Beantwoord

E-mail adres wordt gespoofd

  • 29 augustus 2019
  • 6 reacties
  • 855 keer bekeken

Op een mail adres van ziggo krijg ik van de postmasten melding van foutieve berichten welke ik nooit verstuurd heb. Ik heb het vermoeden dat mijn mailadres wordt gespoofd. Wat kan ik hier tegen doen.
Groetjes,
Jos
icon

Best beantwoord door Evert 29 augustus 2019, 22:12

Hoi Jos,



Ik zou allereerst het wachtwoord wijzigen van je mailadres en ook van je Mijn Ziggo account.



Als je inlogt op je webmail, zie je daar dan bij verzonden berichten de berichten staan die jij niet verzonden hebt?



Groet,

Evert
Bekijk origineel

Dit topic is gesloten. Staat je antwoord hier niet bij, stel dan je vraag in een nieuw topic.

6 Reacties

Reputatie 7
Badge +28
Hoi Jos,

Ik zou allereerst het wachtwoord wijzigen van je mailadres en ook van je Mijn Ziggo account.

Als je inlogt op je webmail, zie je daar dan bij verzonden berichten de berichten staan die jij niet verzonden hebt?

Groet,
Evert
Welke foutmelding geeft de postmaster en bij welk domein hoort deze?
Voor spoofen helpt het veranderen van een wachtwoord niets. Als je mail account daadwerkelijk misbruikt wordt is dat een ander verhaal.
Ziggo heeft al geruime tijd SPF, DKIM en DMARC geactiveerd, wat helpt tegen spoofen. Ik ben daarom wel benieuwd welke melding je exact van de postmaster(s) krijgt.
Na deze "gespoofde berichten, ben ik geblokkeerd door: ziggo.contact@ziggo.nl met de melding:
Geachte heer/mevrouw,

Ons e-mailbeveiligingssysteem heeft gedetecteerd dat uw account gehackt is. We hebben uit voorzorg uw e-mailaccount geblokkeerd voor het versturen van e-mail. Er is namelijk, in korte tijd, vanuit meerdere landen gebruik gemaakt van uw e-mailaccount.

Maar dit zijn de meldingen van Postmaster@ziggo.nl:
Hughes_monica1985@yahoo.com
host mta6.am0.yahoodns.net [67.195.228.106]
SMTP error from remote mail server after end of data:
554 delivery error: dd Sorry, your message to hughes_monica1985@yahoo.com cannot be delivered. This mailbox is disabled (554.30). - mta4062.mail.gq1.yahoo.com
of
Hughes_monica1985@yahoo.com
host mta6.am0.yahoodns.net [67.195.228.106]
SMTP error from remote mail server after end of data:
554 delivery error: dd Sorry, your message to hughes_monica1985@yahoo.com cannot be delivered. This mailbox is disabled (554.30). - mta4062.mail.gq1.yahoo.com
code:
   

of
stacy.stephens@rocketmail.com
host mta7.am0.yahoodns.net [67.195.228.106]
SMTP error from remote mail server after end of data:
554 delivery error: dd Requested mail action aborted - mta4250.mail.gq1.yahoo.com
of
kai.ca0187@vusd.us
host aspmx.l.google.com [108.177.126.26]
SMTP error from remote mail server after RCPT TO:<kai.ca0187@vusd.us>:
550-5.2.1 The email account that you tried to reach is disabled. Learn more at
550 5.2.1 https://support.google.com/mail/?p=DisabledUser f17si1972644eda.242 - gsmtp
In totaal 16 berichten.
Maar ook van een andere postmaster:
postmaster@cb.com
HOPTIME (UTC)FROMTOWITHRELAY TIME18/29/2019
6:50:06 PM[196.61.36.41]smtp7.tb.mail.iss.as9143.netesmtpsa (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) (Exim 4.90_1) (envelope-from <tonnybeerens@ziggo.nl>)3 sec28/29/2019
6:50:06 PM[212.54.42.110]smtpq4.tb.mail.iss.as9143.netesmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) (Exim 4.90_1) (envelope-from <tonnybeerens@ziggo.nl>)*38/29/2019
6:50:07 PMsmtpq4.tb.mail.iss.as9143.netCO1NAM04FT008.mail.protection.outlook.comMicrosoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)1 sec48/29/2019
6:50:08 PMCO1NAM04FT008.eop-NAM04.prod.protection.outlook.comBYAPR05CA0038.outlook.office365.comMicrosoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)1 sec58/29/2019
6:50:08 PMBYAPR05CA0038.namprd05.prod.outlook.comMWHPR05MB2910.namprd05.prod.outlook.comMicrosoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384)
Original Message Headers
code:
Received: from BYAPR05CA0038.namprd05.prod.outlook.com (2603:10b6:a03:74::15)
by MWHPR05MB2910.namprd05.prod.outlook.com (2603:10b6:300:68::15) with
Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.2220.13; Thu, 29 Aug
2019 18:50:08 +0000
Received: from CO1NAM04FT008.eop-NAM04.prod.protection.outlook.com
(2a01:111:f400:7e4d::208) by BYAPR05CA0038.outlook.office365.com
(2603:10b6:a03:74::15) with Microsoft SMTP Server (version=TLS1_2,
cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.2220.13 via Frontend
Transport; Thu, 29 Aug 2019 18:50:08 +0000
Authentication-Results: spf=pass (sender IP is 212.54.42.167)
smtp.mailfrom=ziggo.nl; cb.com; dkim=fail (signature did not verify)
header.d=ziggo.nl;cb.com; dmarc=pass action=none header.from=ziggo.nl;
Received-SPF: Pass (protection.outlook.com: domain of ziggo.nl designates
212.54.42.167 as permitted sender) receiver=protection.outlook.com;
client-ip=212.54.42.167; helo=smtpq4.tb.mail.iss.as9143.net;
Received: from smtpq4.tb.mail.iss.as9143.net (212.54.42.167) by
CO1NAM04FT008.mail.protection.outlook.com (10.152.90.91) with Microsoft SMTP
Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.20.2220.16 via Frontend Transport; Thu, 29 Aug 2019 18:50:07 +0000
Received: from [212.54.42.110] (helo=smtp7.tb.mail.iss.as9143.net)
by smtpq4.tb.mail.iss.as9143.net with esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256)
(Exim 4.90_1)
(envelope-from )
id 1i3PUk-00065D-L9
for Towerhealthjobs@cb.com; Thu, 29 Aug 2019 20:50:06 +0200
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=ziggo.nl;
s=201809corplgsmtpnl; h=MIME-Version:Date:Subject:To:From:message-id;
bh=VucJEB3OwMNKGSRiYO3qQDLyUsOmzHzBsVmL7EEQ0cs=; b=rHTCugSzNcV5bXAEKaNtQrzl/2
1dUe1mWhfKO9rWmTwL6jNzvY0cLTHaRS+WLE+Z19AyWnqVqFyb11jo4ulMswbxRaSvnZxujAhmqKr
mV5y8MjYKYc+XSj8hnUdQCLQZeJuRNkbDMYEAh57ED8yrS9N4rBL3xPi2nvSN18wLtlw3y17ZLnzB
bk0y48YGIjNNjcsPVKPAznnyBV4VC93HNww3OKCywJ6Y7OTifYUdVT1KjALg3GVo+CDyRDDkWYuzN
PCCD4TOdfrft9mJtLt18ZW8BsVJr/9MtM+QJzbZ14cEI/4TYM2BCzc9rYLF4AnyLUj6yUCcIXsSRT
a9ruCwFg==;
Received: from [196.61.36.41] (helo=0136DR3D5USN7IU)
by smtp7.tb.mail.iss.as9143.net with esmtpsa (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256)
(Exim 4.90_1)
(envelope-from )
id 1i3PUi-0006Xk-83
for Towerhealthjobs@cb.com; Thu, 29 Aug 2019 20:50:06 +0200
From: Silvia Lambert
To: Towerhealthjobs@cb.com
Subject: =?UTF-8?Q?Towerhealth_jobs?=
Date: Thu, 29 Aug 2019 18:50:03 +0000
MIME-Version: 1.0
X-mailer: Mozilla Thunderbird 4.434755758
Reply-To: Silvia Lambert
Content-Type: Multipart/mixed;
boundary="------------822111797482162119478322"
Content-Description: Multipart message
X-SourceIP: 196.61.36.41
X-Authenticated-Sender: tonnybeerens@ziggo.nl (via SMTP)
X-Ziggo-spambar: /
X-Ziggo-spamscore: 0.0
X-Ziggo-spamreport: CMAE Analysis: v=2.3 cv=b/jMHeOx c=1 sm=1 tr=0 a=0m0RLgNucTiEgcVWWLBeTw==:17 a=9+rZDBEiDlHhcck0kWbJtElFXBc=:19 a=HpEJnUlJZJkA:10 a=VWYtznf4alsA:10 a=x7bEGLp0ZPQA:10 a=FmdZ9Uzk2mMA:10 a=5KLPUuaC_9wA:10 a=MnRFjVhn3UwnBt3BOYUA:9 a=7Zwj6sZBwVKJAoWSPKxL6X1jA+E=:19 a=QEXdDO2ut3YA:10 a=Z5ABNNGmrOfJ6cZ5bIyy:22 a=jd6J4Gguk5HxikPWLKER:22
X-Ziggo-Spam-Status: No
X-Spam-Status: No
X-Spam-Flag: No
Message-ID:
Return-Path: tonnybeerens@ziggo.nl
X-EOPAttributedMessage: 0
X-EOPTenantAttributedMessage: 7cc16775-66a3-4e8b-80fd-5b1f1db15061:0
X-MS-Office365-Filtering-HT: Tenant
X-Forefront-Antispam-Report: CIP:212.54.42.167;IPV:NLI;CTRY:NL;EFV:NLI;
X-MS-PublicTrafficType: Email
X-MS-Office365-Filtering-Correlation-Id: 06201e95-4f31-4265-e030-08d72cb1b68a
X-Microsoft-Antispam:
BCL:0;PCL:0;RULEID:(2390118)(7020095)(4652040)(5600166)(711020)(4605104)(4709080)(1402095)(4618075)(71702078);SRVR:MWHPR05MB2910;
X-MS-TrafficTypeDiagnostic: MWHPR05MB2910:


Deze berichten heb ik nooit verstuurd.
Groetjes,
Jos
Reputatie 7
Badge +14
@jos_beerens

Doe een goede virus/trojan scan op je systemen die je gebruikt.

Wijzig 2 X snel achterelkaar je mail wachtwoord.

Probeer uit te vinden in deze berichten of het afkomstig is van jou ip adres https://www.watismijnip.nl/

Mail daarna naar abuse@ziggo.nl wat je hebt gedaan om te voorkomen.

Succes er mee.
Reputatie 7
Hey @jos_beerens .
Oef, dat is schrikken! Hoe gaat het nu?
Hey Lycke,

Alles is weer rustig. Ik heb het wachtwoord gewijzigd en het e-mailadres is gedeblokkeerd.
Alles werkt weer naar behoren.Ik heb Ziggo Safe Online en ik controleer met Malewarebyte.
Weet ook niet wat ik meer kan doen. Zoals eerder gezegd heeft Ziggo heeft al geruime tijd SPF, DKIM en DMARC geactiveerd, wat helpt tegen spoofen.
Het opzoeken van het gewraakte IP-adres waar de gespoofde mails vandaan komen, kan ik niet vanaf dat account. Dus we blijven waakzaam en hebben dat het niet meer voorkomt.