Hallo liebes Forum, hab mich heute erst hier Registriert und erbitze Hilfe von euch, wenn ihr die möglichkeit dazu habt.
Ich habe ein Hostingaccount bei Netcup. Dieser wurde Gestern gesperrt, weil angeblich Spam von diesem versendet worden sei.
Das einziege wie wir uns es erklären können ist, das wir ein Extra Plugin zur Userverwaltung installiert haben.
Leider weiß ich aus dem Kopf nicht wie es heißt.
Sobald sich jemand Regestriert wird eine Verifizierungs E-Mail versendet und dieser wurde von SpamCop als Spam erkannt und daraufhin hat das Team von Netcup direkt reagiert.
Sollte doch Schadsoftware installiert worden sein, wie kann ich es als Laie feststellen?
Ich habe euch mal die Nachricht angehängt. Hoffe das ich mich damit jetzt nicht total Nackig mache. Alles an >>https<< habe ich durch >>h**ps<< ersetzt.
Bei der E-Mail habe ich >>example<< vorgesetzt.
netcup GmbH 19.02.2024 14:40 Nachricht an Sie ========== English version below ==========
Guten Tag,
von Ihrem Webhostingaccount wurde Spam versendet. Wir haben Ihren Account daher deaktiviert.
Für Ihre notwendigen Wartungs- und Analysearbeiten können wir Ihr System auf Wunsch für 30 Minuten freischalten. Bitte teilen Sie uns Ihren gewünschten Termin für die Freischaltung mit.
Eine Freischaltung kann Montag bis Freitag zwischen 10 und 18 Uhr erfolgen.
Um Ihren Webhostingaccount wieder aktivieren zu können, benötigen wir von Ihnen eine Stellungnahme, welche Sie über Ihr Kundencenter CCP unter h**ps://www.customercontrolpanel.de an uns übermitteln können. Geben Sie darin bitte an, wie es zu dem Vorfall kam und welche Änderungen Sie aufgrund des Vorfalls vorgenommen haben. Sichern Sie uns in Ihrer Stellungnahme bitte desweiteren zu, dass kein erneuter Verstoß gegen die AGB erfolgen wird und alle schadhaften Dateien entfernt worden sind.
Weitere Informationen zum Vorgehen beim Erhalt einer Abusemeldung finden Sie hier in unserem Wiki:
h**ps://helpcenter.netcup.com/de/wiki/general/abuse-hinweise/
Weitere Details zum Spamversand finden Sie am Ende dieser Nachricht.
========== Abusemeldung / Abuse report ==========
[ SpamCop V5.4.0 ]
This message is brief for your comfort. Please use links below for details.
Email from 188.68.63.170 / Sun, 18 Feb 2024 14:02:12 +0000
h**ps://www.spamcop.net/w3m?i=1234567890
Spamvertised web site: h**ps://gedankenteiler.blog/?s2=1c9b574efd9550cf74330f415829d78ca1403
h**ps://www.spamcop.net/blablalaundsoweiterundsofort
h**ps://gedankenteiler.blog/?s2=1c9b574efd9550cf74330f415829d78ca1403 is 188.68.47.36; Sun, 18 Feb 2024 21:36:38 GMT
[ Offending message ]
Return-path: <example@gedankenteiler.blog>
Original-recipient: rfc822;x
Received: from st43p00im-qukt05022301.me.com by p33-mailgateway-smtp-6789b4dfff-m4stx (mailgateway 2410B97)
with SMTP id 2ee77983-8a43-4f18-8bc5-238312486e01
for <x>; Sun, 18 Feb 2024 14:02:17 GMT
X-Apple-MoveToFolder: Junk
X-Apple-Action: CLXJUNK/Junk
X-Apple-UUID: 2ee77983-8a43-4f18-8bc5-238312486e01
Received: from relay.yourmailgateway.de (relay.yourmailgateway.de [188.68.63.170])
by st43p00im-qukt05022301.me.com (Postfix) with ESMTPS id 9F6D756C03D2
for <x>; Sun, 18 Feb 2024 14:02:12 +0000 (UTC)
X-ICL-SCORE: 4.332034030041
X-ICL-INFO: GAtbVUweBVFHSVVDSAMGUkFIRFcUWUIPAApbVRYSFhEAREQUFEgUQhAdW1URXlANNR4DExleXQcb
DQMeFFVETBcVCRBaEFAGSFsBEhxRWAkQFxISEVxTEFsbChgfEhYRHAlbVUkIDkxDQUhBSx4HVUVb
Rh8dXFlfVwsDGxlJGBsaDBQaGVlaBRQNAwAZSRgGEFtGBwxCC0AHHAoWAR5PDQALCxYRXFEDARwR
FgEeUgdXWQITRRJRBxEYCBwdXkIHHBUDBVZSWg0SW0YaEVQLQElKKxo3XQBXJy0SFD5jeTgMCFQA
SGFmNScDC0ZNUQ8lM0ssBTB4AwYxPz83H1VSAxsSAxkMVV8OEAtIFRRfUVxXWRQURRJVCgcQFQMR
UVgPNRQDWRtfW0A=
x-spam-flag: yes
x-suspected-spam: true
Authentication-Results: bimi.icloud.com; bimi=skipped reason="insufficient dmarc"
X-ARC-Info: policy=fail; arc=none
Authentication-Results: arc.icloud.com; arc=none
Authentication-Results: dmarc.icloud.com; dmarc=none header.from=gedankenteiler.blog
X-DMARC-Info: pass=none; dmarc-policy=(nopolicy); s=u0; d=u0; pdomain=gedankenteiler.blog
X-DMARC-Policy: none
Authentication-Results: dkim-verifier.icloud.com;
dkim=pass (2048-bit key) header.d=gedankenteiler.blog header.i=@gedankenteiler.blog header.b=kmHLCHpF
Authentication-Results: spf.icloud.com; spf=pass (spf.icloud.com: domain of example@gedankenteiler.blog designates 188.68.63.170 as permitted sender) smtp.mailfrom=example@gedankenteiler.blog
Received-SPF: pass (spf.icloud.com: domain of example@gedankenteiler.blog designates 188.68.63.170 as permitted sender) receiver=spf.icloud.com; client-ip=188.68.63.170; helo=relay.yourmailgateway.de; envelope-from=example@gedankenteiler.blog
Received: from mors-relay8203.netcup.net (localhost [127.0.0.1])
by mors-relay8203.netcup.net (Postfix) with ESMTPS id 4Td6mf03RPz8ZH1
for <x>; Sun, 18 Feb 2024 14:02:10 +0000 (UTC)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=gedankenteiler.blog;
s=key2; t=1708264930;
bh=4s9LmQ9aShZDaYe4Ldemr4++x7FHUbNhcl22opAxj7w=;
h=To:Subject:Date:From:Reply-To:List-ID:From;
b=kmHLCHpFpOnuGJCE1wfBfIhUg4OUPvJGWKKhaWC87RIsXh6fQBh3oXM8A+pAlQUgt
9AZ/6MuDcI7jnKoWbYSiLKlzRmMIupWgiHORlPfEIyqkTqSN9BMUIAwrFPaWN2/Mu5
FcIQM3wDcOcdc8peEad6VyuUGs8UVHA2X8dpCxbeN0VNgjOf/pnommGx0GiybZibeG
/6JiAXmQn+nwqJVKQc6VgeP75mHlmW+UlGdXpWUuQVZDdIHXKogXx8fxgGX0dfi6Hv
Uec8uMQm98oWJCII5kF7F7lT4U42uMczGfXI5kpXURMEIrxQ9qwrQtZDal2+whHLWQ
TIfTpO/yqU2VA==
Received: from policy02-mors.netcup.net (unknown [46.38.225.35])
by mors-relay8203.netcup.net (Postfix) with ESMTPS id 4Td6md6T29z8ZGv
for <x>; Sun, 18 Feb 2024 14:02:09 +0000 (UTC)
Received: from a2f24.netcup.net (unknown [10.243.12.53])
(using TLSv1.3 with cipher TLS_AES_256_GCM_SHA384 (256/256 bits)
key-exchange ECDHE (P-256) server-signature RSA-PSS (2048 bits) server-digest SHA256)
(No client certificate requested)
by policy02-mors.netcup.net (Postfix) with ESMTPS id 4Td6md5MdHz8svF
for <x>; Sun, 18 Feb 2024 15:02:09 +0100 (CET)
Received: by a2f24.netcup.net (Postfix, from userid 31189)
id 5535728DA1; Sun, 18 Feb 2024 15:01:44 +0100 (CET)
To: x
Subject: [Gedankenteiler] Please confirm your request
Date: Sun, 18 Feb 2024 14:01:44 +0000
From: Gedankenteiler <example@gedankenteiler.blog>
Reply-To: Gedankenteiler <example@gedankenteiler.blog>
Message-ID: <3MmO__________________________________dDFY@gedankenteiler.blog>
X-Mailer: PHPMailer 6.8.1 (h**ps://github.com/PHPMailer/PHPMailer)
List-ID: Gedankenteiler <gedankenteiler.blog>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
X-NC-CID: GA9XxH8NK90VqR/rTaafL+fSbgQsdACZnoJcFtx0zOuvqBYFF1uikKriNj4qTg==
X-Rspamd-Queue-Id: C239028D9F
X-Rspamd-Server: rspamd-worker-8404
X-CLX-Shades: Junk
X-MANTSH: 1TFkXBxgbEhEKWUQXa2VORUFOeEJPU0cRCllNF2BfREERCllJFwcYHHEbBgcfGHc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-Proofpoint-ORIG-GUID: CqQFpzrKLDWXzzcn1u0NHwUr9WhYy0b-
X-Proofpoint-GUID: CqQFpzrKLDWXzzcn1u0NHwUr9WhYy0b-
Gedankenteiler has received a request to subscribe for this email address. To complete your request please click on the link below:
h**ps://gedankenteiler.blog/?s2=1c9b574efd9550cf74330f415829d78ca1403
If you did not request this, please feel free to disregard this notice!
Thank you,
Gedankenteiler
Weil ich erst gar nicht verstanden habe was da los ist, habe ich Folgende Nachricht an das Netcup Team geschickt.
Sehr geehrtes Netcup Team,
können sie mir sagen was da los ist und wann es behoben sein wird?
Von welchem E-Mail Account sollen die Spam Mails versendet worden sein?
Zurecht habe ich Folgende Antwort bekommen.
Leider können wir Ihre Anfrage nicht ganz zuordnen.
Für die Behebung der Ursachen des Spamversand über Ihr Konto, sind Sie als Kunde zuständig.
Gerne schalten wir Ihnen ein Wartungsfenster um die Ursache ( meist ein kompromittiertes CMS oder Kontaktformular, oder unsichere Passwörter ). Bitte teilen Sie uns mit wann Sie das Wartungsfenster benötigen, Freischaltung können Montag bis Freitag von 10 bis 18 Uhr geschaltet werden.
Sollten Sie selbst ggf nicht die notwendigen Erfahrungen haben, empfehlen wir Ihnen sich ggf. entsprechende Unterstützung zu holen bevor Sie das Wartungsfenster beantragen.
Ich hoffe ihr könnt uns weiterhelfen und zumindest ein wenig Licht ins Dunkle bringen.