Allen Anschein nach wird das E-Mailkonto zum versenden von Spams und/oder Schadprogramme missbraucht. Dies kann vom eigenen PC aus geschehen oder über erbeutetet Zugangsdaten.

Das übliche Prozedere:
Von einem sauberen Rechner alle erforderlichen Online-Passwörter ändern.
Den eigenen Rechner "extern" Prüfen mit z.B. Kaspersky Rescue Disk oder Avira AntiVir Rescue System*

*Sollte ein Fund vorhanden sein und der Rechner bereinigt, empfiehlt sich dennoch nach Datensicherung den Rechner "platt" zu machen und neu aufzusetzen.
Hierfür ist es nicht ratsam eine Möglicherweise vorhanden Wiederherstellung durchzuführen.

Habe ich auch bekommen. Alles geprüft. Nix alles ok. Auch smartphone. Aber auch die angegebene ip adresse stimmt nicht. Seltsam.
Und nu?

Um wirklich sinnvoll handeln zu können benötige ich etwas mehr Infos, was genau böses von meinem Anschluss aus passiert sein soll.

Dem Text der E-Mail nach zu urteilen, wurde über Deinen Anschluß via Port 25 Schadsoftware per E-Mail ausgeliefert. Bei forgesetztem Mißbrauch wird vermutlich Port 25 gesperrt.

Nähere Informationen dazu erhälst Du auf Nachfrage bei abuse@t-online.de (Abuse-ID bzw. Zugangsnummer bei der Nachfrage angeben). Die können Dir aber leider auch nicht sagen, von welchem Rechner in Deinem Netz der Mißbrauch ausging.

Hallo
es wurde doch mitgeteilt wir sollen auf den "sicheren" Mailverkehr umstellen. In zwischen
dürfte auch die Telekom wissen, das es keinen Virenschutz gibt der SSL und Imap Mails erkennt. Und wer ist denn für die Ports zuständig.. bestimmt nicht der Nutzer.
Ausserdem sollte mal endlich die Möglichkeit geschaffen werde, das man sich auch per Telefon mit dem Abuse Team abstimmen kann. Weis aus eigener Erfahrung wie viel Zeit es kostet so etwas zu bereinigen. Ich hoffe bei dem hier Betroffenen geht es "zügig" Auf jeden Fall viel Glück.
gruss
martin-josef

es wurde doch mitgeteilt wir sollen auf den "sicheren" Mailverkehr umstellen. In zwischen dürfte auch die Telekom wissen, das es keinen Virenschutz gibt der SSL und Imap Mails erkennt. Und wer ist denn für die Ports zuständig.. bestimmt nicht der Nutzer.

Mir erschließt sich wirklich nicht, was Du damit sagen willst.

Ausserdem sollte mal endlich die Möglichkeit geschaffen werde, das man sich auch per Telefon mit dem Abuse Team abstimmen kann.

Genau, damit die Jungs und Mädels vom Abuse-Team dann gar keine Zeit mehr für ihre eigentliche Aufgabe haben.

Habe ich auch bekommen. ... Aber auch die angegebene ip adresse stimmt nicht.

Anhand des Logs eine Dyndns-Dienstes konnte ich nachvollziehen, dass ich die in der Mail angegebene IP-Adresse zu diesem Zeitpunkt auch tatsächlich zugewiesen bekommen hatte.

Bevor ich hier das Treiben verrückt mache werde ich erst einmal abwarten. Selbstverständlich werden noch einmal alle Geräte auf korrekten Virenschutz und Sauberkeit überprüft.

Dass die Telekom der Port 25 sperrt, habe ich auf Arbeit schon mehrfach erlebt. Einige Außendienst-Vertriebler hatten ihr Notebook am dienstlichen T-Online-Anschluss so mit Viren und Mist versaut, dass die Telekom die Sperre tatsächlich setzte.

Mit einem Schreiben, dass wir das Gerät komplett geplättet und neu aufgesetzt haben, war alles wieder gut.

Gruß Holger

In zwischen dürfte auch die Telekom wissen, das es keinen Virenschutz gibt der SSL und Imap Mails erkennt.

Eset kann das Imap/Imaps Pop/Pops SSL

der text:
Über Ihren Internetzugang wurde ein "Sinkhole" kontaktiert. Das ist ein
Server, der als Falle für durch Schadsoftware befallene Rechner dient,
indem er einen Command&Control-Server eines Botnets simuliert. Ein
Command&Control-Server ist ein Bestandteil eines Botnets, der zwischen
dem eigentlichen Verbrecher und seinen "Bots" vermittelt. Unter
http://www.elektronik-kompendium.de/sites/net/1501041.htm finden Sie bei
Interesse eine gute Erklärung der Struktur eines Botnets sowie eine
schematische Darstellung.

Bei den beschwerdegegenständlichen Zugriffen handelt es sich nicht um
den Versand von E-Mails. Die Steuerung der Bots erfolgt über die Ports
80 (HTTP) und 443 (HTTPS), das ist die übliche Vorgehensweise der
Botnetzbetreiber, da es keine Internetzugänge gibt, bei denen diese
Ports gesperrt sind. Per HTTP(S) aktualisieren sich die Bots, liefern
gestohlene Login-Daten ab und holen sich ihre Aufgabenlisten ab: An
DoS-Attacken teilnehmen, rechtswidrige Inhalte verbreiten, Spam
versenden, usw.
Informationen zum detektierten Schädling
----------------------------------------

Den Beschwerden zufolge befindet sich in Ihrem LAN mindestens ein mit
der Schadsoftware 'ZeuS' alias 'Zbot' verseuchter Rechner. Dieser
Trojaner ist nur sehr schwer zu finden: Die Wahrscheinlichkeit liegt
unter 40%. Wenn diese Schadsoftware sich an Ihrer Schutzsoftware bereits
vorbei gemogelt hat, dürften die Chancen auf einen Fund noch einmal
deutlich sinken. Daher wäre es sehr wichtig herauszufinden, welcher
Ihrer Windows-Rechner zum jeweiligen Zeitpunkt überhaupt eingeschaltet
war. (Es genügt, dass ein Rechner eingeschaltet ist, davor sitzen muss
niemand: Die Schadsoftware arbeitet ferngesteuert ihre Aufgaben ab.)
Windows-Rechner, die an wenigstens einem der folgenden Zeitpunkte nicht
eingeschaltet waren, würden wir zunächst einmal ausschließen.

Die beschwerdegegenständlichen Zugriffe fanden über die folgenden, Ihrem
Zugang zugewiesenen IP-Adressen zu den angegebenen Zeitpunkten statt,
die relevanten Zeitangaben aus den Beschwerden haben wir in die
jeweilige deutsche Zeitzone (MESZ/MEZ) umgerechnet:

habe jetzt mit mehreren pc spezis alle Programme von den empfohlenen durchlaufen lassen! nix. alles ok! und nun?

Genau, damit die Jungs und Mädels vom Abuse-Team dann gar keine Zeit mehr für ihre eigentliche Aufgabe haben.

Hallo
ganz im Gegenteil. Eine Klärung ist per Telefon =Gespräch= schneller erledigt, wie in
einem tagelangen Mailverkehr.

Und es war nur noch einmal der Hinweis das kein Virenschutz SSL bzw Imap Mails,
welche man z.b. mit Outlook oder sonstigen Mailclients abruft,kontrollieren kann. Norton z.b. hat ja schnellstmögliche "Besserung" zugesagt.
gruss
martin-josef

Bevor ich hier das Treiben verrückt mache werde ich erst einmal abwarten.

Ich würde auf jeden Fall beim Abuse-Team noch mal nachhaken, was genau vorgefallen ist.

Es könnte durchaus sein, daß in der "Verwarnungs"-Mail ein falscher bzw. mißverständlicher Textbaustein verwendet wurde, und gar kein E-Mail-Versand stattgefunden hat.

Es muß auch nicht unbedingt Schadsoftware (im engeren Sinn) in Deinem Netz vorhanden sein. Es könnte auch ein schlecht konfigurierter und von außen erreichbarer Dienst auf dem DSL-Router bzw. auf einem Rechner laufen; ich denke da bspw. an http://heise.de/-2087846