Illegale Datenausspähung (Emails)
Posted: 2007-09-24 12:42
Liebe Gemeinde,
selbst auf die Gefahr hin, dass man mich für total unfähig ansieht, habe ich hier eine für mich wichtige Frage. Sie betrifft das illegale "Abhören" von Email-Nachrichten.
Ich betreibe bei der 1und1 Internet AG einen Root-Server, über den mein gesamter Email-Verkehr läuft. Meine Haupt-Email-Adresse "name@domain.de" wird dabei minütlich von nur einem Rechner des Firmennetzwerkes abgefragt. Im Log-File "messages" fand ich folgenden Eintrag:
Nachdem ich das Postfach über Confixx komplett gelöscht habe, gibt es so alle 10-11 Minuten diese Meldung:
Um auszuschließen, dass die Abfragen von meinen eigenen Rechnern erfolgt, habe ich sämtliche Rechner heruntergefahren und dem W-Lan den Strom entzogen. Obwohl kein Rechner im Netz und das W-Lan ausgeschaltet war, gab es die o.a. Warnmeldung - auch wieder mit der IP-Adresse, unter der ich derzeit im Netz war.
Hat jemand für dieses Kuriosum eine Erklärung? Ich jedenfalls bin mit meinem Latein am Ende.
selbst auf die Gefahr hin, dass man mich für total unfähig ansieht, habe ich hier eine für mich wichtige Frage. Sie betrifft das illegale "Abhören" von Email-Nachrichten.
Ich betreibe bei der 1und1 Internet AG einen Root-Server, über den mein gesamter Email-Verkehr läuft. Meine Haupt-Email-Adresse "name@domain.de" wird dabei minütlich von nur einem Rechner des Firmennetzwerkes abgefragt. Im Log-File "messages" fand ich folgenden Eintrag:
Genau eine Stunde später der nächste Eintrag:Sep 20 04:26:53 pXXXXXXXX PAM-warn[1007]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[webXpX] ruser=[<unknown>] rhost=[<unknown>]
Sep 20 04:26:53 pXXXXXXXX PAM-warn[1007]: function=[pam_sm_acct_mgmt] service=[smtp] terminal=[<unknown>] user=[webXpX] ruser=[<unknown>] rhost=[<unknown>]
Jede Stunde das Gleiche. Es ergab sich also der Verdacht, dass mein Postfach, über das der normale Email-Verkehr läuft, von außen stündlich abgefragt wird. Um eine weitere Ausspähung zu verhindern, habe ich meine Email-Adressen einem neuen Postfach zugeordnet. Neben den stündlichen Abfragen gab es dann einige zusätzliche Abfragen auf das alte Postfach. Der Datenklauer schien wohl gemerkt zu haben, dass dort keine Emails mehr ankommen.Sep 20 05:26:53 pXXXXXXXX PAM-warn[1008]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[webXpX] ruser=[<unknown>] rhost=[<unknown>]
Sep 20 05:26:53 pXXXXXXXX PAM-warn[1008]: function=[pam_sm_acct_mgmt] service=[smtp] terminal=[<unknown>] user=[webXpX] ruser=[<unknown>] rhost=[<unknown>]
Nachdem ich das Postfach über Confixx komplett gelöscht habe, gibt es so alle 10-11 Minuten diese Meldung:
Über die Log-Files "mail" und "mail.warn" habe ich versucht, die IP-Adresse des Abfragenden zu ermitteln. Hierbei bin ich auf ein Kuriosum gestoßen. Eingetragen war genau die IP-Adresse, über die ich zu dem Zeitpunkt ins Internet gegangen bin.Sep 24 07:48:13 pXXXXXXXX PAM-warn[1009]: function=[pam_sm_authenticate] service=[smtp] terminal=[<unknown>] user=[webXpX] ruser=[<unknown>] rhost=[<unknown>]
Sep 24 07:48:13 pXXXXXXXX saslauthd[1009]: DEBUG: auth_pam: pam_authenticate failed: User not known to the underlying authentication module
Sep 24 07:48:13 pXXXXXXXX saslauthd[1009]: do_auth : auth failure: [user=webXpX] [service=smtp] [realm=] [mech=pam] [reason=PAM auth error]
Um auszuschließen, dass die Abfragen von meinen eigenen Rechnern erfolgt, habe ich sämtliche Rechner heruntergefahren und dem W-Lan den Strom entzogen. Obwohl kein Rechner im Netz und das W-Lan ausgeschaltet war, gab es die o.a. Warnmeldung - auch wieder mit der IP-Adresse, unter der ich derzeit im Netz war.
Hat jemand für dieses Kuriosum eine Erklärung? Ich jedenfalls bin mit meinem Latein am Ende.