Alexander: Spammer missbraucht Domain?

Beitrag lesen

Hallo zusammen,

heute hat mich eine extrem merkwürdige E-Mail erreicht, die mich etwas zu nachdenken angeregt hat:

Diese Mail stammt vom "Mail Delivery Subsystem [MAILER-DAEMON@xxx.xxx.xx]" und benachrichtigt mich eigentlich nur, dass eine E-Mail nicht an ihren Empfänger zugestellt werden konnte.

"The original message was received at Thu, 25 Dec 2003 12:47:58 +0100 (MET) from pxxxx.dip0.t-ipconnect.de [xxx.xxx.xxx.xxx]

----- The following addresses had permanent fatal errors ----- "User unknown in this domain"
    (expanded from: xxx.xxx@xxx.de)

----- Transcript of session follows -----
550 "User unknown in this domain"... User unknown"

In der Mail an sich befanden sich zwei Anhänge, einmal eine Ergänzung zu dem eingetretenen Fehler (details.txt) und die eigentliche Mail, die versucht wurde zu verschicken. Diese Mail enthält folgenden Text samt Dateianhang:

"Betreff: Neuer Dialer Patch!
 Anhang: www.freewantiv.com

Body:
Seit einiger Zeit kursieren wieder gefährlich neue Dialer und Würmer durchs Netz. Bei uns können sie kostenlos via Online Scan testen, ob Ihr System infiziert ist. Weiterhin stellen wir zahllose Freeware Antiviren-Scanner zur Verfügung. Natürlich sind auch alle aktuellen Patches von Microsoft & CO vorhanden. Besuchen Sie uns doch einfach mal auf unserer Homepage. Auf Wiedersehen
"

Wohlgemerkt: bei dem Dateianhang handelt es sich _nicht_ um einen Link, sondern um eine *.com-Datei. Es dürfte also nicht schwer vorzustellen sein, wobei es sich bei dieser Datei wirklich handelt. Es handelt sich um den Wurm "Worm/Sober.C1".

Die Frage ist nun, weshalb mich diese Mail überhaupt erreicht hat, obwohl ich nicht der Versender diese besagten Wurm-Mail bin. Dieser Spammer hat eine meiner Domains mit einer _fiktiven_ E-Mail Adresse (premium-server@xxx.de) als Absenderadresse verwendet. Ich habe also nur per Zufall aufgrund der catch-all-Funktion meines Mail-Servers von dem Missbrauch für Spam-Zwecke meiner Domain erfahren.

Der Header der Mail verdeutlicht, dass es sich hier um eine von einem Spammer lokal versendete Mail handelt:

Received: from mail.xxx.de (mail.xxx.de [xxx.xxx.xxx.xxx])
 by mail.xxx.de (8.12.10/8.12.10) with ESMTP id hBPBm6Zc001144
 for premium-server@xxx.de; Thu, 25 Dec 2003 12:48:06 +0100 (MET)
Received: from localhost (localhost)
 by mail.xxx.de (8.9.3/8.9.3) with internal id MAA21748;
 Thu, 25 Dec 2003 12:48:05 +0100 (MET)
Date: Thu, 25 Dec 2003 12:48:05 +0100 (MET)
From: Mail Delivery Subsystem MAILER-DAEMON@mail.xxx.de
Message-Id: 200312251148.MAA21748@mail.xxx.de
To: premium-server@xxx.de

Glücklicherweise enthält die Mail, die mich vom "Mail Delivery Subsystem" erreichte, den Host und die IP-Adresse des Spammers.

Meine Frage ist nun, wie ihr weiter vorgehen würdet und welche Maßnahmen überhaupt ergriffen werden können um dies Zukünftig zu verhindern. Denn ich möchte nicht, dass in gewisser Weise in meinem Namen (als Inhaber der Domain) Viren-Verseuchte Mails verschickt werden.

Handelt es sich bei dem Versender der Virus-Mail wirklich um einen Spammer oder ist dies die "Eigenheit" des Wurms, sich selbst vom Host-Rechner weiterzuverschicken mit einer beliebig gewählten E-Mail-Adresse als Absenderkennung (die er vielleicht irgendwo im System des Host-Rechners gefunden hat)?

Dass ich selbst Versender dieser Mail (womöglich ohne mein wissen bin) kann ich ausschleissen, da ich erstens einen Virescan durchgeführt habe, der zu keinem Ergbnis führte und zweitens diew Mail von einem Host versendet wurde, den ich aufgrund meines Internet-Providers nicht haben kann.

Viele Grüsse...

Alex :|