • Registratie: december 2007
  • Laatst online: 17:25

Ulster Seedling

“Middelgrote appel”

quote:
1) Hoe kan ik dit zsm laten stoppen. Het is erg vervelend dat ik en mensen die ik ken spam versturen met mijn email adres als antwoord adres!
Iedereen kan e-mail versturen vanaf ieder adres en met ieder antwoordadres. Als ik wil kan ik nu een e-mail versturen vanaf het adres van Obama, of met het antwoordadres van Obama. E-mail is in dit opzicht simpelweg een onveilig systeem.
quote:
2) Hosting bedrijf geeft aan mijn domein op een blacklist (SPF) gezet te hebben en dat het 48 uur duurt voordat alle mail servers gesynchroniseerd zijn en mail geblokkeerd wordt. Die tijd is inmiddels al verstreken en toch ontvangen mensen nog steeds de betreffende email in hun inbox.
SPF geeft aan welke servers e-mail namens jouw adres (of domein) mogen versturen. Jouw hoster geeft waarschijnlijk aan dat alleen hun servers e-mail vanaf jouw domein mogen versturen. SPF werkt echter puur als suggestie en niet als harde beperking. De ontvangende server kan kijken naar jouw SPF-record en alsnog besluiten een e-mail door te laten, ook als deze niet door jouw hosters server verstuurd is.

“(…) met een rode blos op een geelgroene ondergrond.” Volgens Wikipedia tenminste.


  • Fiber
  • Registratie: maart 2008
  • Laatst online: 11:08

Fiber

Beaches are for storming.

Delete dit e-mail account en maak een nieuwe aan. En dan liefst met een naam die niet al te makkelijk te raden is. Dus niet janjansen@xxx.nl maar janjansen1983zxcv@xxx.nl bijvoorbeeld...

Keep your wits sharp, your heart open and your gun loaded.


  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
Ik ben er inmiddels inderdaad achter dat het relatief eenvoudig is om een email adres te spoofen. Eigenlijk te gek voor woorden.
quote:
SPF geeft aan welke servers e-mail namens jouw adres (of domein) mogen versturen. Jouw hoster geeft waarschijnlijk aan dat alleen hun servers e-mail vanaf jouw domein mogen versturen. SPF werkt echter puur als suggestie en niet als harde beperking. De ontvangende server kan kijken naar jouw SPF-record en alsnog besluiten een e-mail door te laten, ook als deze niet door jouw hosters server verstuurd is.
Bij het gebruik van SPF zijn ontvangende mailservers dus niet verplicht om dit te checken. Dat is dus de reden dat er nog steeds mensen berichten ontvangen.
quote:
Delete dit e-mail account en maak een nieuwe aan. En dan liefst met een naam die niet al te makkelijk te raden is. Dus niet janjansen@xxx.nl maar janjansen1983zxcv@xxx.nl bijvoorbeeld...
Het gaat om een email adres uit een eigen domein. Het email adres heb ik afgelopen woensdag al verwijderd. Daarmee houdt het probleem niet op. Daar van was ik me toen ook al bewust.

Mijn pc had ik trouwens ook al gescand op virussen (ESET smart security) en malware (malwarebytes), maar niks aangetroffen.

  • MrMonkE
  • Registratie: december 2009
  • Laatst online: 14:53
Als je je contacts synced kan het ook een malware app op je telefoon geweest zijn die toegang had tot je addressbook.

ancient astronaut theorist ;)


  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
quote:
MrMonkE schreef op zaterdag 26 september 2015 @ 12:46:
Als je je contacts synced kan het ook een malware app op je telefoon geweest zijn die toegang had tot je addressbook.
Had ik ook al aan zitten denken. Heb een Lumia. Alle apps komen uit de Windows Store. De laatste tijd sowieso geen nieuwe apps meer geïnstalleerd.

Is er een manier om je telefoon op malware/virussen te scannen?

  • McKaamos
  • Registratie: maart 2002
  • Niet online

McKaamos

Master of the Edit-button

quote:
Stakie schreef op zaterdag 26 september 2015 @ 12:55:
[...]


Had ik ook al aan zitten denken. Heb een Lumia. Alle apps komen uit de Windows Store. De laatste tijd sowieso geen nieuwe apps meer geïnstalleerd.

Is er een manier om je telefoon op malware/virussen te scannen?
In de store staan wel wat virusscanners van de grote bekenden. Dus die kan je proberen.

Maar gezien je een Lumia hebt, heb je vast ook wel een Microsoft account (daar worden je contacten heen gesynched).
Als daar een slap wachtwoord op zit, dan kan dat ook de bron zijn waar de ontvanger adressen zijn gepakt.

En ookal is het een sterk wachtwoord. Als je dat betreffende wachtwoord/username combi meermaals gebruikt op internet, hoeft er maar 1 zwakker beveiligde website te zijn waar je inlog gegevens zijn gelekt.
Even heel kort: wachtwoorden worden eigenlijk altijd wel 'hashed' opgeslagen en zijn daarom niet terug te rekenen, maar er zijn ook maar X hoeveelheid combinaties van tekens. Je kan dus een reverse-lookup tabel maken (zgn Rainbow Table).
Dus als hashing de enige beveiliging was, dan is je wachtwoord tegenwoordig vrij snel achterhaald uit een gelekte usertable van een willekeurige database.

Stapeltje PC's 4 sale


  • JackSparrow
  • Registratie: juli 2001
  • Laatst online: 12:40

JackSparrow

Moderator WOS/PB

Hide the Gin Tonic!

quote:
McKaamos schreef op zaterdag 26 september 2015 @ 13:02:
[...]

In de store staan wel wat virusscanners van de grote bekenden. Dus die kan je proberen.

Maar gezien je een Lumia hebt, heb je vast ook wel een Microsoft account (daar worden je contacten heen gesynched).
Als daar een slap wachtwoord op zit, dan kan dat ook de bron zijn waar de ontvanger adressen zijn gepakt.

En ookal is het een sterk wachtwoord. Als je dat betreffende wachtwoord/username combi meermaals gebruikt op internet, hoeft er maar 1 zwakker beveiligde website te zijn waar je inlog gegevens zijn gelekt.
Even heel kort: wachtwoorden worden eigenlijk altijd wel 'hashed' opgeslagen en zijn daarom niet terug te rekenen, maar er zijn ook maar X hoeveelheid combinaties van tekens. Je kan dus een reverse-lookup tabel maken (zgn Rainbow Table).
Dus als hashing de enige beveiliging was, dan is je wachtwoord tegenwoordig vrij snel achterhaald uit een gelekte usertable van een willekeurige database.
Two Factor Authentication inschakelen voor je Microsoft Account, problem solved dan kan dat het issue niet meer zijn....

Me? I'm dishonest, and a dishonest man you can always trust to be dushonest. Honestly. It's the honest ones you want to watch out for.


  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
Het wachtwoord voor mijn email wordt nergens hergebruikt en is een combinatie van letters, cijfers en vreemde teken. Maar dat is geen garantie natuurlijk.

Ik gebruik een Lumia in combinatie met gmail account. Contacts zitten niet opgeslagen bij Microsoft maar bij Google.

Ik ga even een virusscanner voor mijn telefoon proberen.

Stakie wijzigde deze reactie 26-09-2015 13:16 (30%)


  • JackSparrow
  • Registratie: juli 2001
  • Laatst online: 12:40

JackSparrow

Moderator WOS/PB

Hide the Gin Tonic!

quote:
Stakie schreef op zaterdag 26 september 2015 @ 13:14:
Het wachtwoord voor mijn email wordt nergens hergebruikt en is een combinatie van letters, cijfers en vreemde teken. Maar dat is geen garantie natuurlijk.

Ik gebruik een Lumia in combinatie met gmail account. Contacts zitten niet opgeslagen bij Microsoft maar bij Google.

Ik ga even een virusscanner voor mijn telefoon proberen.
ehh...two factor inschakelen voor je Google Account dus......en viruscanners voor Windows Phones zijn niet nodig...

Me? I'm dishonest, and a dishonest man you can always trust to be dushonest. Honestly. It's the honest ones you want to watch out for.


  • McKaamos
  • Registratie: maart 2002
  • Niet online

McKaamos

Master of the Edit-button

quote:
TheVMaster schreef op zaterdag 26 september 2015 @ 13:10:
[...]


Two Factor Authentication inschakelen voor je Microsoft Account, problem solved dan kan dat het issue niet meer zijn....
True, maar er zijn genoeg mensen die geen 2FA gebruiken en overal hetzelfde wachtwoord invullen.
En dan kan dat het issue nog wel zijn, maar je timmert het alleen maar dicht voor de toekomst. Wich is good, uiteraard.

Stapeltje PC's 4 sale


  • JackSparrow
  • Registratie: juli 2001
  • Laatst online: 12:40

JackSparrow

Moderator WOS/PB

Hide the Gin Tonic!

quote:
McKaamos schreef op zaterdag 26 september 2015 @ 13:19:
[...]

True, maar er zijn genoeg mensen die geen 2FA gebruiken en overal hetzelfde wachtwoord invullen.
En dan kan dat het issue nog wel zijn, maar je timmert het alleen maar dicht voor de toekomst. Wich is good, uiteraard.
Inderdaad, daarmee voorkom je alleen nieuwe diefstal. Eigenlijk zou je op zowel je MS als Google Account 2FA aan moeten zetten......

Me? I'm dishonest, and a dishonest man you can always trust to be dushonest. Honestly. It's the honest ones you want to watch out for.


  • McKaamos
  • Registratie: maart 2002
  • Niet online

McKaamos

Master of the Edit-button

quote:
Stakie schreef op zaterdag 26 september 2015 @ 13:14:
Het wachtwoord voor mijn email wordt nergens hergebruikt en is een combinatie van letters, cijfers en vreemde teken. Maar dat is geen garantie natuurlijk.

Ik gebruik een Lumia in combinatie met gmail account. Contacts zitten niet opgeslagen bij Microsoft maar bij Google.

Ik ga even een virusscanner voor mijn telefoon proberen.
Uhm, weet je zeker dat je het gebruikt met een Google account?
Dat het niet een Microsoft account is met een Gmail adres als username? Want volgens mij is dat pretty much verplicht voor een Lumia, en is er geen geintegreerde synch met Google. scratch that. moet wel kunnen.

Dat kan je trouwens goed checken via je contacten, menubalkje onderaan omhoog trekken en dan 'Account toevoegen' kiezen.
Dan staat daar vermoedelijk gewoon 'Microsoft Account' met daar onder je Gmail adres.
quote:
TheVMaster schreef op zaterdag 26 september 2015 @ 13:22:
[...]


Inderdaad, daarmee voorkom je alleen nieuwe diefstal. Eigenlijk zou je op zowel je MS als Google Account 2FA aan moeten zetten......
Totally agree.
2FA gebruiken overal waar dat mogelijk is.

McKaamos wijzigde deze reactie 26-09-2015 13:44 (16%)

Stapeltje PC's 4 sale


  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
De telefoon staat geconfigureerd met twee accounts; Google & Microsoft. Toen ik een Lumia kocht had ik geen zin om email, contacts & agenda over te zetten naar Microsoft. Daarom staan die nog bij Google. Bij Microsoft gebruik ik alleen de one drive. Dit is samen prima te combineren.

Inmiddels 2FA ingesteld :)

Maar ik zoek nog steeds een verklaring waarom contacten van mij spam mails sturen met mijn email adres gespoofd, maar wel hun eigen naam als afzender. Bovendien wordt er nu ook spam gestuurd door contactpersonen van mijn contactpersonen.

Is het slechts een kwestie van tijd totdat dit door providers en hosters opgepikt gaat worden en dat deze berichten geblokkeerd worden op de mailservers?

Stakie wijzigde deze reactie 26-09-2015 16:06 (3%)


  • McKaamos
  • Registratie: maart 2002
  • Niet online

McKaamos

Master of the Edit-button

Nou, ze sturen het waarschijnlijk niet zelf.
Zoals gezegd, E-mail is als een reguliere brief. Je kan er op schrijven wat je wil.
En ja, een goede mailserver checkt of je wel via die mailserver iets mag sturen met afzender adres X.
Probeer eens via de mailserver van je internet provider een e-mail te sturen met jouw domeinnaam als afzender. Daar krijg je normaliter een foutmelding op. Daarom gebruik je de mailserver bij je hoster.
Maja, er zijn genoeg besmette systemen in de wereld die zulke checks niet doen en dus alles accepteren.

Dus, stel dat iemand het voor elkaar krijgt om een lijst e-mail adressen samen te stellen.
Dan kan hij/zij dus e-mails gaan sturen met jouw naam (of van een willekeurige andere persoon) als afzender, en die versturen via een mailserver die geen checks doet.
En als je het slim doet, kan je ook relaties leggen. Er kunnen ook emails naar jou gestuurd worden met afzender 'familielid X'.
Dus het hoeft ook nog niet eens zo te zijn dat jouw contactenlijst gejat is.

Een goede ontvangende mailserver checkt uiteraard met behulp van SPF of de versturende server wel iets mag versturen met domeinnaam X als afzender.
Maar SPF is slechts een mechanisme wat werkt zodra er ook daadwerlijk naar gekeken wordt en er voor het betreffende domein ook daadwerkelijk een SPF record in de DNS staat.
Dus als de ontvangende server het niet checkt of het afzender domein geen SPF record heeft, dan komt zo'n e-mail gewoon aan op de bestemming.


En ja, het is een kwestie van tijd voordat een dergelijke mailserver ergens op een blacklist terecht komt.
Niet dat dat alles helpt, want once again, werkt dat alleen bij servers die er aan mee doen.
Echter, het perkt het wel in zo'n mate in, dat een dergelijke spammer na een weekje of 2 nauwelijks nog mail op bestemming afgeleverd krijgt en dus weer van tactiek/contactengroep/mailserver moet gaan wisselen.

McKaamos wijzigde deze reactie 26-09-2015 17:02 (16%)

Stapeltje PC's 4 sale


  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
Het verhaal wat ik dacht mbt het spoofen van een email adres wordt hier dus bevestigd. Dat we daar niet veel aan kunnen doen is jammer. Het is wel erg vervelend om als afzender aan een spam/virus mail gekoppeld te zitten. Je wordt er tenslotte toch op aangekeken. Ook al kun je er niks aan doen.

Het lijkt er wel op dat het een virus is. De mail komt bij iemand binnen. Steelt een aantal email adressen uit het adresboek. Vervolgens wordt de mail geforward naar de nieuwe contact personen. En zo gaat het maar door. Bij de gmail gebruikers komt de mail al in de spam folder terecht, maar toch. Is het mogelijk dat er een script uitgevoerd wordt op het moment dat de mail geopend wordt?

Ik zie hier nog geen eind aan komen :-( . Het enigste wat we kunnen doen is toekijken hoe dit uit de hand gaat lopen?

  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
Hierbij nog even een update van mijn kant. Omdat er alweer 1,5 week tussen zit heb ik mijn vorige reactie niet aangepast.

Het probleem is sowieso niet kleiner geworden. Er worden om de dag spam berichten gestuurd. Honderden ontvangers ontvangen dan een bericht met mijn email adres als afzender.

De body van de email is inmiddels al een paar keer gewijzigd, maar lijkt nog steeds zoals ie staat beschreven in de openingspost.

Inmiddels melden er zich steeds meer "slachttoffers" op diverse forums en blogs. Op onderstaande blog staat het probleem zeer uitgebreid beschreven. Hier worden mensen ook opgeroepen om een formulier in te vullen als ze er last van hebben. Vervolgens wordt het analyseren wat de overeenkomsten zijn.

http://wardinewrock.blogspot.co.uk/ --> scroll naar onderen voor een uitgebreide beschrijving

De mensen met een gmail/live account krijgen de meeste spam berichten inmiddels binnen in hun spam folder. Die hebben er minder last van. Maar toch zijn er nog genoeg mensen die hem wel in hun inbox krijgen. En ik vind het nog steeds verontrustend dat de spam mail contacten kopieert uit het adresboek.

  • gekkie
  • Registratie: april 2000
  • Laatst online: 18:12
quote:
Stakie schreef op donderdag 08 oktober 2015 @ 15:28:
En ik vind het nog steeds verontrustend dat de spam mail contacten kopieert uit het adresboek.
Dat is dan de malware die wellicht meegestuurd wordt en uitgevoerd .. een spam mailtje zou dat bij een beetje fatsoenlijke client niet moeten kunnen :)

  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
Is het mogelijk dat er een script uitgevoerd wordt op het moment dat je de email ontvangt. Email adressen worden gekopieerd en vervolgens geupload naar één of andere server.

  • anboni
  • Registratie: maart 2004
  • Nu online
Jouw email adres is gewoon ergens op een spamlijst terecht gekomen en wordt nu als afzend adres gebruikt. Kun je niks aan doen anders dan hopen dat het op een gegeven moment weer eens ophoudt. En nee, moderne e-mail clients zullen niet helemaal uit zichzelf scripts gaan uitvoeren, dus tenzij de ontvangende koe actief een bijlage uitvoert, wordt er niet ter plekke nieuwe info verzameld.

  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
quote:
anboni schreef op donderdag 08 oktober 2015 @ 15:37:
Jouw email adres is gewoon ergens op een spamlijst terecht gekomen en wordt nu als afzend adres gebruikt. Kun je niks aan doen anders dan hopen dat het op een gegeven moment weer eens ophoudt. En nee, moderne e-mail clients zullen niet helemaal uit zichzelf scripts gaan uitvoeren, dus tenzij de ontvangende koe actief een bijlage uitvoert, wordt er niet ter plekke nieuwe info verzameld.
Hmm, zou kunnen. Maar daar geloof ik niet zo in. Het is niet toevallig dat mijn contacten spam aan het sturen zijn naar hun contacten met mijn gespoofd email adres.

Als het naar allerlei random email adressen zou zijn, dan was ik het wel met je eens.

  • gekkie
  • Registratie: april 2000
  • Laatst online: 18:12
quote:
Stakie schreef op donderdag 08 oktober 2015 @ 15:35:
Is het mogelijk dat er een script uitgevoerd wordt op het moment dat je de email ontvangt. Email adressen worden gekopieerd en vervolgens geupload naar één of andere server.
Een fatsoenlijke emailclient runt niet zomaar automagisch een script bij ontvangst.
Ik ken je apparatuur uiteraard niet ...en ook niet op welke apparaten je adresboek allemaal staat, maar het zou bijvb ook een foute app op je telefoon zijn geweest die je contactenlijst heeft geupload.
Er zijn zat apps die daar permissie voor vragen tijdens de installatie terwijl ze daar voor de eigenlijke functionaliteit weinig aan zouden moeten hebben)

  • xors
  • Registratie: mei 2012
  • Laatst online: 15-03-2016
Heb het zelfde probleem als de OP, en grotendeels dezelfde vragen.

Eén aanvullend stuk bewijs: Ik zie de spam mails die verzonden zijn vanaf mijn account in mijn gmail Sent items. Ik snap dat spoofen van afzender en return address makkelijk is, maar als de email in de Sent folder staat dat moet het op zn minst toch via google's SMTP (of IMAP) server verstuurd zijn toch? Is dat iets dat ik in de email headers kan checken?

@Stakie, had jij de emails ook in je Sent folder staan?

  • gekkie
  • Registratie: april 2000
  • Laatst online: 18:12
Als het goed is zijn er betrekkelijk weinig headers .. aangezien de mail theoretisch nog niet verzonden is. Tevens zou de theorie dan zeggen dat ze je password zouden moeten hebben .. en in theorie zou je dan wat "vreemds" moeten zien in het lijstje van inlogs op je account bij gmail.

Kortom als er headers zijn, zijn die opzich interessant en zou je die uiteraard (minimaal) geanonimiseerd kunnen posten.

gekkie wijzigde deze reactie 12-10-2015 16:54 (17%)


  • xors
  • Registratie: mei 2012
  • Laatst online: 15-03-2016
quote:
gekkie schreef op maandag 12 oktober 2015 @ 16:20:
Kortom als er headers zijn, zijn die opzich interessant en zou je die uiteraard (minimaal) geanonimiseerd kunnen posten.
Dank gekkie, aan de hand van je vraag ben ik nogmaals in de headers van de verstuurde spam gedoken, en nu gezien dat authentic verzonden mail een bijna lege header heeft zoals je al aangaf, terwijl de spam mail dezelfde header heeft, ongeacht of ik de verzender of de (op een ander email adres) ontvanger ben. Mijn conclusie is dat Gmail voor iedere email kijkt of jijzelf als de afzender staat, en zo ja hem al Sent item labelt, ook al is de afzender gespoofed.

Geen wonder dus dat er niks in de Google activity log te vinden was. Weer wat geleerd. Thanks.

  • gekkie
  • Registratie: april 2000
  • Laatst online: 18:12
quote:
xors schreef op maandag 12 oktober 2015 @ 20:21:
[...]
Dank gekkie, aan de hand van je vraag ben ik nogmaals in de headers van de verstuurde spam gedoken, en nu gezien dat authentic verzonden mail een bijna lege header heeft zoals je al aangaf, terwijl de spam mail dezelfde header heeft, ongeacht of ik de verzender of de (op een ander email adres) ontvanger ben. Mijn conclusie is dat Gmail voor iedere email kijkt of jijzelf als de afzender staat, en zo ja hem al Sent item labelt, ook al is de afzender gespoofed.

Geen wonder dus dat er niks in de Google activity log te vinden was. Weer wat geleerd. Thanks.
Hmm als dat zo is .. dan is dat opzich best wel beroerd van Gmail, ding moet niet vertrouwen op niet te vertrouwen data van buiten maar uit haar eigen gegevens bepalen of het verzonden of ontvangen is.
Zal dan wellicht iets van die nieuwe filter toestand van ze zijn (gebruik zelf te weinig gmail om er echt iets over te kunnen zeggen).

Maar goed als het handelt op basis van contacten dan verwacht ik dat bij jou (of een van je contacten) de lijst is buitgemaakt op pc, tablet of telefoon. Zoals ik al eerder aangaf zou een app prima die permissies hebben kunnen vragen terwijl je er niet echt bij stilstond wat de implicaties waren en vervolgens de lijst hebben geupload. Als er niets vreemds in de lijst met logins van google staat .. en je PC lijkt ook niet geinfecteerd, lijkt me dat het meest waarschijnlijke (en zou dus ook nog bij een contact kunnen zijn geweest ipv bij jezelf).

Er actief vanaf komen zal helaas niet lukken vrees ik.

  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
quote:
xors schreef op maandag 12 oktober 2015 @ 15:39:
Heb het zelfde probleem als de OP, en grotendeels dezelfde vragen.

Eén aanvullend stuk bewijs: Ik zie de spam mails die verzonden zijn vanaf mijn account in mijn gmail Sent items. Ik snap dat spoofen van afzender en return address makkelijk is, maar als de email in de Sent folder staat dat moet het op zn minst toch via google's SMTP (of IMAP) server verstuurd zijn toch? Is dat iets dat ik in de email headers kan checken?

@Stakie, had jij de emails ook in je Sent folder staan?
Nee, heb nooit geen emails in mijn sent items gehad. Bovendien is het niet mijn gmail adres dat gespoofed is, maar een eigen domein wat ik geregistreerd heb bij een groot nederlands hosting bedrijf.

Op mijn gmail adres ontvang ik deze mails omdat ik bij andere mensen in het adresboek sta. Wat ik bij de mails terug zie in de headers is altijd WIN-NPPN1JPV75J als eerste server. Zie onderstaand voorbeeld.
quote:
Received: from WIN-NPPN1JPV75J (87.68.54.101.cable.012.net.il [87.68.54.101])
(Authenticated sender: cat@bellonegiancarlo.com)
by mailout06.albacom.net (Postfix) with ESMTPA id 8A28B4E19EC;
Wed, 7 Oct 2015 17:36:26 +0200 (CEST)
Kan iemand me vertellen wat dat betekend?

  • Orion84
  • Registratie: april 2002
  • Laatst online: 17:02

Orion84

Admin General Chat

Fotogenie(k)?

Dat de spam vanaf een machine in Israel (.il) verstuurd wordt.

Veel kans is dat een PC / server die gehackt is / waar malware op draait die de spam verstuurt. Je zou een mailtje (spam meesturen als attachment) kunnen sturen naar Abuse@012.net.il, het abuse meldingen adres van de ISP in kwestie, zie ook: http://87.68.54.101.ipaddress.com/#ipinfo

Om een of andere reden wordt mailout06.albacom.net als eerste smtp server gebruikt. Dat is een server in Italie, met abuse meldingen adres: http://ipaddress.com/resources/a855cacd5e3b8c521c42473f481686428dfd9677b54f9c7662ceccaccda36974.gif
Blijkbaar heeft de spammer toegang tot cat@bellonegiancarlo.com, om te verbinden met die smtp server. Dat kan ook best een gekraakt account zijn.

De verklaring voor het gebruik van jouw adres als afzender en verschillende bekenden van jou als ontvanger, zal hem ongetwijfeld zitten in malware / gekraakte webmail ergens bij jou / je bekenden, waardoor een adresboek onderschept is en de adressen daarin nu misbruikt worden.

Orion84 wijzigde deze reactie 13-10-2015 17:43 (73%)

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
Ja, maar het vreemde is dat bij elke mail je WIN-NPPN1JPV75J terug ziet in de header.

Het lijkt erop dat het wel minder begint te worden. Gisteren is er weer zo'n spam golf verstuurd. Deze keer zat er 5 dagen tussen.

  • Orion84
  • Registratie: april 2002
  • Laatst online: 17:02

Orion84

Admin General Chat

Fotogenie(k)?

Wat is daar vreemd aan? Blijkbaar komen al die spammailtjes dus van dat systeem vandaan.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr


  • Stakie
  • Registratie: januari 2011
  • Laatst online: 16-11 13:31
quote:
Orion84 schreef op woensdag 14 oktober 2015 @ 09:38:
Wat is daar vreemd aan? Blijkbaar komen al die spammailtjes dus van dat systeem vandaan.
Dat is misschien niet vreemd, maar dat is één van de overeenkomsten die altijd terug komen.Dat is dus de naam van het systeem.

  • Orion84
  • Registratie: april 2002
  • Laatst online: 17:02

Orion84

Admin General Chat

Fotogenie(k)?

Ja, en dat is bijzonder handig om te weten (en ook gunstig dat het allemaal van 1 systeem komt), daarmee kan je namelijk (zoals ik al noemde) actie ondernemen.

The problem with common sense is that it's not all that common. | LinkedIn | Flickr

Pagina: 1


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True