Und welche Viren waren das bitteschön?
Gruß Pepi
Zuletzt bearbeitet von einem Moderator:
-
Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
Näheres könnt Ihr hier nachlesen: AGB-Änderung -
Viele hassen ihn, manche schwören auf ihn, wir aber möchten unbedingt sehen, welche Bilder Ihr vor Eurem geistigen Auge bzw. vor der Linse Eures iPhone oder iPad sehen könnt, wenn Ihr dieses Wort hört oder lest. Macht mit und beteiligt Euch an unserem Frühjahrsputz ---> Klick
Wie kann ich Port 25 blocken
- Ersteller ktm-david
- Erstellt am
Gruß Pepi
Peter Maurer
Pommerscher Krummstiel
- Registriert
- 16.03.04
- Beiträge
- 3.077
Fuer alle, die eine Werbekampagne vermuten:
Ich hab' zur Vermeidung unnoetiger Auseinandersetzungen das betreffende Programm kurzerhand anonymisiert -- fuer das hier besprochene Problem tut das ohnehin nichts zur Sache; und jetzt koennen wir uns wieder auf das eigentliche Problem konzentrieren.
Ich hab' zur Vermeidung unnoetiger Auseinandersetzungen das betreffende Programm kurzerhand anonymisiert -- fuer das hier besprochene Problem tut das ohnehin nichts zur Sache; und jetzt koennen wir uns wieder auf das eigentliche Problem konzentrieren.
Hallo Peter
Vielen Dank, dass Du Firmen- und Produktnamen anonymisiert hast. Ich wollte damit niemanden verärgern oder gar unerwünscht Werbung machen.
Ich bin jetzt endlich dazugekommen, Deine Fragen abzuklären:
- Das Directory Bundles existiert in Library->Mail (mein Account ebenso wie benutzerübergreifend) nicht. Es existieren da auch keine Files mit dem Postfix .bundle
- In user->Library->InputManagers finde ich:
- - Directory SIMB mit "Info" "und SIMBL.bundle"
- - Directory "Smart Crash Reports" mit "info" und "Smart Crash Reports.bundle"
- In Library-InputManagers finde ich:
- - Directory "Ecamm" mit "Ecamm Plugin Loader.bundle", "info" und Directory "Plugins" (leer)
- Als Startobjekte habe ich lediglich Mail.app und iTunesHelper.app
Die Files, die das Virenschutzprogramm als infiziert bezeichnet hat waren:
- /Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/BlackBox.class-222b5bf4-58a1a2f.class
/Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/VerifierBug.class-1756dee4-541705bc.class
/Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/VerifierBug.class-5aad7e12-56cce653.class
/Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/classload.jar-1f5b654-21707956.zip
/Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/count3.jar-123647b9-7ec23c6e.zip
/Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/loader.jar-288a6371-50f12d7c.zip
Das Logfile habe ich leider noch nicht erhalten. Auch Little Snitch konnte ich noch nicht testen. Ich werde das so bald wie möglich (morgen Abend`) machen.
Vielen Dank für Eure Hilfe!
Gruss David
Vielen Dank, dass Du Firmen- und Produktnamen anonymisiert hast. Ich wollte damit niemanden verärgern oder gar unerwünscht Werbung machen.
Ich bin jetzt endlich dazugekommen, Deine Fragen abzuklären:
- Das Directory Bundles existiert in Library->Mail (mein Account ebenso wie benutzerübergreifend) nicht. Es existieren da auch keine Files mit dem Postfix .bundle
- In user->Library->InputManagers finde ich:
- - Directory SIMB mit "Info" "und SIMBL.bundle"
- - Directory "Smart Crash Reports" mit "info" und "Smart Crash Reports.bundle"
- In Library-InputManagers finde ich:
- - Directory "Ecamm" mit "Ecamm Plugin Loader.bundle", "info" und Directory "Plugins" (leer)
- Als Startobjekte habe ich lediglich Mail.app und iTunesHelper.app
Die Files, die das Virenschutzprogramm als infiziert bezeichnet hat waren:
- /Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/BlackBox.class-222b5bf4-58a1a2f.class
/Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/VerifierBug.class-1756dee4-541705bc.class
/Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/VerifierBug.class-5aad7e12-56cce653.class
/Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/classload.jar-1f5b654-21707956.zip
/Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/count3.jar-123647b9-7ec23c6e.zip
/Users/myuser/Library/Caches/Java Applets/cache/javapi/v1.0/file/loader.jar-288a6371-50f12d7c.zip
Das Logfile habe ich leider noch nicht erhalten. Auch Little Snitch konnte ich noch nicht testen. Ich werde das so bald wie möglich (morgen Abend`) machen.
Vielen Dank für Eure Hilfe!
Gruss David
Das:
-> http://www.trojaner-board.de/27841-infekt-mit-exploit-wmf-exploit-java-byteverify-sploit-1-anr.html
spuckt zB. Google bei der Suche nach "BlackBox.class" aus. Okay das ist JAVA (plattformunabhängig) - aber es erscheint mir immer noch sehr verwunderlich das das auf'm Mac laufen soll.
-> http://www.trojaner-board.de/27841-infekt-mit-exploit-wmf-exploit-java-byteverify-sploit-1-anr.html
spuckt zB. Google bei der Suche nach "BlackBox.class" aus. Okay das ist JAVA (plattformunabhängig) - aber es erscheint mir immer noch sehr verwunderlich das das auf'm Mac laufen soll.
Guten Morgen arc
Ich weiss nich, ob die 6 gefundenen und gelöschten Files tatsächlich auf dem Mac laufen. Das Löschen dieser Files hat ja auch mein Problem nicht gelöst. Da muss noch was anderes sein.
Gruss David
Ich weiss nich, ob die 6 gefundenen und gelöschten Files tatsächlich auf dem Mac laufen. Das Löschen dieser Files hat ja auch mein Problem nicht gelöst. Da muss noch was anderes sein.
Gruss David
hmmm....also als erstes. bin ganz bei rastafari.
allerdings glaube ich nicht mal, das du den header richtig lesen kannst.
und dann würde mich noch interessieren, ob du dir ein Windows auf die kiste installiert hast oder eine fischkiste im gleichen netz hängt.
das port 25 blocken ist auch keine lösung.
kommt mir vor, als wenn du mit dem flex die räder von einem auto runterschneidest,
damit keiner damit wegfährt. dabei bräuchtest du nur den schlüssel abziehen.
das hätte mich auch interessiert.
also ich würde mal sagen, das es 2 möglichkeiten gibt.
1.) du suchst an der falschen stelle.
da meine ich OSX
2.) du verar....t uns.
wenn es diesen trojaner für den mac gibt, müßte ich ihn schon 1000 mal haben.
ich hänge mit 20 kisten und echten IP adressen im netz.
keine firewall, kein NAT router nix.
ciao
mike
Hallo Mike
Möglich! Werde den Header eines der gespeicherten Mails heute Abend hier posten - dann profitiere ich gerne von Deinem Wissen.
Falls Du mit "Fischkiste" Windows meinst, dann nein: Am Netz hängt der G5 (ohne Windows), selten ein älteres Powerbook und ab und zu mein iPhone.
Wenn Du mir zeigst, wo ich den Schlüssel abziehen soll, dann mache ich das sofort. Leider sehe ich in Deinem Posting aber keinen konkreten Vorschlag. Wenn ich an meinem Garagentor einen Schalter mit Horn anschliesse und dazu noch eine Kamera, dann merke ich, wenn einer mein Auto klauen will und ich sehe, wer es ist. Das war die Idee, den Port 25 zu überwachen.
Dann lies es doch einfach nach. Deshalb habe ich es nämlich gepostet.
Sehr gut möglich! An welcher Stelle soll ich bitteschön suchen? Bin wie gesagt für jede Hilfe dankbar!
Vireales Marketing... verar...en... Wieso verwandlen sich eigentlich alle Foren-Threads, die ein neues Problem beschreiben, sofort in Verschwörungstheorien? Ich kann Dich beruhigen: Für beides habe ich keine Zeit!
Diese Einstellung hatte ich bis vor zwei Wochen auch. Leider hilft sie mir im Moment aber nicht weiter.
Vielen Dank an alle, die mich mit konstruktiven Tipps versorgen. Logs und Header liefere ich nach, ebenso was ich mit Little Snitch finde.
Gruss David
Möglich! Werde den Header eines der gespeicherten Mails heute Abend hier posten - dann profitiere ich gerne von Deinem Wissen.
Falls Du mit "Fischkiste" Windows meinst, dann nein: Am Netz hängt der G5 (ohne Windows), selten ein älteres Powerbook und ab und zu mein iPhone.
Wenn Du mir zeigst, wo ich den Schlüssel abziehen soll, dann mache ich das sofort. Leider sehe ich in Deinem Posting aber keinen konkreten Vorschlag. Wenn ich an meinem Garagentor einen Schalter mit Horn anschliesse und dazu noch eine Kamera, dann merke ich, wenn einer mein Auto klauen will und ich sehe, wer es ist. Das war die Idee, den Port 25 zu überwachen.
Dann lies es doch einfach nach. Deshalb habe ich es nämlich gepostet.
Sehr gut möglich! An welcher Stelle soll ich bitteschön suchen? Bin wie gesagt für jede Hilfe dankbar!
Vireales Marketing... verar...en... Wieso verwandlen sich eigentlich alle Foren-Threads, die ein neues Problem beschreiben, sofort in Verschwörungstheorien? Ich kann Dich beruhigen: Für beides habe ich keine Zeit!
Diese Einstellung hatte ich bis vor zwei Wochen auch. Leider hilft sie mir im Moment aber nicht weiter.
Vielen Dank an alle, die mich mit konstruktiven Tipps versorgen. Logs und Header liefere ich nach, ebenso was ich mit Little Snitch finde.
Gruss David
Hallo Zusammen
Hier also wie versprochen, was ich als unzustellbar zurückbekomme. Wenn ich da blauäugig grobe Fehlinterpretationen begehe, dann sagt mir das ruhig.
Vielen Dank und Gruss
David
Kommentar dazu:
- gaius.sui-inter.net ist der Server, auf dem meine Domain eingerichtet ist. Darauf läuft auch der Mailserver.
- dclient.hispeed.ch ist mein Internetprovider (Cablecom Schweiz)
- Ich habe die Mails anonymisiert: myname, mydomain, my-IP, mpfaenger, empfaeger-IP, etc
Beispiel 1 vom 26. Dez 2007 (offenbar habe ich das Problem schon länger als zwei Wochen)
Hi. This is the qmail-send program at gaius.sui-inter.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<[email protected]>:
empfaenger-IP failed after I sent the message.
Remote host said: 571 Delivery not authorized, message refused
--- Below this line is a copy of the message.
Return-Path: <[email protected]>
Received: (qmail 13702 invoked from network); 26 Dec 2007 17:09:16 +0100
Received: from my-IP.dclient.hispeed.ch (HELO ?10.0.1.99?) (my-IP)
by gaius.sui-inter.net with SMTP; 26 Dec 2007 17:09:16 +0100
X-Mailer: Apple Mail (2.915)
From: My Name <[email protected]>
Subject: Re: itnuigsi
To: "fempfaenger" <[email protected]>
Content-Type: text/plain; charset="us-ascii"; format=flowed
Date: Wed, 26 Dec 2007 17:09:16 +0100
Here's a secret.. it's easy to grow your dick by up to 3 inches! Click here http://www.deutosri.com/
Beispiel 2 vom 6. Jan 2008
Hi. This is the qmail-send program at gaius.sui-inter.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<[email protected]>:
empfaenger-IP does not like recipient.
Remote host said: 550 #5.1.0 Address rejected [email protected]
Giving up on empfaenger-IP.
--- Below this line is a copy of the message.
Return-Path: <[email protected]>
Received: (qmail 5459 invoked from network); 6 Jan 2008 13:16:22 +0100
Received: from my-IP.dclient.hispeed.ch (HELO ?10.0.1.99?) (my-IP)
by gaius.sui-inter.net with SMTP; 6 Jan 2008 13:16:22 +0100
X-Mailer: Apple Mail (2.915)
From: My Name <[email protected]>
Subject: Re: it's only fun and winning.
To: "andererempfaenger" <[email protected]>
Content-Type: text/plain; charset=us-ascii
Date: Sun, 6 Jan 2008 13:16:23 +0100
After thatit's only fun and winning.
Relax and have fun with poker, blackjack, roulette, progressive video slots at your own leisure from your couch.
Players from the United States and around the world!
If you're in the US or anywhere else, join your new casino paradise.
http://toprevolutiongame.com/
Hier also wie versprochen, was ich als unzustellbar zurückbekomme. Wenn ich da blauäugig grobe Fehlinterpretationen begehe, dann sagt mir das ruhig.
Vielen Dank und Gruss
David
Kommentar dazu:
- gaius.sui-inter.net ist der Server, auf dem meine Domain eingerichtet ist. Darauf läuft auch der Mailserver.
- dclient.hispeed.ch ist mein Internetprovider (Cablecom Schweiz)
- Ich habe die Mails anonymisiert: myname, mydomain, my-IP, mpfaenger, empfaeger-IP, etc
Beispiel 1 vom 26. Dez 2007 (offenbar habe ich das Problem schon länger als zwei Wochen)
Hi. This is the qmail-send program at gaius.sui-inter.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<[email protected]>:
empfaenger-IP failed after I sent the message.
Remote host said: 571 Delivery not authorized, message refused
--- Below this line is a copy of the message.
Return-Path: <[email protected]>
Received: (qmail 13702 invoked from network); 26 Dec 2007 17:09:16 +0100
Received: from my-IP.dclient.hispeed.ch (HELO ?10.0.1.99?) (my-IP)
by gaius.sui-inter.net with SMTP; 26 Dec 2007 17:09:16 +0100
X-Mailer: Apple Mail (2.915)
From: My Name <[email protected]>
Subject: Re: itnuigsi
To: "fempfaenger" <[email protected]>
Content-Type: text/plain; charset="us-ascii"; format=flowed
Date: Wed, 26 Dec 2007 17:09:16 +0100
Here's a secret.. it's easy to grow your dick by up to 3 inches! Click here http://www.deutosri.com/
Beispiel 2 vom 6. Jan 2008
Hi. This is the qmail-send program at gaius.sui-inter.net.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.
<[email protected]>:
empfaenger-IP does not like recipient.
Remote host said: 550 #5.1.0 Address rejected [email protected]
Giving up on empfaenger-IP.
--- Below this line is a copy of the message.
Return-Path: <[email protected]>
Received: (qmail 5459 invoked from network); 6 Jan 2008 13:16:22 +0100
Received: from my-IP.dclient.hispeed.ch (HELO ?10.0.1.99?) (my-IP)
by gaius.sui-inter.net with SMTP; 6 Jan 2008 13:16:22 +0100
X-Mailer: Apple Mail (2.915)
From: My Name <[email protected]>
Subject: Re: it's only fun and winning.
To: "andererempfaenger" <[email protected]>
Content-Type: text/plain; charset=us-ascii
Date: Sun, 6 Jan 2008 13:16:23 +0100
After thatit's only fun and winning.
Relax and have fun with poker, blackjack, roulette, progressive video slots at your own leisure from your couch.
Players from the United States and around the world!
If you're in the US or anywhere else, join your new casino paradise.
http://toprevolutiongame.com/
also so wie ich das sehe, bekommst du eine mail zugeschickt, die aussieht, als ob irgendwas unzustellbar wäre.
kann mehrere gründe haben......
was mich aber interessiert hätte, wäre der "echte" long header.
was du da als long header schickst ist doch der text des mails.
oder täusche ich mich?
so wie ich das sehe, schickt irgendeine fischkiste mails unter deinem namen und auch mit deiner xmailer info aus. also ein ganz einfacher fischkisten trojaner.
die kommen dann bei vielen empfängern nicht an, weil die adressen wohl auch aus der selben outlook schleuder stammen wie deine adresse.
somit schickt der mailserver für die domain das zum absender zurück.
und der bist fälschlicherweise du. der server muss es aber zu dir zurückschicken, weil du ja als absender drin stehst. also für mich ist das eigentlich klar.....für dich auch soweit?
HTH
mike
kann mehrere gründe haben......
was mich aber interessiert hätte, wäre der "echte" long header.
was du da als long header schickst ist doch der text des mails.
oder täusche ich mich?
so wie ich das sehe, schickt irgendeine fischkiste mails unter deinem namen und auch mit deiner xmailer info aus. also ein ganz einfacher fischkisten trojaner.
die kommen dann bei vielen empfängern nicht an, weil die adressen wohl auch aus der selben outlook schleuder stammen wie deine adresse.
somit schickt der mailserver für die domain das zum absender zurück.
und der bist fälschlicherweise du. der server muss es aber zu dir zurückschicken, weil du ja als absender drin stehst. also für mich ist das eigentlich klar.....für dich auch soweit?
HTH
mike
neolux
Niederhelfenschwiler Beeriapfel
- Registriert
- 21.08.06
- Beiträge
- 847
richtig verstanden!
und wenn der brief dann nicht ankommt, bekomme ich den (vermeintlich) zurück, weil ja meine adresse beim absender steht.
edit:
also, hab mir jetzt nochmal das mail angesehen....
das ist IMHO kein long header, sondern eine status info vom mailserver gegenüber, der das mitschickt.
und da sthet z.b. drin:
Content-Type: text/plain; charset="us-ascii"; format=flowed
das würde mich doch sehr wundern, wenn apple mail im us-ascii schickt.
Zuletzt bearbeitet:
Soweit sehe ich das wie Mike und Neolux.
Anfänglich war ja noch die Rede von IPs. Was hat's damit auf sich?
Ungeklärt bleibt auch noch, wieso die (Versende(?)-)Zeiten mit den Onlinezeiten des Macs übereinstimmen.
Anfänglich war ja noch die Rede von IPs. Was hat's damit auf sich?
Ungeklärt bleibt auch noch, wieso die (Versende(?)-)Zeiten mit den Onlinezeiten des Macs übereinstimmen.
Hallo Zusammen
Vielen Dank für das Durchsehen:
Hier also noch der eigentliche Header zum Beispiel vom 6. Jan:
Von: [email protected]
Betreff: failure notice
Datum: 6. Januar 2008 13:23:08 GMT+01:00
An: [email protected]
Return-Path: <>
Delivered-To: [email protected]
Received: (qmail 13702 invoked for bounce); 6 Jan 2008 13:23:08 +0100
Wie gesagt ist es sehr gut möglich, dass ich den Header nicht lesen kann. Ich interpretiere ihn jetzt aber mal so, dass das Mail von meinem Mailserver kommt (gaius.sui-inter.net).
Zur Frage nach der IP:
Return-Path: <[email protected]>
Received: (qmail 5459 invoked from network); 6 Jan 2008 13:16:22 +0100
Received: from my-IP.dclient.hispeed.ch (HELO ?10.0.1.99?) (my-IP)
by gaius.sui-inter.net with SMTP; 6 Jan 2008 13:16:22 +0100
Da wo my-IP steht, stand vorher meine IP drin (also die von meiner Airport Basisstation im WAN). Da ich das Mail nach meinem Verständnis von meinem Mailserver bekomme, vermute ich, dass der Text keine Fälschung ist. Für mich bedeutet obiger Text also: Um 13.06.22 hat mein Mailserver (gaius.sui-inter.net) das Mail von mir (my-IP.dclient.hispeed.ch) erhalten. Sehe ich das falsch?
Wie gesagt hat mir der Supporter meines Hosting Service bestätigt, dass das Mail tatsächlich von meinem Rechner gekommen ist (ersichtlich aus dem Logfile).
Leider bekomme ich das Logfile nicht, und zwar aus folgendem Grund (Datenschutz anderer Kunden):
Weiter bleibt wie von arc geschrieben die Frage, wieso alle diese Mails zufällig einige wenige Minuten nach meiner Anmeldung verschickt werden.
Und was mir bei der Gelegenheit auch in den Sinn kommt: Wenn ich den ganzen Tag in der Firma bin, dann bekomme ich keine solchen Mails (ich habe ja auch Webmail). Wieso also kommen diese Mails nur, wenn ich zu Hause eingeloggt bin, aber nicht, wenn ich im Büro im Webmail bin?
Ich wär mit Sicherheit der, der sich am Meisten freut, wenn einfach meine Adresse missbraucht würde, aber ich zweifle daran.
Weiterhin vielen Dank für Eure Hilfe und Eure kritischen Fragen - das hilft mir sehr weiter und ich habe auch schon einiges von Euch gelernt.
Gruss David
Vielen Dank für das Durchsehen:
Hier also noch der eigentliche Header zum Beispiel vom 6. Jan:
Von: [email protected]
Betreff: failure notice
Datum: 6. Januar 2008 13:23:08 GMT+01:00
An: [email protected]
Return-Path: <>
Delivered-To: [email protected]
Received: (qmail 13702 invoked for bounce); 6 Jan 2008 13:23:08 +0100
Wie gesagt ist es sehr gut möglich, dass ich den Header nicht lesen kann. Ich interpretiere ihn jetzt aber mal so, dass das Mail von meinem Mailserver kommt (gaius.sui-inter.net).
Zur Frage nach der IP:
Return-Path: <[email protected]>
Received: (qmail 5459 invoked from network); 6 Jan 2008 13:16:22 +0100
Received: from my-IP.dclient.hispeed.ch (HELO ?10.0.1.99?) (my-IP)
by gaius.sui-inter.net with SMTP; 6 Jan 2008 13:16:22 +0100
Da wo my-IP steht, stand vorher meine IP drin (also die von meiner Airport Basisstation im WAN). Da ich das Mail nach meinem Verständnis von meinem Mailserver bekomme, vermute ich, dass der Text keine Fälschung ist. Für mich bedeutet obiger Text also: Um 13.06.22 hat mein Mailserver (gaius.sui-inter.net) das Mail von mir (my-IP.dclient.hispeed.ch) erhalten. Sehe ich das falsch?
Wie gesagt hat mir der Supporter meines Hosting Service bestätigt, dass das Mail tatsächlich von meinem Rechner gekommen ist (ersichtlich aus dem Logfile).
Leider bekomme ich das Logfile nicht, und zwar aus folgendem Grund (Datenschutz anderer Kunden):
Weiter bleibt wie von arc geschrieben die Frage, wieso alle diese Mails zufällig einige wenige Minuten nach meiner Anmeldung verschickt werden.
Und was mir bei der Gelegenheit auch in den Sinn kommt: Wenn ich den ganzen Tag in der Firma bin, dann bekomme ich keine solchen Mails (ich habe ja auch Webmail). Wieso also kommen diese Mails nur, wenn ich zu Hause eingeloggt bin, aber nicht, wenn ich im Büro im Webmail bin?
Ich wär mit Sicherheit der, der sich am Meisten freut, wenn einfach meine Adresse missbraucht würde, aber ich zweifle daran.
Weiterhin vielen Dank für Eure Hilfe und Eure kritischen Fragen - das hilft mir sehr weiter und ich habe auch schon einiges von Euch gelernt.
Gruss David
Hallo Allerseits
Ich habe jetzt little snitch installiert und neu gebootet. Einige Minuten nach dem login kommt folgende Meldung von little snitch:
Mail möchte sich zu ai.hitbox.com auf TCP Port 80 (http) verbinden.
IP-Adresse64.154.80.250
Aufgebaut von /Applications/Mail.app/Contents/MacOS/Mail
Prozess-ID 151
Ich habe jetzt mal nach ai.hitbox.com gegoogelt und ich finde dazu nichts, was vertrauenserweckend ausschaut. Also mal verboten. Was könnte das sein?
Gruss David
Ich habe jetzt little snitch installiert und neu gebootet. Einige Minuten nach dem login kommt folgende Meldung von little snitch:
Mail möchte sich zu ai.hitbox.com auf TCP Port 80 (http) verbinden.
IP-Adresse64.154.80.250
Aufgebaut von /Applications/Mail.app/Contents/MacOS/Mail
Prozess-ID 151
Ich habe jetzt mal nach ai.hitbox.com gegoogelt und ich finde dazu nichts, was vertrauenserweckend ausschaut. Also mal verboten. Was könnte das sein?
Gruss David
Also bisher sieht das für mich noch immer wie normaler SPAM-Backscatter aus. Mit anonymisierten Mailheadern isses natürlich einigermaßen unmöglich irgendwas nachzuvollziehen. Speziell wenn nichtmal die kompletten Header gepostet werden, sondern nur ein kleiner Teil davon. (Kamma ja auch per PN machen, um seine Daten zu schützen.)
Hitbox.com gehört zu Omniture, einem Unternehmen welches statistische Auswertungen über Zugriffe macht. Dieses wird von vielen Firmen verwendet, beispielsweise auch vom iTunes mini Store, Adobe, und vielen anderen. Ob man das aus Gründen der Privatsphäre mag oder nicht ist ein anderes Thema. Es handelt sich dabei aber nicht um einen bekannten oder mutmaßlichen Spammer. Der Grund warum Dein Mail.app dorthin verbinden möchte ist, weil Du ein HTML eMail (vermutlich einen Newsletter) bekommen hast, wo ein von dort verlinktes Bild zum Zwecke des Usertrackings enthalten ist nachgeladen wird.
Gruß Pepi
Hitbox.com gehört zu Omniture, einem Unternehmen welches statistische Auswertungen über Zugriffe macht. Dieses wird von vielen Firmen verwendet, beispielsweise auch vom iTunes mini Store, Adobe, und vielen anderen. Ob man das aus Gründen der Privatsphäre mag oder nicht ist ein anderes Thema. Es handelt sich dabei aber nicht um einen bekannten oder mutmaßlichen Spammer. Der Grund warum Dein Mail.app dorthin verbinden möchte ist, weil Du ein HTML eMail (vermutlich einen Newsletter) bekommen hast, wo ein von dort verlinktes Bild zum Zwecke des Usertrackings enthalten ist nachgeladen wird.
Gruß Pepi
Hallo Pepi
Danke für Deine Antwort. Betreffend hitbox.com hast Du vermutlich Recht: Ich habe das "Yvonna@ FanBox has asked you a question on FanBox "-Mail bekommen, welches oft in Zusammenhang mit Hitbox genannt wurde.
Gehen wir miteinander einig, dass der komplette Header bei Mail.app sichtbar ist, wenn ich Menu Darstellung->E-Mail->Lange Header auswähle? Falls ja, dann habe ich den kompletten Header gepostet - MEHR IST DA NICHT! Falls nein, dann sag mir doch bitte, wie ich zu einem noch kompletteren Header komme?
Alles was ich anonymisiert habe, ist mein Name, meine Domain und meine IP. Ich verstehe nicht, was Dir das zum Nachvollziehen bringen soll.
Aber bitte schick mir doch per PN Deine Mailadresse - dann forwarde ich Dir das Mail und Du kannst es dann komplett und unanonymisiert anschauen.
Vielen Dank und Gruss
David
Danke für Deine Antwort. Betreffend hitbox.com hast Du vermutlich Recht: Ich habe das "Yvonna@ FanBox has asked you a question on FanBox "-Mail bekommen, welches oft in Zusammenhang mit Hitbox genannt wurde.
Gehen wir miteinander einig, dass der komplette Header bei Mail.app sichtbar ist, wenn ich Menu Darstellung->E-Mail->Lange Header auswähle? Falls ja, dann habe ich den kompletten Header gepostet - MEHR IST DA NICHT! Falls nein, dann sag mir doch bitte, wie ich zu einem noch kompletteren Header komme?
Alles was ich anonymisiert habe, ist mein Name, meine Domain und meine IP. Ich verstehe nicht, was Dir das zum Nachvollziehen bringen soll.
Aber bitte schick mir doch per PN Deine Mailadresse - dann forwarde ich Dir das Mail und Du kannst es dann komplett und unanonymisiert anschauen.
Vielen Dank und Gruss
David
also ich gehe da mit pepi "kondom"
aus zerbröselten long headern kann man nix lesen.
ausserdem ist der verdammt kurz. wenn ich mir mal einen von meinen headern in mail ansehe, ist der ca. 4x so lange.
alles was du da stehen hast, kann gefälscht werden.
ein trojaner schnappt sich aus den long headern einer fischkiste z.b. nicht nur deine mailadresse zum fälschen,
sondern gleich den ganzen header/pfad/datum uhrzeit/xmailer/ usw.
wo ist das problem? dazu braucht es nur eine fischkiste und einen dummen outlook user, den du offensichtlich kennst, sonst hätte er ja kein mail von dir herumliegen.
und das der provider knabe auch nur irgendwas aus einem logfile für dich rausliest, bezeichne ich mal als "wuchtel". alleine wenn ich mir meinen mailserver ansehe.....77 domain und ca. 400 adressen.
vergiss es. da schau ich mir die augen wund.
da kann der unmöglich sagen, ob das genau dieses mail war.
natürlich wird er immer wieder einträge finden. doch ich würde sagen, das diese auch die unzustellbarkeits meldungen der anderen server sein könnten. das ist fast unmöglich zu verifizieren.
da legt sich kein provider vor dem logfile auf die lauer.
also ich kann es mir zumindest nicht vorstellen. schon garnicht bei den domainhosting preisen die z.z. herrschen.
also ich glaube noch immer nicht an den apple trojaner. das wäre zu einfach
HTH
ciao
mike
aus zerbröselten long headern kann man nix lesen.
ausserdem ist der verdammt kurz. wenn ich mir mal einen von meinen headern in mail ansehe, ist der ca. 4x so lange.
alles was du da stehen hast, kann gefälscht werden.
ein trojaner schnappt sich aus den long headern einer fischkiste z.b. nicht nur deine mailadresse zum fälschen,
sondern gleich den ganzen header/pfad/datum uhrzeit/xmailer/ usw.
wo ist das problem? dazu braucht es nur eine fischkiste und einen dummen outlook user, den du offensichtlich kennst, sonst hätte er ja kein mail von dir herumliegen.
und das der provider knabe auch nur irgendwas aus einem logfile für dich rausliest, bezeichne ich mal als "wuchtel". alleine wenn ich mir meinen mailserver ansehe.....77 domain und ca. 400 adressen.
vergiss es. da schau ich mir die augen wund.
da kann der unmöglich sagen, ob das genau dieses mail war.
natürlich wird er immer wieder einträge finden. doch ich würde sagen, das diese auch die unzustellbarkeits meldungen der anderen server sein könnten. das ist fast unmöglich zu verifizieren.
da legt sich kein provider vor dem logfile auf die lauer.
also ich kann es mir zumindest nicht vorstellen. schon garnicht bei den domainhosting preisen die z.z. herrschen.
also ich glaube noch immer nicht an den apple trojaner. das wäre zu einfach
HTH
ciao
mike
Hi Mike
Was nicht sein darf, kann nicht sein, gell?
Ich schicke das Mail auch gerne an Dich weiter. Ich weiss damit nicht mehr anzufangen, Du vielleicht schon. Wenn es Dich interessiert, dann schick mir bitte per PM Deine Mailadresse.
Wo das Problem ist:
1) Die Fischkiste verwendet nicht den gleichen Mailserver wie ich. Das unzustellbare Mail kommt aber von meinem Mailserver direkt zurück - nicht von irgendeinem.
2) Woher weiss, die Fischkiste, wann ich eingeloggt bin?
3) Wieso schickt die Fischkiste keine Mails, wenn ich im Büro bin?
4) Der "Knabe" hat nicht das als unzustellbar zurückgeschickte Mail gefunden, sondern das, das mein Rechner geschickt hat. Aber Deiner Meinung nach lügt der mich ja eh an...
Gruss David
Was nicht sein darf, kann nicht sein, gell?
Ich schicke das Mail auch gerne an Dich weiter. Ich weiss damit nicht mehr anzufangen, Du vielleicht schon. Wenn es Dich interessiert, dann schick mir bitte per PM Deine Mailadresse.
Wo das Problem ist:
1) Die Fischkiste verwendet nicht den gleichen Mailserver wie ich. Das unzustellbare Mail kommt aber von meinem Mailserver direkt zurück - nicht von irgendeinem.
2) Woher weiss, die Fischkiste, wann ich eingeloggt bin?
3) Wieso schickt die Fischkiste keine Mails, wenn ich im Büro bin?
4) Der "Knabe" hat nicht das als unzustellbar zurückgeschickte Mail gefunden, sondern das, das mein Rechner geschickt hat. Aber Deiner Meinung nach lügt der mich ja eh an...
Gruss David
Little Snitch hat mich soeben angefragt, ob Mail Port 25 benutzen darf (hab ich gesperrt). Ich habe es einmal erlaubt. In Sent-Mail findet sich nun aber kein gesendetes Mail (auch keine iCal-Erinnerung). Wozu braucht Mail Port 25, wenn nicht zum Senden von Mails?
Gruss David
Gruss David
2003-2024 Apfeltalk | Made on a Mac