Hallo,

zuerst dachte ich es ist Zufall, aber da das inzwischen schon zum dritten Mal passiert ist, glaube ich da nicht mehr so recht dran.
Ich. hatte gestern eine Bestellung mit Zahlung über Paypal gemacht. Fast zeitgleich mit der Paypalbestätigungsmail kam eine Mail angeblich von Paypal, in der mir eine Zahlung von knapp 1300 Euro angekündigt wurde und einem Link zur Stornierung, der natürlich ein Phishing Link war.
IIm ersten Moment war ich etwas geschockt und dachte bei der Bestellung wäre etwas schiefgelaufen.

Vor ein paar Wochen hatte ich Kontakt mit dem Kundensupport von Netto, auch da kam kurze Zeit später eine Phisingmail von "Netto".
Dasselbe hatte ich kurz vorher schonmal, kann mich aber nicht mehr erinnern mit wem ich da Kontakt hatte, da ich dachte es wäre Zufall.
An Zufall will ich nicht mehr recht glauben, was ist da los, bzw. wird da irgendwo der Mailverkehr abgehorcht?

massi

Prüf dein Rechner doch mal auf Malware. Und hast du mehrere Email Adressen bei denen das passiert oder passiert das nur bei einer einzigen (falls du mehrere hast).

Man könnte vorsätzlich das Passwort ändern.

Zufälle sind die Grundlage für Phishing-Mails. Bekannte Unternehmen wie Netto und PayPal sind häufige Köder. Die betroffenen Unternehmen warnen regelmäßig, dass große Mengen Phishing-Mails im Umlauf sind.
Wenn jemand gerade mit einem dieser Unternehmen zu tun hat, wirkt die Mail in diesem Kontext passend.
Es ist wahrscheinlich, dass es bei der Vielzahl von Phishing-Versuchen immer wieder zu solchen "unwahrscheinlichen" Zufällen bei Einzelnen kommt.

Wenn du Glück hast handelt es sich um . Ich würde sicherheitshalber trotzdem Passwörter ändern und vorher noch einen Malwarescan machen

Ganz an Zufall mag ich da bei dieser Häufung aber auch nicht mehr glauben. Bei mir kommen auch regelmäßig Phishing-Mails an, aber Netto hatte ich glaube ich z.B. noch nie dabei. PayPal, diverse Banken (spannenderweise aber niemals die, bei der ich Kunde wäre), Amazon, DHL und andere Paketdienste. Aber so gut wie nie in zeitlicher Nähe zu irgendeinem Kontakt mit diesen Unternehmen. Halt sehr zufällig immer mal wieder zwischendurch. Von daher finde ich drei Mal in zeitlicher Nähe - sogar fast zeitgleich mit einer Interaktion - schon sehr auffällig.

Natürlich kann es noch immer Zufall sein, aber ich würde meinen Rechner tatsächlich gründlich auf Malware prüfen und auch mal gucken, ob ggf. mit dem E-Mail-Konto etwas sein könnte. Passwörter ändern ist auf jeden Fall in so einem Fall eine gute Idee.

Da stellen sich natürlich einige Fragen zum System, welches macOS ist im Einsatz und welches E-Mail Programm wird genutzt? Ist alles auf dem aktuellen Stand. Dann geht es weiter mit der eigentlichen E-Mail bzw. dem Anbieter? Selbst gehostet oder ein Anbieter wie z.B. GMX, Web.de oder Google?
Ist das E-Mail Programm dementsprechend auch sauber konfiguriert, das nur per SSL kommunziert wird?

Danke erstmal für Eure Antworten, normale Phishing Mails bekomme ich natürlich auch dauernd, kennt man ja, aber in der Form, wie ich es beschrieben habe, eben bisher nur dreimal.
Mein Passwort werde ich ändern, allerdings frage ich mich was ein möglicherweise kompromitiertes Passwort damit zu tun haben sollte? Sieht mir eher so aus, als würden da gezielt Emailkanäle zu großen Unternehmen "abgehört".
Die Mails hatten ja auch keinerlei Bezug zu meinen versendeten Mails.

Ich habe drei Emailadressen, zwei bei GMX, eine bei einem Hoster, bei dem ich auch Webspace habe, die Mail beim Hoster nutze ich nur für Privatzwecke, eine GMX Mail für Registrierungen etc., da kommt auch der meiste Spam rein und eben auch diese Mails.
Ich habe einen Mailserver, der die Mails vorsortiert an meine Clients weiterreicht, läuft alles mit Verschlüsselung (SSL,TLS)
Mein Mac ist ein MBA M1 mit Sonoma, Emailprogramm Postbox, alles aktuelle Versionen.

Ich wollte eigentlich nur mal hören, ob noch jemand das beobachtet hat, ich scheine aber wohl ein Einzelfall.

Werde jetzt erstmal ein paar Malwarescans starten, danke nochmals!

Wenn es kein Zufall ist, ist es VIIIEEEEELLL wahrscheinlicher, dass bei dir lokal oder auf deinen Mail-Servern mitgeschnüffelt wird als bei sehr vielen, mit Sicherheit besser als bei dir abgesicherten, großen Unternehmen.

Vielleicht hast du hiermit schon die Komponente identifiziert, welche, wenn es kein Zufall ist, die wahrscheinlichste Angriffsstelle ist?

Werde ich nochmal überprüfen, glaube ich aber eher nicht, der Server macht ja nix anderes, als das was ich mit meinem Mailprogramm direkt machen würde. Die Mails vom Provider über eine verschlüsselte Verbindung abholen und per IMAP bereitstellen, abgeholt werden die Mails über den SMTP meines Providers.

massi
Schadet trotzdem nichts, auch hier die Zugangsdaten neu zu vergeben – einfach um sicher zu sein, wenn so was komisches passiert wie bei dir gerade.

massi

GMX ist auch ein guter Kandidat. So viel Spam und Müll. Ich würde diesen Account stilllegen und mir ne Gmail Adresse holen. Wenn du keine Malware findest, würde ich trotzdem alle Passwörter ändern und die GMX Adresse nicht mehr nutzen. Könnte mir vorstellen, das über diese Adresse die Phishingversuche kommen.

Auch wenn das jetzt etwas OT sei mag....

Postbox (Version 7.0.65) war bis vor ca. einem Jahr mein Standard-Email-Programm. Die Software war zum Schluss leider extrem schlecht gepflegt. Mittlerweile ist sie ja eingestellt bzw. an eM Client verkauft worden.

Es gab/gibt keine Silicon-native Version, d.h. man muss Rosetta installiert haben. Ich habe Anfang 2022 beim Postbox-Support mal nachgefragt, ob und wann ggf. eine entsprechende Version kommt. Die Antwort lautete: "we're currently monitoring demand"...

Die Software basiert auf Thunderbird und wenn ich sehe, wie viele Sicherheitsupdates es dort gegeben hat, stellt sich mir die Frage, ob und welche Sicherheitslücken Postbox so hat. Mich hat das zumindest bewogen, zu wechseln. Mittlerweile verwende ich seit ca. einem Jahr quasi das "Original", also Thunderbird. Der Umzug war problemlos, da die Datenbasis beider Programme identisch war.

Thunderbird ist m.E. ist sicher nicht so schick und manche Sachen sind mglw. nicht so elegant wie bei Postbox. In Sachen Features hat Thunderbird aber mittlerweile in einigen Dingen nachgezogen (globale Suche z.B.).

Nicht missverstehen: Ich will die Software hier nicht schlecht machen, im Gegenteil, ich habe sie sehr lange und sehr gerne benutzt. Es soll auch keine Werbung für Thunderbird sein, nur hatte ich eben vor einem Jahr dann irgendwie kein gutes Postbox-Gefühl mehr...

die Verschlüsselung bezieht sich nur auf den Transport. Woher willst du wissen, was der Betreiber des Server mit den Mails alles anstellt auf dem Weg zwischen Ein- und Auslieferung? Glaube allein hilft da nicht. Selbst Vertrauen kann man nur begrenzt weil man es ja nicht selber nachprüfen kann.

Weil es mein Server ist.

Für Postbox suche ich auch noch eine Alternative, Thunderbird gefällt mir aber rein von der Optik her nicht besonders.

Was bedeutet das? Du hast einen eigenen Server angemietet oder steht bei dir lokal ein Mailserver? Wenn ja, dann hoffentlich kein ungepatchter Exchange Server oder veraltete Version.

GMX und Web.de gehören beide zum 1&1 Konzern. Ich kenne keinen Anbieter bei dem noch mehr Spam eintrudelt.

Ist denn bei deinen eigenen Systemen auf die du Zugriff hast (angemietet) auch SPF und DKIM aktiviert und sauber konfiguriert?

Das hat er ja im Grunde erklärt. Die Mails werden vom lokalen Server bei den Providern abgeholt (imap, kein Exchange) und können von den Clients abgerufen werden. So etwas wie SPF oder DKIM ist nur dann ein Thema, wenn über diesen Server Mails versendet werden.

Ich glaube nicht, dass Angreifer den Mailverkehr zwischen Provider-Server-Clients beobachten und dann Phishing-Mails versenden. Dennoch ist ein Mail-Server im Internet etwas für Mutige.

Einen Mail-Server habe ich für Archivierung auch, aber der ist über Internet nicht erreichbar. Stattdessen habe ich ein VPN-Netzwerk aufgebaut (eigentlich ein Zero Trust Network mit Twingate) und nur Geräte, die mit VPN angemeldet sind, können auf die Mails zugreifen.
Hast du MailMate schon ausprobiert?

…schön ist es tatsächlich nicht …aber Hauptsache es funktioniert und es wird gepflegt von Leuten, die mein Vertrauen haben, die mir kein Abo aufzwingen wollen und denen ich dann im Gegenzug Unterstützung zukommen lasse.

Woher nimmst du diese Info? massi hat nirgendwo geschrieben mit welchem System er serverseitig arbeitet. Auch hier kann man mit einer Fehlkonfiguration ermöglichen das andere mitlesen können.

Er schreibt von IMAP und Mails beim Provider abholen (GMX). Den Server nutzt er seit mindestens drei Jahren
Was die Fehlkonfiguration angeht, stimme ich dir zu. Aber SPF und DKIM erlaubt anderen Providern die Identität zu überprüfen. Das wäre ein Thema, wenn Mails im Namen von massi kursieren würden. Hier ist steht aber die Frage im Raum, wie Phishing-Kriminelle erfahren, mit welchen Anbietern (Netto usw.) massi im Moment in Kontakt ist.

Na dann, ich krame nicht in den alten Threads um mir Info´s zu holen...
Aber wenn ich mir den Eingangsthread so ansehen und die entsprechenden Kommunikationswege dann könnte da auch irgendwie der Browser involviert sein, denn Netto hat ein Kontaktformular oder Rufnummer für den Erstkontakt und eine Bestellung mit PP Zahlung ist meist auch online....

Na, das was ich geschrieben habe, es ist meiner, wenn ich einen Server anmiete ist es ja nicht meiner.;)
Der steht hier lokal. Und ja DKIM und SPF sind beim Mailprovider konfiguriert, über dessen SMTP Server ich Mails schicke.
Der Server läuft unter Debian, postfix holt die Mails, procmail sortiert, Spamfilter spamassassin, und dovecot als IMAP Server, exim4 als Sender.
Stimmt, der Erstkontakt bei Netto ging über die Webseite und mir ist auch wieder eingefallen, welches der dritte Fall war, Techniker Krankenkasse, auch Erstkontakt über Webbrowser.
Funktionieren tut es und man gewöhnt sich sicher auch an den Look, was ich aber nicht hinbekomme, daß mir im Dock beim Iconbadge die Anzahl der neuen Mails nicht angezeigt wird, bei Postbox geht das und die Mitteilungen sind eingeschaltet.
Ja, ist mir aber für meine Zwecke einfach zu überladen, nur in Englisch und bekommt das mit dem Iconbadge auch nicht hin.

Es gibt wohl kein Programm, bei dem sich die Counter am Icon/Menubar/Notifications umfangreicher konfigurieren lassen als bei MailMate
... aber nur in Englisch.

Das wird wahrscheinlich auch der Grund sein, warum ich es bei mir nucht ans Laufen bekommen habe. Ich möchte keine Notifications mit irgendwelchen Bannern oder Tönen, sondern einfach nur, daß ich im Dock im "Mailprogrammicon" das rote Badge mit der Anzahl der neuen Mails angezeigt bekomme.

Du löscht den Haken bei Notifications, um keine Mitteilungen zu erhalten. Bei Format kannst du einstellen, was als Mitteilung angezeigt wird.
Du musst links für jede der vier Ecken einstellen, ob und was der Zähler anzeigt und ob Notifications angezeigt werden.

Ja, das hatte ich gefunden und entspechend eingestellt, funktionierte bei mir aber nicht im Hintergrund, hat möglicherweise etwas damit zu tun, daß ich meine Mails in IMAP-Ordnern auf dem Server liegen habe.
Erst wenn ich in Mailmate in einen Ordner "reinging" wurde angezeigt, daß neue Mails angekommen sind und auch entsprechend der Badge erstellt.

Das ist natürlich praktisch bei Postbox und hat mich bei Thunderbird nach der Erstinstallation auch gestört...aber da Postbox im Kern ja Thunderbird ist, geht das auch dort – es ist nur per Default nicht eingeschaltet.

1.) Thunderbird Einstellungen Allgemein
2.) im Einstellungsfenster ganz nach unten scrollen zu "Konfiguration bearbeiten" und darauf klicken
3.) im Suchfeld "Einstellungsname suchen" nach "new_count" suchen
4.) dann sollte angezeigt werden "mail.biff.use_new_count_in_mac_doc Value = false"
5.) einmal auf den Doppelpfeil am Ende der Zeile klicken, damit aus "false" der Wert "true" wird
6.) das Einstellungsfenster über das X im Tab schließen
7.) Thunderbird neu starten
8.) Im Dock sollte die Zahl der nicht gelesenen Emails jetzt angezeigt werden

Zusatz: In den Advanced Einstellungen sonst NICHTS ändern

Einschränkung: Thunderbird erfasst nicht die Zahl ungelesener Mails in lokalen Ordnern, also nur auf dem/den Server/n

Nix für ungut, aber der Begriff "meine" wird häufig dehnbar benutzt. "Mein Server" kann bedeuten, dass es deine eigene Hardware daheim oder deine eigene Hardware bei einem Hoster oder ein gemieteter Server ist. Menschen reden ja auch von "in meiner Wohnung" und meinen "in der Wohnung, die XY gehört, die ich aber anmietete und in der ich wohne"
Hast du irgendwelche Browser-Plugins im Betrieb?

Beste Grüße
Peter

Ich hatte so etwas auch schon einmal erlebt. Damals hatte ich mein Bitdefender-Abonnement gekündigt. Kurz darauf erhielt ich eine Bestätigungs-E-Mail, die ich angeklickt habe – und plötzlich waren 200 € weg. Was war passiert?

Bitdefender verkauft anscheinend Lizenzen an Zwischenhändler. Diese Zwischenhändler sitzen unter anderem in Holland und lassen sich bis auf die Bahamas zurückverfolgen. Soweit, so gut. Das Problem: Diese Zwischenhändler werden offenbar sofort über Käufe und Kündigungen informiert und senden dann gezielt Phishing-Mails aus. Solche Praktiken sind bereits aus den 90ern bekannt, als sogenannte “Drückerkolonnen” Haustürgeschäfte für Zeitungsabonnements betrieben. Später fand das Ganze dann per Telefon statt.

Die entscheidende Frage ist nun, wer zwischen dir und deinem Verkäufer steht (abgesehen von PayPal). Es ist eher unwahrscheinlich, dass es sich um Malware handelt, sondern vermutlich um eine Firma auf der Seite des Verkäufers.

In meinem Fall hat Bitdefender den Schaden damals ohne großen Aufwand erstattet!

Ähnliches hatte ich auch mit der Firma Mavic, einem Hersteller von Rennradteilen und Rennradkleidung. NorthVPN informierte mich Jahre später, dass dort Daten abgefloßen sind.

Gibt's bei mir nicht, nur "mail.biff.use_new_count_in_badge", habe ich mal auf true gesetzt, brachte aber nichts.
Allerdings habe ich auch festgestellt, das Thunderbird in der Mitteilungszentraleneinstellung gar nicht angezeigt wird.
Ja, ein paar, Adblocker für Youtube, Videodownloadhelper, Enpass, Exif Viewer, Mate Translate, uBlock origin, Exif Viewer, Tab Grouper, Link zu Textfragment.

Grundsätzlich weniger ist mehr und manchmal ist auch ein 2ter Browser nützlich, gerade wenn es um solche wie Videodownloadhelper gibt. Da gab es einige, die wilde Sachen im Hintergrund veranstaltet haben. Also mal nachsehen welcher das ist und ob der in der Vergangenheit auffällig war.
Je nachdem von wo man die Videos speichern möchte gibt es ja auch noch andere gute Alternativen, Downie, yt-dlp etc. die sich nicht unbedingt in den Browser einklinken und irgendwelche Dinge im Hintergrund veranstalten.
Grundsätzlich möchte ich bei Bestellungen keine Addons im Browser aktiviert und installiert haben.

Danke, dann werde ich mir mal einen jungfräulichen Browser anlegen.

Wäre auf jeden Fall mal eine Idee, sich die Plugins genauer anzuschauen und etwas nachzuforschen. Viel Erfolg!

Beste Grüße
Peter

Auch wenn es mit dem Ursprungsthema nichts mehr zu tun hat, poste ich trotzdem mal hier.

Ich habe jetzt Thunderbird durch Betterbird ersetzt, da es optisch doch etwas ansprechender ist, die Funktionalität ist aber die Gleiche wie bei Thunderbird.
Allerdings wurde auch bei Betterbird nicht der rote Badge im Dockicon angezeigt, auch eine Neuinstallation von BB brachte nichts. Außerdem wurde auch BB nicht in den Systemeinstellungen bei den Apps unter Mitteilungen angezeigt.
Nach ein wenig Recherche fand ich heraus, daß eine App dort nicht angezeigt wird, wenn man beim ersten Start der App, die Frage nach den Mitteilungen abschlägig beantwortet. Es gibt dann aber auch keine einfache Möglichkeit, die App wieder sichtbar zu machen. Es hilft dann nur in ~/Library/Containers den Ordner "Mitteilungszentrale" und evtl. Ordner mit "Notification" im Namen zu löschen.
Dann wird beim Start der fehlenden App wieder nach den Mitteilungen gefragt und wenn man das zulässt taucht die App wieder in Systemeinstellungen/Mitteilungen auf.
Und die Badges werden bei Betterbird wieder angezeigt.

ooops mein Tippfehler, in_badge ist richtig. Seltsam, bei mir funktioniert das so…

Thunderbird 128.6.0esr und MacOS 15.2

Ich vermute es hat etwas damit zu tun, wie meine Mails organisiert sind. Die werden auf meinem Server mittels procmail in verschiedene Ordner sortiert und diese dann per IMAP bereitgestellt.
Wenn man diese Ordner mit einem Rechtsklick anwählt erhält man ein Menü u.a. mit "Eigenschaften" dort gibt es verschiedene Reiter, unter "Allgemein" gibt es eine Option, die man anhaken kann: "Diesen Ordner auf neue Nachrichten überprüfen, wenn Nachrichten für dieses Konto empfangen werden"
Dann klappt(e) das auch mit den Benachrichtigungen...
Jetzt klappt es aber, nach diversen Versuchen nicht mehr, keine Ahnung woran es jetzt wieder hakt.