Bei E-Mail-Spoofing fälschen Angreifer eine Absenderadresse, sodass eine E-Mail scheinbar von jemandem stammt, dem Sie vertrauen. Früher verrieten sich gefälschte E-Mails häufig durch schlechte Grammatik oder offensichtliche Formatierungsfehler. Generative KI sorgt jedoch heutzutage dafür, dass die Sache etwas kniffliger wird. Gefälschte E-Mails können professionell, präzise und überzeugend individuell klingen – wodurch die Warnsignale, auf die sich viele früher verlassen haben, wegfallen.
Inhalt:
Daher erfordert das Erkennen eines Spoofing-Versuchs heute mehr als nur einen flüchtigen Blick auf den Tonfall oder die Rechtschreibung. Um sensible Informationen zu schützen und Phishing-Angriffe zu verhindern, ist es von entscheidender Bedeutung, zu verstehen, wie E-Mail-Spoofing funktioniert.
Was versteht man unter E-Mail-Spoofing?
Bei E-Mail-Spoofing wird die Absenderadresse in E-Mail-Nachrichten gefälscht, sodass diese den Anschein erwecken, von einem seriösen Absender zu stammen. Anstatt ein Konto zu hacken, manipuliert der Angreifer technische Felder im E-Mail-Header – insbesondere die vom Simple Mail Transfer Protocol (SMTP) verwendeten Informationen. So kann die Identität des Absenders verschleiert werden.
In der Praxis kann E-Mail-Spoofing verschiedene Formen annehmen:
Eine gefälschte E-Mail, die scheinbar von Ihrer Bank stammt und in der Sie aufgefordert werden, Ihre Anmeldedaten zu bestätigen.
Eine Nachricht, die so aussieht, als stamme sie von Ihrer Geschäftsführerin, und in der Sie dringend aufgefordert werden, Zahlungsdaten anzugeben – eine gängige Masche bei der Kompromittierung von geschäftlichen E-Mail-Adressen.
Eine Lieferantenrechnung, die von einer leicht veränderten Domain gesendet wird und darauf abzielt, Finanzdaten auf das Konto eines Angreifers umzuleiten.
Interne Phishing-E-Mails, die die Formatierung und die Signaturblöcke Ihres Unternehmens imitieren.
E-Mail-Spoofing wird häufig zur Unterstützung von Phishing-Angriffen eingesetzt, bei denen das Ziel darin besteht, sensible Informationen wie Passwörter, Finanzdaten oder Kontozugriffsdaten zu erlangen.
So funktioniert E-Mail-Spoofing
Bei E-Mail-Spoofing wird die Art und Weise ausgenutzt, wie das Simple Mail Transfer Protocol (SMTP) Absenderinformationen verarbeitet. SMTP wurde entwickelt, um E-Mail-Nachrichten zwischen Mailservern weiterzuleiten, nicht um die Identität des Absenders zu authentifizieren. Infolgedessen ermöglicht das Protokoll dem sendenden Server, die Absenderadresse in den E-Mai-Headern ohne integrierte Überprüfung anzugeben.
Wenn eine E-Mail versendet wird, fügt der absendende SMTP-Server mehrere wichtige Felder in den E-Mail-Header ein – darunter das Feld „Von“ (für den Nutzer sichtbar) und den Envelope-Absender, der bei der Server-zu-Server-Kommunikation verwendet wird. Diese Felder können jedoch manipuliert werden. Wenn die empfangenden E-Mail-Server diese Felder nicht anhand von Authentifizierungseinträgen validieren, kann die Nachricht durchgelassen werden und einen legitimen Eindruck erwecken.
So läuft ein Spoofing-Versuch auf der technischen Ebene ab:
Ein Angreifer stellt eine Verbindung zu einem SMTP-Server her – entweder zu einem von ihm selbst kontrollierten, zu einem kompromittierten oder zu einem Server, der Teil eines Botnets ist.
Er erstellt eine E-Mail-Nachricht und legt das Feld für die Absenderadresse manuell fest.
Die Nachricht wird an die empfangenden Mailserver weitergeleitet.
Wenn keine Authentifizierungsprüfungen (wie SPF, DKIM oder DMARC) durchgeführt werden, wird die gefälschte Absenderadresse akzeptiert.
Dem Empfänger wird eine scheinbar legitime Absender-E-Mail-Adresse angezeigt, doch die zugrunde liegenden IP-Adressen und Routing-Daten im E-Mail-Header können darauf hinweisen, dass die Nachricht von einem anderen Ort stammt.
Diese strukturbedingte Schwäche ist der Grund, warum später E-Mail-Authentifizierungsstandards eingeführt wurden – um zu überprüfen, ob der sendende Server berechtigt ist, im Namen einer Domain zu senden.
Phishing vs. Spoofing: Was ist der Unterschied?
Phishing und E-Mail-Spoofing sind verwandte Begriffe im Bereich der Internetkriminalität, spielen jedoch unterschiedliche Rollen bei der Art und Weise, wie Angreifer die Nutzer täuschen. Wie bereits erwähnt, bezieht sich E-Mail-Spoofing speziell auf die Fälschung der Absenderadresse, damit eine Nachricht legitim aussieht. Phishing hingegen ist eine umfassendere Social-Engineering-Taktik, bei der täuschende Nachrichten – häufig einschließlich gefälschter E-Mails – eingesetzt werden, um Menschen dazu zu bringen, sensible Informationen preiszugeben oder schädliche Handlungen vorzunehmen.
Mit anderen Worten: Bei Spoofing geht es um Identitätsvortäuschung auf Protokollebene, bei Phishing dagegen um psychologische Manipulation auf Nutzerebene. Bei vielen Phishing-Angriffen werden gefälschte Absenderadressen verwendet, um glaubwürdig zu wirken, aber nicht alle gefälschten Adressen werden im Rahmen von Phishing-Kampagnen eingesetzt.
Hier ist ein Vergleich zwischen E-Mail-Spoofing und Phishing:
| E-Mail-Spoofing | Phishing-Versuche | |
|---|---|---|
| Primäres Ziel | Die Absenderidentität in einer E-Mail manipulieren | Den Empfänger dazu bringen, eine Handlung vorzunehmen |
| Haupttechnik | Gefälschte Absenderadresse im E-Mail-Header | Social Engineering und psychologische Taktiken |
| Technischer Aspekt | Nutzt Vertrauensannahmen in E-Mail-Protokollen aus | Nutzt menschliches Vertrauen und menschliches Verhalten aus |
| Kann beinhalten | Fake-Domains, Tricks mit Anzeigenamen | Bösartige Links, Abgreifen von Anmeldedaten |
| Typisches Ergebnis | Die Informationen scheinen von einer vertrauenswürdigen Quelle zu stammen | Nutzer klickt auf einen Link, gibt Daten weiter oder installiert Malware |
| Abhängigkeit | Kann auch ohne Phishing auftreten | Verwendet häufig gefälschte E-Mails, um die Glaubwürdigkeit zu erhöhen |
Falls Sie sich noch immer nicht sicher sind, wie sich Phishing von Spoofing unterscheidet, lesen Sie unseren Leitfaden zum Thema Was ist Phishing? und erfahren Sie mehr darüber, wie solche Angriffe funktionieren.
Wie kann man E-Mail-Spoofing-Angriffe verhindern?
E-Mail-Spoofing an sich ist zwar nicht immer illegal, wird aber am häufigsten bei Phishing-Betrügereien und Angriffen auf Unternehmens-E-Mail-Adressen eingesetzt. Es kann schwierig sein, E-Mail-Spoofing von vornherein zu unterbinden, da es nicht unbedingt ein Verbrechen ist.
Viele E-Mail-Anbieter sind zum Glück ziemlich gut darin, Betrug zu erkennen, sodass viele E-Mails im Spam-Ordner landen. Trotzdem ist es unvermeidlich, dass einige durchkommen und Ihren Posteingang erreichen. Hier sind ein paar Dinge, die Sie tun können, damit E-Mail-Spoofing keinen wirklichen Schaden anrichtet:
Kontrollieren Sie immer die Adresse des Absenders. Verlassen Sie sich nicht allein auf den angezeigten Namen. Häufig verwenden Betrüger Adressen, die legitimen Adressen sehr ähnlich sind, z. B. durch einen leichten Rechtschreibfehler im Domainnamen oder ausgetauschte Zeichen (z. B. eine Null anstelle des Buchstabens „O“).
Kontaktieren Sie den Absender über einen anderen Kanal. Rufen Sie ihn an, schreiben Sie ihm eine SMS oder treffen Sie ihn persönlich, bevor Sie irgendwelche Informationen preisgeben.
Klicken Sie niemals auf irgendwelche Links in der E-Mail. Wenn Sie aufgefordert werden, Ihr Bankkonto aufzurufen, tippen Sie die Adresse Ihrer Banking-Plattform in den Browser ein. Wenn Sie unbedingt auf eine Schaltfläche oder einen Link klicken müssen, fahren Sie zumindest mit der Maus darüber, um eine Vorschau der Ziel-URL anzuzeigen. Klicken Sie nicht auf die Webadresse, wenn sie Ihnen unbekannt vorkommt, falsch geschrieben ist oder nicht mit der offiziellen Domain des Unternehmens übereinstimmt.
Halten Sie Ihre Antiviren-Software auf dem neuesten Stand. Achten Sie darauf, dass Sie Ihren Computer regelmäßig scannen.
Wenn etwas zu gut aussieht, um wahr zu sein, ist es das auch. Wenn Ihnen jemand eine Möglichkeit anbietet, schnelles Geld zu verdienen, ist es sehr wahrscheinlich ein Betrug.
Wie können sich Unternehmen vor E-Mail-Spoofing schützen?
Unternehmen schützen sich vor E-Mail-Spoofing, indem sie auf DNS-Ebene strenge E-Mail-Authentifizierungskontrollen einführen und die Verifizierung auf allen ihren E-Mail-Servern durchsetzen. Ohne die richtige Konfiguration können Angreifer gefälschte E-Mails versenden, die den Anschein erwecken, von Ihrer Domain zu stammen – was das Vertrauen schädigt und die Kompromittierung von geschäftlichen E-Mails ermöglicht.
Die Grundlage für die Verhinderung von Domain-Spoofing bilden drei Authentifizierungsstandards: SPF, DKIM und DMARC.
Sender Policy Framework (SPF)
Das Sender Policy Framework (SPF) ist ein DNS-Eintrag, der festlegt, welche IP-Adressen berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden.
Wenn ein empfangender Mailserver eingehende E-Mail-Nachrichten verarbeitet, vergleicht er die IP-Adressen des Absenders mit dem SPF-Eintrag der Domain. Wenn der absendende Server nicht als autorisiert aufgeführt ist, schlägt die SPF-Prüfung fehl.
Dadurch wird verhindert, dass Angreifer nicht autorisierte SMTP-Server verwenden, um sich als Absender Ihrer E-Mail-Adresse auszugeben. SPF allein reicht jedoch nicht aus – es überprüft zwar die Absenderquelle, nicht aber die Integrität der Nachricht.
Wichtige Maßnahmen für Domain-Inhaber:
Veröffentlichen Sie einen gültigen SPF-Eintrag im DNS.
Beschränken Sie die autorisierten IP-Adressen ausschließlich auf legitime E-Mail-Server.
Vermeiden Sie zu weit gefasste „+all“-Konfigurationen.
Überwachen Sie die SPF-Lookup-Limits, um Ausfälle zu vermeiden.
DomainKeys Identified Mail (DKIM)
DomainKeys Identified Mail ergänzt ausgehende Nachrichten um eine kryptografische Verifizierung.
Wenn Ihr SMTP-Server eine E-Mail versendet, fügt er eine digitale Signatur hinzu, die mithilfe privater kryptografischer Schlüssel generiert wird. Der entsprechende öffentliche Schlüssel wird im DNS veröffentlicht. Empfangende Mailserver verwenden diesen öffentlichen Schlüssel, um zu verifizieren, dass die Nachricht während der Übertragung nicht verändert wurde.
Wenn ein Angreifer den Inhalt oder die Header-Felder verändert, schlägt die DKIM-Signatur fehl.
Für eine effektive Bereitstellung:
Generieren Sie starke kryptografische Schlüssel.
Wechseln Sie die Schlüssel regelmäßig.
Vergewissern Sie sich, dass alle legitimen ausgehenden Nachrichten signiert sind.
Domain-Based Message Authentication, Reporting and Conformance (DMARC)
Die Domain-basierte Nachrichtenauthentifizierung baut auf SPF und DKIM auf. Mit DMARC können Domain-Inhaber festlegen, wie empfangende E-Mail-Anbieter Nachrichten behandeln sollen, die die Authentifizierungsprüfung nicht bestehen.
Mit dem DMARC-Protokoll können Sie:
Anbieter anweisen, fehlerhafte Nachrichten zu überwachen, in Quarantäne zu stellen oder abzulehnen,
detaillierte Berichte über Spoofing-Versuche erhalten und
sich einen Einblick in die unbefugte Nutzung Ihrer Domain verschaffen.
Ohne die Durchsetzung von DMARC können gefälschte Nachrichten, die SPF oder DKIM nicht bestehen, dennoch in Postfächern landen.
Abschließende Gedanken
E-Mail-Spoofing nutzt eine strukturelle Schwachstelle in der Art und Weise aus, wie E-Mails aufgebaut sind. Authentifizierungsprotokolle verringern dieses Risiko. Interne Verifizierungsprozesse reduzieren dieses Risiko weiter. Doch kein System kann menschliches Versagen vollständig ausschließen.
Das eigentliche Ziel besteht nicht nur darin, gefälschte Nachrichten zu blockieren, sondern vielmehr darin, die Folgen zu begrenzen, die entstehen, wenn jemand mit einer solchen Nachricht interagiert.
Wenn es einem Angreifer gelingt, Anmeldedaten zu erbeuten, führen wiederverwendete Passwörter dazu, dass ein einziger Fehler zur Kompromittierung mehrerer Konten führt. Genau hier wird die Passwortverwaltung zu einem Bestandteil Ihrer E-Mail-Sicherheitsstrategie.
NordPass Premium können Sie starke, einzigartige Passwörter generieren und diese geräteübergreifend sicher speichern. Wenn ein Spoofing-Versuch zu einer Phishing-Seite führt, verhindern einzigartige Anmeldedaten, dass Angreifer über dieses eine Konto hinaus vorgehen können.
E-Mail-Sicherheit beginnt mit der Authentifizierung. Und Sie endet mit der Kontohygiene.