Provider meldet Mißbrauch meines Internetzuganges

[Linuxfan]

Ich habe jetzt über Stunden den Port 25 (SMTP) mit Wireshark gescannt, sogar später auch über VirtualBox Windows Vista laufen gehabt, dort findet ausschließlich von mir vorgenommener Datenverkehr statt, wenn ich zu Testzwecken eine Email an mich selber verschicke. Sonst rein gar nichts.

Können Spammails ohne mein Wissen ausschließlich über den Port 25 versendet werden oder ist diese Überwachung noch keine Garantie, daß kein Spamversand ohne mein Wissen stattfindet?

Ansonsten finde ich den Datenverkehr ohne jegliche Filterung etwas erschreckend für mich als Anfänger mit Wireshark, wenn ich mir die vielen Zeilen ansehe. Gut, einiges ist ja klar ersichtlich, wie z.B. der regelmäßige Kontakt des NTP-Servers, anderes ist für mich natürlich nur kryptisch.

Gibt es weitere Tipps bzw. Vorschläge, auf was ich achten könnte bzw. was interessant sein könnte?

Ich habe meinem Provider 1&1 heute noch mal schriftlich eine Deadline bis Freitag gesetzt, bis zu der er mir nähere Infos zukommen lassen möge, gerade was den Zeitraum angeht. Ich habe allerdings das Gefühl, daß da nichts kommen wird, und überlege, ob ich mich mal an die eine oder andere Redaktion einer einschlägigen PC-Zeitschrift wende, um per Email zu fragen, ob ähnliche Fälle bekannt sind und Interesse daran besteht, das in der nächsten Ausgabe zu publizieren.

 

[Jägerschlürfer]

Ich habe allerdings das Gefühl, daß da nichts kommen wird, und überlege, ob ich mich mal an die eine oder andere Redaktion einer einschlägigen PC-Zeitschrift wende, um per Email zu fragen, ob ähnliche Fälle bekannt sind und Interesse daran besteht, das in der nächsten Ausgabe zu publizieren.

Hast du das deinem Anbieter auch mitgeteilt?

ps. Bin ja mal gespannt wie das Thema hier weitergeht.

 

[Linuxfan]

Nein,

das habe ich meinem Provider (noch) nicht mitgeteilt. Der dürfte sicherlich hoch erfreut sein. Ich werde mich aber sicherheitshalber nachher mal beim Verbraucherschutz informieren, ob erstens ähnliche Fälle bzw. Beschwerden bereits bekannt sind und zweitens was für (rechtliche) Möglichkeiten es für mich gibt.

Es geht mir hier nicht darum, meinen Anbieter wechseln zu wollen. Ich habe seit Herbst vorigen Jahres meinen T-Com Festnetzanschluß gekündigt und bin mit DSL und Telefon zu 1&1 gewechselt. Die Verbindung, DSL 16.000, ist weitgehend konstant im oberen akzeptablen Bereich, wie ich über http://www.wieistmeineip.de regelmäßig teste. Auch sonst keine Ausfälle oder Gründe zur Klage, nur eben jetzt - sollten sich die Anzeichen verdichten - diese Geschichte.

 

[whois]

Ich glaube kaum das da was Nennenswertes bei rauskommen wird.
Der Provider müsste dir normalerweise in einem solchen Fall zumindest beweisen welcher up/downloads Traffic in letzter Zeit gelaufen ist und worauf sich dessen Annahme,das deine Zugang missbraucht wird, sonst beruht.

 

[P6CNAT]

Hallo,

Können Spammails ohne mein Wissen ausschließlich über den Port 25 versendet werden oder ist diese Überwachung noch keine Garantie, daß kein Spamversand ohne mein Wissen stattfindet?

Der Port 25 ist der Standardport für das Simple Mail Transfer Protocol. Der Empfänger, in der Regel ein Mailserver hören auf diesem Port auf eingehende Mails. Unter Unix/Linux macht das der SMTP-Daemon.
Prinzipiell können sich Partner auf einen anderen Port verständigen, entsprechen dann aber nicht mehr dem Standard.
Für Spamer macht es keinen Sinn, andere Ports als den Standard zu verwenden. Sonst kommen deren Mails nirgendwo an.

Wenn du mit Wireshark keine ausgehenden Mails findest, muss 1und1 Fakten liefern, sonst sehe ich kaum eine Möglichkeit die Suche auf einen vernüftigen Zeitraum einzugrenzen.

Auch wenn die Wireshark Logfiles arg groß werden können, würde ich die mal speichern und eine Zeitlang aufbewahren. Für den Fall, dass sich 1und1 melden und einen konkreten Zeitpunkt für einen Versand angeben sollte.

Gruß
Georg

 

[Linuxfan]

So,

ich habe nun in den letzten Tagen meinen gesamten Datenverkehr mittels Wireshark mitgeloggt und im Nachhinein den Port 25 auf Spamversand untersucht, alles normal ohne Verdachtsmomente. Wiederholte Scans meines Systems nach Viren etc. und Rootkits sind nach wie vor ohne negative Befunde. Ich habe zudem am Di. mit dem Verbraucherschutz NRW gesprochen und auf dessen Bitte meinen kompletten Vorgang per Email an ihn geschickt. Es liegen bisher noch keine weiteren gemeldeten Fälle vor, jedoch besteht das Interesse, meinen Fall zu dokumentieren, falls es ähnliche Fälle geben sollte.

Zum Abschluß also noch mal zusammenfassend dargestellt: mein Provider 1&1 hat auch nach fast 2 Wochen keinerlei Nachweis und vor allem keinerlei Reaktion auf seine Behauptung erbracht, mein Internetzugang würde mißbraucht und mein PC könne ausspioniert worden sein, woraufhin ersteres laut 1&1 klar bewiesen sein soll.

Ich stelle hier noch mal für alle Interessierten zwei Schreiben rein: das komplette Schreiben (allerdings ohne meine Kundendaten) von 1&1 vom 14.07.2009 sowie meine abschließende Reaktion per Email vom 25.07.2009 auf den gesamten Vorgang. Sollten in den nächsten Tagen nicht noch neue Erkenntnisse in diesem Forum zusammenlaufen, werde ich den Thread als gelöst markieren. Vielen Dank für die aktive Unterstützung und sehen wir's mal positiv: ich habe dadurch ein für mich neues Programm und die Möglichkeit kennengelernt, meinen Datenverkehr aufzuzeichnen, zu filtern und in gewissen Dimensionen zu untersuchen!


Sehr geehrte/r Herr [...],

wir haben Hinweise erhalten, dass über Ihren 1&1 Internet AG Internetzugang Spam
verbreitet wird.

Anhand dieser Hinweise konnten wir feststellen, dass Ihr Computer sehr
wahrscheinlich mit einem Virus infiziert ist. Dadurch ist er Teil eines
sogenannten Botnetzes und kann von Hackern weltweit missbraucht werden.

Ohne dass Sie selbst es merken, dient Ihr Rechner dazu, Spam zu verbreiten,
Angriffe auf andere Rechner zu koordinieren und auszuführen. Auch könnten Ihre
persönlichen Daten auf Ihrem Computer ausspioniert werden. Weitere Informationen
finden Sie unter http://de.wikipedia.org/wiki/Botnetz.

Hinweis: Ihre persönliche Kundennummer und Ihr Name zeigen Ihnen, dass diese
Nachricht von 1&1 Internet AG verschickt wurde.

Um die Sicherheit Ihres Internetzuganges und Ihrer persönlichen Daten
wiederherzustellen, gehen Sie bitte wie folgt vor:

1. Virus löschen und PC schützen:
Um den Virus von Ihrem Computer zu entfernen und in Zukunft vor einer Infektion
geschützt zu sein, empfehlen wir Ihnen die professionelle Anti-Viren-Software
Norton 360 oder Norton Internet Security. Sie finden sie in Ihrem 1&1 Control
Center.

2. Zugangsdaten ändern:
Nachdem Sie den Virus gelöscht haben, ändern Sie zur Sicherheit alle Ihre
Passwörter und Zugangsdaten zu Online-Accounts. Möglicherweise sind diese vom
Virus ausspioniert wurden. Denken Sie zum Beispiel an die Passwörter zu:
- Ihrem 1&1 Control-Center (Service-Passwort)
- Ihrem eBay-Mitglieds-Konto
- Ihrem WEB.DE oder GMX E-Mail-Postfach
- Ihrem PayPal-Konto
- Ihrem Online-Banking-Account


Für Ihr Mitwirken danken wir Ihnen schon jetzt. Sollten Sie Fragen haben,
antworten Sie auf diese E-Mail und belassen Sie bitte unsere Referenz
in Ihrer Nachricht.

Sollte das Problem fortbestehen und Ihr Internetanschluss weiterhin Spam
versenden, werden wir Sie hierüber informieren. Wir freuen uns darauf, Ihnen
weiterhin eine sichere Dienstleistung zu bieten.

Mit freundlichen Grüßen,

Ihr Abuse Team

--
Abuse Abteilung
1&1 Internet AG

Elgendorfer Str. 57, 56410 Montabaur
Amtsgericht Montabaur HRB 6484 · Vorstand: Henning Ahlert, Ralph Dommermuth, Matthias Ehrlich, Thomas Gottschlich, Robert Hoffmann, Markus Huhn, Hans-Henning Kettler, Dr. Oliver Mauss, Jan Oetjen · Aufsichtsratsvorsitzender: Michael Scheeren


Betreff: Beschwerde über Vorgehen von 1&1 mittels und nach Mißbrauchs-Info


Sehr geehrtes 1&1-Team,

zuerst einmal möchte ich das Geschehen chronologisch rekapitulieren:

1.) Email von 1&1 Internet AG, Abuse Abteilung, am 14.07.2009, 10:38, Betreff
"Ihr 1&1 Internetzugang wird missbraucht".

2.) Meine Antwort per Email am 14.07.2009, 13:30, mit der Bitte um genauere
Informationen.

3.) 16.07.2009, 12:33, Anruf bei der Hotline. Auch hier keine weiteren
Auskünfte und keine Möglichkeit, per Durchwahl mit der Abuse-Abteilung direkt
zu sprechen.

4.) 20.07.2009, 15:59, wiederholter Anruf bei der Hotline. Abermals keine
weiteren Informationen und abermals kein Kontakt mit der Abuse-Abteilung
möglich.

5.) 20.07.20098, 16:21, weiteres Schreiben per Email mit der Bitte, mir
schnellstmöglich genaue Details zukommen zu lassen, was den Mißbrauch meines
Internetzuganes und die Verbreitung von Spam anbelangt, vor allem auf welcher
Grundlage Sie zu dieser Behauptung kommen. Auf meinem reinen Linuxsystem sind
nach mehrfachen Tests KEINERLEI Rootkits oder Viren, zudem läuft bei mir nur
minutenweise eine Windows Vista-Installation virtuell über VirtualBox. Mein
System ist durch eine Hardware-Firewall (Router) sowie eine Software-Firewall
permanent geschützt. Ich hatte Ihnen die Möglichkeit eingeräumt, bis
spätestens Freitag, 24.07.2009, zu antworten.

6.) Es ist bis heute keinerlei Antwort oder Stellungnahme seitens 1&1 bei mir
eingetroffen.

So viel zum chronologischen Ablauf. Ich stelle hiermit fest, daß mein Provider
1&1 nach einer Behauptung (s. Abuse-Mitteilung), die gerade einem erfahreneren
PC-Anwender Angst und Schrecken einjagt, in keinster Weise mit näheren Fakten,
Details oder gar einer Hilfestellung reagiert hat. Dies wurde mir nach einiger
Zeit zunehmend suspekt, da eilig vorgenommene Viren-, Trojaner- und Rootkits-
Tests sowie eine beginnende Analyse des gesamten Internet-Datenverkehrs über
meine Netzwerkschnittstelle keinerlei Unregelmäßigkeiten oder systembedingte
Schwachstellen erkennen ließen. Ich habe also mit erheblichem Aufwand von
meiner Seite eine Analyse vorgenommen sowie sämtliche sicherheitsrelevanten
Login-Daten und Passwörter ausgetauscht, da laut Ihrer Mail ein von Ihnen als
klar bewiesener Fakt benannter Mißbrauch meines Rechners und Internetzuganges
inklusive der Möglichkeit, mein Rechner könne ausspioniert worden sein,
vorlag. In gleicher Email empfehlen Sie dabei das Norton Sicherheitspaket zu
verwenden, das ich nicht verwende und auch nicht verwenden werde. Das
untermauert den Verdacht, einen Kunden wie mich mit dieser Abschreckungstaktik
zum Kauf bzw. Abonnement dieses Paketes zu drängen. Unerfahrenere PC-Benutzer
sind an solch einem Punkt emotional wie fachlich total überfordert und
reagieren unter Umständen panisch.

Ich bin sehr enttäuscht und verärgert über Ihr Vorgehen, zumal Sie genügend
Zeit gehabt haben, auf meine Resonanz zu reagieren. Ich habe den kompletten
Ablauf dem Verbraucherschutz NRW mitgeteilt, der anhand meines Beispiels ganz
präzise weitere Fälle in dieser Richtung registrieren wird. Ich behalte mir
vor, aufgrund dieses nicht zu entschuldigenden Verhaltens Ihrerseits zu
überlegen, meinen Vertrag nach Ablauf meiner Mindestvertragslaufdauer zu
kündigen. Ich verbitte mir zudem, nochmals in dieser Form von Ihnen ohne
nachweisbare Fakten eine solche unhaltbare Aussage eines Mißbrauchs meines
Internetzuganges zu machen, und werde im Wiederholungsfalle mit
weiterreichenden Mitteln darauf reagieren.

Mit freundlichen Grüßen,

[...].

 

[P6CNAT]

Hallo Linuxfan,

ich finde dein Schreiben an 1&1 sehr gut. Souverän und sachlich. Es ist auch eine gute Entscheidung, den Verbraucherschutz einzubinden. Wenn alle Opfer so reagieren würden, bestünde eine Chance, dass die Firmen in Zukunft ihre Kunden nicht für dumm verkaufen.

Trotzdem befürchte ich, dass es der Firma am Allerwertesten vorbeigeht. Ich habe leider auch schon schlechte Erfahrungen mit Anbietern gemacht. Die Kündigung ist die einzige Sprache die wirkt. Ich konnte sogar wegen nicht eingehaltener Leistungsversprechen vorzeitig aus einem Vertrag raus. Aber das ist eine andere Geschichte.

Gruß
Georg

 

[Ganymed]

Hi Linuxfan

Du solltest dich bei Fachleuten für Vertragsrecht informieren.
Wenn der Provider sich, durch die Angst und Schrecken erzeugende Art und Weise ein Produkt zu verkaufen, tatsächlich wie in der von dir dargestellten Art unprofessionell verhalten hat und aktuell vor allen deine Spamverteilung nicht nachweist, kann vielleicht das beiderseitige Vertrauen als Basis des Kommunikationsvertrages in Frage gestellt und eine vorzeitige Auflösung in Erwägung gezogen werden.

Die nur in Auszügen wörtliche Veröffentlichung von Schriftverkehr solltest du zum Ausschluss von Fehlinterpretationen vorher bedenken.

Gruß Ganymed

 

[Linuxfan]

Hallo,

ich denke auch, daß 1&1 mein Schreiben am Allerwertesten vorbeigeht. Ehrlich gesagt rechne ich auch in keinster Weise mit einer Antwort und Reaktion. Es geht mir hauptsächlich darum, daß ich vielleicht auch nur exemplarisch demonstriert habe, daß solch eine Aktion und solch ein Verhalten für Ottonormaluser nicht tragbar und schlichtweg unverschämt ist. Daher hoffe ich, somit eventuell dem einen oder anderen, der in Zukunft vielleicht ähnlich von 1&1 behandelt wird, zu helfen und einen kleinen Beitrag dazu zu leisten, daß so was nicht unkommentiert durch geht. Immerhin habe ich eine emotionale Reise von geschockt und verunsichert über verwundert, später erleichtert und letztendlich richtig verärgert durchgemacht. Und das lasse ich mir nicht bieten, wenn hier anscheinend mit solchen Mitteln versucht werden soll, den Umsatz zu steigern und einem das Sicherheitspaket aufzuschwatzen.

Ich war und bin ansonsten mit 1&1 zufrieden, da die DSL-Performance konstant und hier im Innenstadtbereich Kölns ziemlich gut ist, keine Ausfälle oder sonstige Unzuverlässlichkeiten, nur eben jetzt dieser Ärger mit dieser Aktion. Daher gehen meine Überlegungen nicht Richtung Vertragsrecht, es sei denn, es sollte doch noch was von 1&1 kommen und ein neues Licht auf die ganze Sache werfen.

 

[onkelchentobi]

@Linuxfan
Tipp: Der bunte Farbenmix traegt nicht dazu bei den Text besser lesen zu koennen, eher das Gegenteil ist der Fall auch wenn es zu deinem Avatar passt.

 

[Treito]

Sehr merkwürdige Geschichte, zumal woher will 1&1 wissen, dass Du Spammails verschickst?!
Aber mal ein anderer Tipp: Ich lasse meinen Rechner automatisch hoch- und runterfahren bei Myth. Klappt zuverlässig. Bei Fragen kann ich gerne helfen.

 

[onkelchentobi]

Jedenfalls waere es interessant zu erfahren wenn von 1&1 noch etwas kommt.

 

[ing0]

Bist du mal auf dem Link zur angepriesenen "Sicherheitssoftware" gewesen ?

Für mich sieht das ganz schwer nach einer ... sagen wir mal "schwachen" Marketingstrategie aus.
An deiner stelle wäre ich da nicht einen Meter hinterher gelaufen, wenn die tatsächlich irgendetwas von mir wollen würden, was berechtigten Bestand hätte käme das sicherlich nicht per E-Mail und ein klein wenig genauer.

 

[whois]

Jedenfalls waere es interessant zu erfahren wenn von 1&1 noch etwas kommt.

Ich persönlich glaube nicht da da noch etwas kommt.
Die Beweispflicht liegt klar beim Provider und wenn die das nicht können, aus welchem Grund auch immer, werden die sich hüten irgendwas zu unternehmen was man anfechten könnte.

 

[Jägerschlürfer]

Für mich sieht das ganz schwer nach einer ... sagen wir mal "schwachen" Marketingstrategie aus.

schade, dass so versucht wird, die eigenen Kunden zu hintergehen, um mehr Geld abzuzocken.
Ich will gar nicht wissen, wie viele Kunden sich dann bzgl. so einer Mail die Sicherheitssoftware kaufen, ohne zu wissen, dass das alles nur ein "Fake" war.

 

[Linuxfan]

Auch für mich ist das ganz klar eine Marketingstrategie von 1&1, dazu noch eine ganz schwache, die mit den Ängsten ihrer Kunden spielt. Der Verbraucherschutz NRW hat (wie bereits berichtet) noch keine weiteren Fälle registriert, aber das muß ja nicht zwingend was heißen, schließlich meldet das nicht jeder. Ich werde in den nächsten Tagen mal ein oder zwei Redaktionen einschlägiger PC-Zeitschriften anmailen, ob da was bekannt ist.

Nein, da wird garantiert von 1&1 nichts mehr kommen. Die haben seit spätestens Montag meine Beschwerdemail. Für mich dreht sich alles um den Punkt der Verunsicherung, die sogar bei mir als halbwegs erfahrenem Linux-Heimuser, dessen PC praktisch den ganzen Tag läuft, eingesetzt hat, gefolgt von einigem Recherche- und Arbeitsaufwand, um im Ausschlußverfahren darauf zu kommen, daß mein im Dezember letzten Jahres akribisch aufgesetztes System auf meinem 1 Jahr altem Rechner tadellos in Ordnung ist, stabil ohnehin und immer gewissenhaft von mir gepflegt mit allen (Sicherheits-)Updates, sobald diese online waren.

 

[schoppehaller]

Das bestätigt alles nur wieder das Vorgehen dieser Firmen.

Leider sind Alternativen eher rar bis gar nicht vorhanden.

Bei konkreten Problemen wird oft die Verzögerungstaktik angewendet, begleitet davon, daß man nur noch in irgendwelchen Call-Centern landet, und keinen festen Ansprechpartner mehr bekommt.

Daniel

 

[P6CNAT]

Hallo,

Bei konkreten Problemen wird oft die Verzögerungstaktik angewendet, begleitet davon, daß man nur noch in irgendwelchen Call-Centern landet, und keinen festen Ansprechpartner mehr bekommt.

Tja, kann ich leider bestätigen. Und dort trifft man eher auf Klingeltonverkäufer statt qualifiziertem Personal.

Gruß
Georg

 

[schoppehaller]

Aber die Ausnahme,.....

einen hatte ich bei meinem Problem mal dran, der bestätigte mir durch die Blume, daß meine Theorie richtig war.
Davor hatte ich aber schon knappe 3 Stunden Korrespondenz mit diversen Stellen.

Wenn der Flatrate-Vertrag ausläuft, gibts ein Folgeangebot, etwas günstiger, aber sonst alles genauso. Dann wird 1/4 der Kapazität gekappt, und bei 3 Vorgängen kann man einen neuen Kunden gewinnen, ohne in die Infrastruktur investieren zu müssen.

Also alle schön aufgepasst bei sowas.

Tja, die Firma mit den Magenta Buchstaben.

Daniel