Wird mein E-Mail Postfach für Spam missbraucht?

mepi0011 · 8. Dezember 2024 um 06:34

Hallo,
ich hoste bei Domain Factory meine Webseite und habe dort auch eine entsprechende E-Mail-Adresse, die ich im Impressum der Webpräsenz angegeben ist.

Nun habe ich auf dieser E-Mail-Adresse eine E-Mail vom Absender A erhalten, die an Empfänger B geht. Im Kopf der E-Mail wird in der App FairEMail meine E-Mail-Adresse auch angezeigt. Was bedeutet bei FairEmail „Über“?

Muss ich mir Sorgen machen?

anon41515025 · 8. Dezember 2024 um 08:39

Mir sagte vor 10 Jahren der Leiter IT Sicherheit einer großen UNI Klinik, dass ein e-mail Passwort sehr leicht zu knacken sei.

Mein erster Schritt bei einem solchen Verdacht wäre eine sofortige Änderung des Passwortes.

Franz_Wertigheim · 8. Dezember 2024 um 09:17

Warum sollte die Niederlassung der Deutschen Verkehrswacht Spam versenden?
Sieht doch eigentlich ganz seriös aus der Laden.
Gibt es auf Deiner Webseite ein Kontaktformular, das womöglich nicht gesichert ist durch friendlyCaptach oder ähnliches?

anon54326579 · 8. Dezember 2024 um 09:23

Was heißt überhaupt von, an, über?
Ehrlich, nach 35 Jahren Befassung mit Computern seh ich so etwas zum ersten Mal.

Normalerweise gibt’s doch nur von, an, cc, bcc, Betreff…

Oder ist auf dieser App „über“ ein anderes Wort für Betreff, subject?

jdevlx · 8. Dezember 2024 um 09:30

Da müsste man bei einer Adresse von diversen Free-Mailern sehr oft sein Passwort ändern

Wenn ich die E-Mail nicht erwartet habe, würde ich die löschen o. in separaten Order schieben und einfach weiterleben.

Wie von @Franz_Wertigheim angemerkt, handelt es sich ja beim Absender im Grund um eine seriöse Institution.
Bei Interesse könnte man noch beim Absender nach Ursache anfragen.

„Über“ ist hier sehr wahrscheinlich der sendende Server.
Also z.B. ein Server, der für den Versand legal (mit-)zuständig ist oder -im Falle von Spam- nicht zuständig aber entsprechend konfiguriert (und Empfänger ignoriert Nicht-Zuständigkeit).

anon41515025 · 8. Dezember 2024 um 09:31

Genau so einen Fall hatte ich auch mal, über ein Kontaktformular wurde mir eine Nachricht zugeschickt und es sah so aus, als ob jemand meine e-mail nutzt.

Hatte ich komplett vergessen.

anon54326579 · 8. Dezember 2024 um 09:41

Der Absender kann sehr leicht von einem Spamversender gefälscht werden. Das sagt also gar nichts. Ich empfehle, wenn du mit der Verkehrswacht ansonsten nichts zu tun hast, die Mail einfach als Spam zu sehen und zu löschen. Das Passwort ändern ist auch m.M. unbedingt von Zeit zu Zeit empfehlenswert.

jdevlx · 8. Dezember 2024 um 09:49

Mit Verlaub, genau das hatte ich geschrieben. E-Mail einfach löschen, Absender (Über) muss nicht legitimiert sein.

Welche Passwort-Strategie man auch immer verfolgt, der Eingang einer nicht erwarteten E-Mail ist kein Anwendungsgrund und hier schlicht OT.

mepi0011 · 8. Dezember 2024 um 10:07

Auf der Webseite gibt es kein Kontaktformular.

Um zu sehen wie im Englischen „über“ in FairEmail verwendet wird, habe die Sprache auf Englisch umgestellt. Daturch wird dann „Via“ angezeigt.

Ich habe mir in einem anderen Programm (KMail) den Quelltext meiner E-Mail angesehen, dort taucht meine E-Mail-Adresse in X-Envelop-to auf.

Quelltext der E-Mail:

Delivery-date: Thu, 05 Dec 2024 14:26:32 +0100
Received: from [80.67.18.10] (helo=mx10.ispgateway.de)
	by mailcluster4-3.ispgateway.de with esmtps (TLS1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
	(Exim 4.98)
	(envelope-from <info@verkehrswacht-vaihingen.de>)
	id 1tJBsG-000000001bI-1bPA;
	Thu, 05 Dec 2024 14:26:32 +0100
Return-path: <info@verkehrswacht-vaihingen.de>
X-Envelope-to: info@all....ngen.de
Received: from [51.159.220.205] (helo=mail.indas.de)
	by mx10.ispgateway.de with esmtps  (TLS1.2) tls TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
	(Exim 4.98)
	(envelope-from <info@verkehrswacht-vaihingen.de>)
	id 1tJBsF-000000003eG-3Fuc
	for info@all........ngen.de;
	Thu, 05 Dec 2024 14:26:31 +0100
Received: (qmail 1041239 invoked by uid 168); 5 Dec 2024 14:26:32 +0100
X-Qmail-Scanner-Diagnostics: from p54813aaf.dip0.t-ipconnect.de (info@verkehrswacht-vaihingen.de@p54813aaf.dip0.t-ipconnect.de) by mail.indas.de (envelope-from <info@verkehrswacht-vaihingen.de>, uid 89) with qmail-scanner-2.10st 
 (mhr: 1.0. perlscan: 2.10st. clamdscan: 1.0.1/27029. spamassassin: 4.0.0.  
 Clear:RC:1(84.129.58.175):. 
 Processed in 0.046493 secs); 05 Dec 2024 13:26:32 -0000
Received: from p54813aaf.dip0.t-ipconnect.de (HELO ?192.168.178.20?) (info@verkehrswacht-vaihingen.de)
  by mail.indas.de with ESMTPA; 5 Dec 2024 14:26:32 +0100
Content-Type: multipart/alternative;
 boundary="------------j0oLSvswn6CDo0cKWTk5OXiu"
Message-ID: <eb7aee0c-7498-4ca3-8850-38e91285dd46@verkehrswacht-vaihingen.de>
Date: Thu, 5 Dec 2024 14:26:30 +0100
MIME-Version: 1.0
User-Agent: Mozilla Thunderbird
Content-Language: de-DE
To: info@str....rad.de
From: Deutsche Verkehrswacht <info@verkehrswacht-vaihingen.de>
Subject: Angebot Fahrsicherheitstrainings (PKW/ Motorrad)
X-Received-SPF: pass ( mx10.ispgateway.de: domain of verkehrswacht-vaihingen.de designates 51.159.220.205 as permitted sender )
X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
	spamfilter21.ispgateway.de
X-Spam-Level: 
X-Spam-Status: No, hits=0.0 required=9999.0 tests=none autolearn=disabled
	version=3.4.0
X-Spam-CMAETAG: v=2.4 cv=DPcs4DNb c=1 sm=1 tr=0 ts=6751aa07
	a=7vKA4+C8O7Wdf5/K5xC79w==:17 a=RZcAm9yDv7YA:10 a=r77TgQKjGQsHNAKrUKIA:9
	a=iBm5Iu3SAAAA:8 a=yVcG6Hh70xNOpnvqVxkA:9 a=3ZKOabzyN94A:10
	a=QEXdDO2ut3YA:10 a=kK4Qvf8V3UV_LPtT:21 a=_W_S_7VecoQA:10
	a=lqcHg5cX4UMA:10 a=SgM4leMmTexS1U585Vwp:22
X-Spam-CMAECATEGORY: 
X-Spam-CMAESUBCATEGORY: 
X-Spam-CMAESCORE: 

 This is a multi-part message in MIME format.
--------------j0oLSvswn6CDo0cKWTk5OXiu
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit

Sehr geehrte Damen und Herren,

Was genau ist „X-Envelop-to“?

anon54326579 · 8. Dezember 2024 um 11:39

Bei meinen Mails steht da nur
Envelope-To: <andrea…@…at>
ohne X- , und drinnen steht meine Adresse. Als ich früher noch Thunderbird in Verwendung hatte, war auch immer X-Envelope im Mailheader drinnen.

edit: Ich glaub auch, daß hier ein Spammer am Werk ist. Das Verkehrsamt schreibt dir einen amtlichen Brief mit Zahlschein, wenn du wo falsch geparkt hast und wegen Nichtbeachten von E-Mails kann dir nichts passieren.

bleifrei · 8. Dezember 2024 um 11:40

Ich gehe stark davon aus, dass es sich hierbei um Spam handelt. Dabei hat der Spamer den Header manipuliert.
Hier steht dazu etwas mehr:
https://www.msxfaq.de/internet/envelope.htm

Fazit: Ich würde die E-Mail in den Spam-Ordner packen und mir keine Gedanken mehr darum machen (ich hoffe, du hast nirgendwo raufgeklickt!).

Franz_Wertigheim · 8. Dezember 2024 um 13:38

Leude, Leude.
Für mich spricht hier nix für Spam. Spam is, wenn jemand das Konto der Verkerhswacht einnimmt und dann Phishing oder sonstigem Zeugs verschickt.
Hier siehts aus, wie wenn ein Fahrsicherheitstraining geschickt wird.
Es wird auch über den Server geschickt, von dem der MX-Eintrag der Verkehrswacht ist:

dig verkehrswacht-vaihingen.de mx

So jedwedenfalls im Header oben zu sehen.
Kann auch gefälscht sein, nur gloob ick nit.

Mein Stand zum X-Header:
Können beliebig vom am Verkehr beteilichten Server gesetzt werden.
Man sieht auch hier eine Spambewertung unter X-Spam-CMAETAG:
bzw X-Spam-Status:

Mir schwant, der mx10.ispgateway.de hat den X-Envelope-to: gesetzt. Das wäre der Mailserver, wo @mepi0011 seine Postbox hat.
Da könnt er gewiss nachfragen, was das bedeuten mag.

Cornelius · 8. Dezember 2024 um 19:03

Nein

Das ist eine typische "Unsolicited Commercial E-Mail (UCE: Unverlangte kommerzielle E-Mail).

Die ging als BCC an deine E-Mail-Adresse.

bleifrei · 8. Dezember 2024 um 19:41

Klingt plausibel.
Allerdings frage ich mich folgendes: Warum wird mir das nicht so angezeigt, wenn ich mir selbst eine E-Mail sende mit mir im BCC?

Hättest du dafür vielleicht eine Erklärung?

Cornelius · 8. Dezember 2024 um 19:56

Was wird dir nicht so angezeigt?

Du müsstest die gleichen Bedingungen schaffen für den Test.

Joachim · 8. Dezember 2024 um 20:27

nur wenn es Anhaltspunkte gibt, das es kompromittiert wurde.

Da ist kein Authentication-Results und auch keine DKIM-Singatur drin. Ich würde die Mail als Spam einstufen und löschen. Natürlich werden Emailadressen aus dem Impressum etc. besonders gerne von Spammern benutzt.

mepi0011 · 9. Dezember 2024 um 06:02

Guten Morgen zusammen,

vielen Dank für die Zahlreichen Rückmeldungen. ich habe gestern noch eine Supportanfrage an Domain Factory (mein Hoster und E-Mail Provider) erstellt. Die Rückmeldung werde ich mit euch teilen.

Gruß und einen schönen Tag!

bleifrei · 9. Dezember 2024 um 16:21

Das „X-Envelop-to“ im Header. Aber auch nichts Ähnliches.

Dazu habe ich 3 E-Mail-Adressen von verschiedenen Diensten genutzt. Aber keins davon „selbst gehostet“.
Und bei keinem Header konnte ich so einen Eintrag finden. Deshalb meine Vermutung bzw. auch meine Frage.
Aber ja, sind nicht unbedingt die gleichen Bedingungen.

Cornelius · 9. Dezember 2024 um 17:25

Der Header kann vom einem MTA eingefügt werden.
Muss aber nicht.

Du müsstest für einen aussagekräftigen Test, den selben MTA verwenden, wie der ursprüngliche Mailversender.

mepi0011 · 30. Dezember 2024 um 06:45

Der Domain Factory Support hat mir bestätigt, dass der Header der E-Mail verändert wurde und mein Postfach nicht für Span missbraucht wurde.

Vielen Dank für die vielen Rückmeldungen und Erklärungen hier aus dem Forum!