Hallo,
meine Kollegin hat eine Email von sich selbst bekommen, die sie nicht selbst abgesendet hat.
Die emailadresse die als Absender im Header steht ist ihre. Als Anhang war ein "Document2.zip" angehangen. Ausgepackt war dort eine ....js Datei drin. (ich nehme an das ist Javascript - oder?) Hab da nicht drauf geklickt, sondern gelöscht.

Meine Fragen:
geht das, das jemand mit einer fremden Email Adresse eine Email versendet, oder ist dafür ein Zugang zum Rechner nötig? Die Frage bezieht sich natürlich darauf, ob der Emailaccount gehackt ist und ob er am besten gelöscht und ein neuer angelegt werden müsste. Oder ist das einfach so möglich, wenn jemand die Emailadresse kennt, dann auch eine Email zu versenden, die dieser entspricht?

2.) Ist aus dem erweiterten Header vielleicht der wahre Absender erkennbar?

Anbei der erweiterte Header: (email-name durch xxxxx ersetzt)

X-Spam-Level: ****
X-Ms-Tnef-Correlator:
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on traxnet06.virtualhosts.de
Return-Path: <x.xxxxx@awo-dortmund.de>
X-Originating-Ip: [192.168.0.28]
X-Ms-Has-Attach: yes
Mime-Version: 1.0
Thread-Index: AdF+sJZYKtxaTvOhSFC+rMKD/CUwyg==
Message-Id: <E1CED75669D795201B5DE61978CB9C75D@BORO-SBS.boro.local>
Accept-Language: en-GB, en-US
Thread-Topic: Document2
X-Spam-Status: No, score=4.6 required=4.7 tests=HTML_MESSAGE,MIME_HTML_MOSTLY, RCVD_IN_PBL,RCVD_IN_XBL,RDNS_DYNAMIC,TVD_SPACE_RATIO autolearn=disabled version=3.4.1
Content-Type: multipart/mixed; boundary="_004_300621BC94B77642BC430B054CFFEC9C4A08FF5DBOROSBSboroloca_"
Delivered-To: dobeqdbw-awo-dortmund.de-x.xxxxx@awo-dortmund.de
Content-Language: en-US
Received: (qmail 6096 invoked from network); 24 Mar 2016 13:48:06 -0000
Received: by simscan 1.4.0 ppid: 6039, pid: 6063, t: 2.4322s scanners: clamav: 0.99/m:46/d:21471 spam: 3.4.1
Received: from 225.173.204.49-ras.beamtele.net (HELO user-PC.acttv.in) (49.204.173.225) by traxnet.virtualhosts.de with SMTP; 24 Mar 2016 13:48:03 -0000
Document2

Ich bekomme auch öfter Mails "von mir selbst" - da ist aber nur der Absender maskiert.
Hilft natürlich trotzdem, das Passwort zu ändern. Man kann ja nie wissen...

einen email header zu spoofen ist eine der leichtesten übungen, wenn man das möchte.

$ host -a awo-dortmund.de
;; ANSWER SECTION:
awo-dortmund.de. 86400 IN MX 10 mail.awo-dortmund.de.
awo-dortmund.de. 86400 IN A 212.46.120.46


$ host -a mail.awo-dortmund.de
;; ANSWER SECTION:
mail.awo-dortmund.de. 21599 IN A 80.83.113.80

$ host traxnet.virtualhosts.de
traxnet.virtualhosts.de has address 80.83.113.80
-------
Euer Mailserver (beim Provider?) traxnet.virtualhosts.de (80.83.113.80) hat die Mail von 225.173.204.49-ras.beamtele.net angenommen. Das soll er auch tun, da ihm der Empfänger bekannt ist des Weiteren ist die Mail ganz knapp an einer Spareinstufung vorbeigegangen:
X-Spam-Status: No, score=4.6 required=4.7
Soweit also alles o.k. Da den Namen der Empfängerin als Absender reinzuschreiben gibt vielleicht ein paar Punkte beim SPAM, wäre aber kein Grund die Mail abzulehnen, man könnte checken, ob der sendende Host auch Mail MX für die Absenderdomain (also Deine) ist. Das ist wohl nicht der Fall... Aber deshalb ablehnen würde wohl viele false positive erzeugen...

Also alles gut... Einfach löschen und nicht drüber nachdenken.

Die Mail kommt nicht von ihr selbst sondern aus Indien, da wurde nur der Absender gefakt.
Hier aus den Daten ersichtlich:
Received: from 225.173.204.49-ras.beamtele.net (HELO user-PC.acttv.in) (49.204.173.225) by traxnet.virtualhosts.de with SMTP; 24 Mar 2016 13:48:03 -0000

acttv.in >>
Registrant ID:N8R446770
Registrant Name:Shyjumon Ravi
Registrant Organization:Atria Convergence Technologies Pvt Ltd
Registrant Street1:Indian Express Building
Registrant City:Bangalore
Registrant State/Province:KA
Registrant Postal Code:560001
Registrant Country:IN
Registrant Phone:+91.8042844284
Registrant Email:email@acttv.in