Schützen Sie die 13 kritischen Entra ID-Komponenten mit Barracuda Entra ID Backup Premium.

E-Mail-Spoofing

Inhaltsverzeichnis

Was ist E-Mail-Spoofing?

E-Mail-Spoofing ist die Fälschung eines E-Mail-Headers in der Hoffnung, dem Empfänger vorzugaukeln, dass die E-Mail von einer anderen Quelle stammt. Da in den wichtigsten E-Mail-Protokollen keine Authentifizierungsmethode integriert ist, wird Spoofing häufig in Spam- und Phishing-E-Mails verwendet, um den Empfänger dazu zu bringen, dem Absender zu vertrauen.

Das ultimative Ziel von E-Mail-Spoofing ist es, die Empfänger dazu zu bringen, dass sie eine Nachricht öffnen und sogar auf eine Aufforderung reagieren. Obwohl solche gefälschten Nachrichten normalerweise nur ärgerlich sind und außer dem Löschen keine weiteren Aktionen erfordern, gibt es ein paar bösartigere Varianten, die erhebliche Probleme verursachen und manchmal eine ernsthafte Sicherheitsbedrohung darstellen können.

Beispielsweise kann eine Spoofing-E-Mail vorgeben, von einem bekannten Einzelhandelsunternehmen zu stammen und den Empfänger auffordern, persönliche Informationen wie ein Passwort oder eine Kreditkartennummer zu übermitteln. In der gefälschten E-Mail wird der Empfänger möglicherweise sogar aufgefordert, auf einen Link zu klicken, der zu einem zeitlich begrenzten Angebot führt. Dabei versteckt sich in Wirklichkeit hinter dem Link eine Datei zum Herunterladen und Installieren von Malware auf dem Gerät des Empfängers.

Wichtige Punkte

  • Unter E-Mail-Spoofing versteht man das Vortäuschen einer vertrauenswürdigen Absenderadresse mit dem Ziel, die Identität eines Cyberkriminellen zu verschleiern.
  • Beim Simple Mail Transfer Protocol (SMTP) fehlt eine E-Mail-Authentifizierung, was das Spoofing von E-Mail-Adressen für Cyberkriminelle zu einem Kinderspiel macht. 
  • Spoofing ist nicht mit Phishing zu verwechseln. Beim Spoofing geht es darum, die Identität des Absenders zu verschleiern, während es beim Phishing darum geht, an personenbezogene Daten zu gelangen.
  • E-Mail-Spoofing ist eine Taktik, die in den meisten Phishing-Angriffen verwendet wird.
  • Es gibt viele Signale, auf die Endbenutzer achten können, um Spoofing-E-Mails zu erkennen. Die Aufklärung der Mitarbeiter über diese Warnzeichen ist oft die beste Verteidigung gegen diese Angriffe.

Geschichte des E-Mail-Spoofings

Indem sie das Fehlen einer eingebauten Authentifizierung in den wichtigsten E-Mail-Protokollen ausnutzen, haben Cyberkriminelle einen effizienten Weg gefunden, die Empfänger mit Spoofing dazu zu bringen, der Herkunft einer E-Mail zu vertrauen. Diese Praxis geht auf die 1970er Jahre zurück, als Hacker Schwachstellen in E-Mail-Protokollen ausnutzten, die keine Authentifizierung vorsahen.

E-Mail-Spoofing kam jedoch erst in den 1990er Jahren auf, als Spammer begannen, es zur Umgehung von Filtern zu nutzen. In den 2000er Jahren entwickelte es sich zu einer globalen Bedrohung für die Cybersecurity.

Heutzutage helfen Sicherheitsprotokolle wie Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-Based Message Authentication, Reporting and Conformance (DMARC) dabei, E-Mail-Spoofing zu bekämpfen. Trotz dieser Bemühungen stellt E-Mail-Spoofing nach wie vor ein erhebliches Problem dar. Es bleibt weiterhin ein Hauptvektor für Betrug mit Business-E-Mail-Compromise (BEC) und Phishing-Angriffen, wobei Google täglich fast 100 Millionen Phishing-E-Mails blockiert.

Was ist der Unterschied zwischen Spoofing und Phishing?

Phishing ist ein Social-Engineering-Angriff, bei dem Cyberkriminelle versuchen, Einzelpersonen dazu zu verleiten, vertrauliche Daten preiszugeben, indem sie sich in der Regel über betrügerische E-Mails oder Websites als legitime Entität ausgeben. Spoofing ist eine Technik, die dazu dient, die Identität oder Herkunft des Absenders zu verschleiern. Sie ist eine gängige Taktik bei Phishing und anderen Angriffen.

Hier ist ein Vergleich zwischen Phishing und Spoofing:

Phishing-Angriffe zielen darauf ab, Benutzer dazu zu verleiten, personenbezogene Daten preiszugeben oder Aktionen durchzuführen, die dem Angreifer nützen. Gespoofte E-Mails, die von vertrauenswürdigen Quellen zu stammen scheinen, werden oft verwendet, um Phishing-Versuche überzeugender zu machen. Während Phishing in erster Linie auf die menschliche Psyche abzielt, werden beim Spoofing technische Schwachstellen ausgenutzt, um Sicherheitsmaßnahmen zu umgehen.

So funktioniert E-Mail-Spoofing

E-Mail-Spoofing ist möglich, da das SMTP (Simple Mail Transfer Protocol) keinen Mechanismus für die Adressauthentifizierung bietet. Obwohl Protokolle und Mechanismen zur Authentifizierung von E-Mail-Adressen entwickelt wurden, um E-Mail-Spoofing zu bekämpfen, werden diese Mechanismen bisher nur langsam in der Praxis eingeführt.

Der E-Mail-Spoofing-Prozess umfasst für gewöhnlich die folgenden Schritte:

  1. Der Angreifer erstellt eine E-Mail mit einer gefälschten Absenderadresse. 
  2. Er verwendet einen SMTP-Server, der keine Authentifizierung erfordert, oder einen eigenen SMTP-Server. 
  3. Die E-Mail wird über diesen Server gesendet, der die Echtheit der Absenderadresse nicht überprüft. 
  4. Der empfangende Server verarbeitet die E-Mail basierend auf den Informationen im Header, die legitim erscheinen.

Zwar wurden Authentifizierungsprotokolle wie SPF, DKIM und DMARC entwickelt, um Spoofing zu verhindern, aber sie wurden bisher nur schrittweise eingeführt. Diese Protokolle ermöglichen es den Domaininhabern, festzulegen, welche Mailserver berechtigt sind, E-Mails in ihrem Namen zu versenden, und stellen kryptografische Signaturen bereit, um die Identität des Absenders zu überprüfen.

Beispiel: Nehmen wir an, ein E-Mail-Spoofer möchte die Identität einer Bank annehmen. Er erstellt möglicherweise eine E-Mail mit den folgenden Header-Informationen:

Text

Von: customerservice@legitbank.com
An: victim@email.com
Betreff: Dringend: Update zur Kontosicherheit

Der Angreifer sendet diese E-Mail dann über einen SMTP-Server, der den Absender nicht authentifiziert. Im Posteingang des Opfers scheint die E-Mail vom Kundenservice seiner Bank zu stammen. Die Nachricht kann einen Phishing-Link enthalten oder vertrauliche Informationen anfordern, wodurch die mit der gespooften Adresse verknüpfte Vertrauensstellung ausgenutzt wird.

Zum Schutz vor solchen Szenarien implementieren E-Mail-Anbieter und Unternehmen zunehmend Authentifizierungsprotokolle. Die Wirksamkeit dieser Maßnahmen hängt jedoch von einer breiten Akzeptanz und einer ordnungsgemäßen Konfiguration ab. Benutzer können sich schützen, indem sie bei unerwarteten E-Mails Vorsicht walten lassen, die Absenderadressen überprüfen und nicht auf verdächtige Links oder Anhänge klicken.

 

Ursachen für E-Mail-Spoofing

Obwohl E-Mail-Spoofing am häufigsten für Phishing-Zwecke eingesetzt wird, gibt es tatsächlich auch noch weitere Gründe, um die Absenderadresse einer E-Mail zu fälschen. Dazu gehören:

  • Verbergen der wahren Identität des Absenders.Wenn dies jedoch das einzige Ziel ist, kann es leichter durch die Registrierung anonymer E-Mail-Adressen erreicht werden.
  • Vermeiden von Spam-Blocklisten. Wenn ein Absender Spam versendet, wird er mit Sicherheit schnell blockiert. Dieses Problem lässt sich einfach durch Spoofing der E-Mail-Adressen lösen.
  • Vorgeben, jemand zu sein, den der Empfänger kennt. Auf diese Weise kann ein Angreifer das Vertrauen des Opfers in einen Bekannten ausnutzen und vertrauliche Daten oder den Zugriff auf persönliche Ressourcen erbitten.
  • Vorgeben, ein Unternehmen zu sein, zu dem der Empfänger eine Beziehung hat. Das Ziel ist es, an die Zugangsdaten zur Bank oder andere persönliche Daten zu gelangen.
  • Schädigung des Rufs des vermeintlichen Absenders.Solch ein Angriff kann darauf abzielen, den angeblichen Absender in ein schlechtes Licht zu rücken.
  • Identitätsdiebstahl begehen. Ein Beispiel könnte eine Anfrage sein, um finanzielle oder medizinische Daten des Opfers zu erschleichen.

So erkennen Sie eine Spoofing-E-Mail

Hier ist eine Liste von Merkmalen, die auf Spoofing-E-Mails hinweisen könnten:

  • Verdächtige Absender-E-Mail-Adresse, die nicht mit der behaupteten Identität übereinstimmt (z. B. eine angeblich von Venmo stammende E-Mail mit einer Adresse von venmo_security@outlook.com statt einer legitimen Venmo-Domäne)
  • Anzeigenamen, die nicht mit der tatsächlichen E-Mail-Adresse übereinstimmen (z. B. eine E-Mail von „Jonathan Simpson“, die von einer E-Mail-Adresse bill.smith@gmail.com stammt)
  • Dringende oder drohende Sprache, die Druck erzeugt
  • Anfragen nach sensiblen Daten wie Passwörtern oder Finanzdaten
  • Unerwartete Anhänge oder Links
  • Schlechte Grammatik, Rechtschreibfehler oder ungewöhnliche Formulierungen
  • Allgemeine Begrüßungen anstelle von personalisierten Begrüßungen (z. B. „Sehr geehrter Kunde“ oder „Sehr geehrter Benutzer“)
  • Nicht übereinstimmende oder falsche Logos und Markenzeichen
  • Ungewöhnliche Versandzeiten, besonders außerhalb der regulären Geschäftszeiten
  • Anfragen zum Umgehen normaler Sicherheitsverfahren
  • Unstimmigkeiten mit früheren Mitteilungen des vermeintlichen Absenders
  • E-Mail-Header, die unerwartete Routing-Informationen anzeigen (z. B. Header, die zeigen, dass die E-Mail durch mehrere Länder weitergeleitet wurde, obwohl der Absender angeblich lokal ist)
  • Links, die beim Bewegen des Mauszeigers verdächtige URLs anzeigen (z. B. falsch geschriebene Domains oder lange, übermäßig komplexe URLs)
  • Die Verwendung von öffentlichen E-Mail-Domains (z. B. gmail.com) für offizielle geschäftliche Mitteilungen.

So schützen Sie sich vor E-Mail-Spoofing

Da das E-Mail-Protokoll SMTP nicht authentifiziert ist, war es früher recht einfach, eine Absenderadresse zu fälschen. Infolgedessen sind die meisten E-Mail-Anbieter Experten darin geworden, Spam zu erkennen und Benutzer darauf hinzuweisen, anstatt ihn ganz allgemein abzulehnen.

Weitere Schutzmaßnahmen umfassen die bereits erwähnten Frameworks, die die Authentifizierung eingehender Nachrichten ermöglichen:

  • SPF (Sender Policy Framework): Dies hilft beim Bekämpfen von Domain-Spoofing, indem überprüft wird, ob eine bestimmte IP E-Mails von einer bestimmten Domain senden kann. SPF kann zu irrtümlich gemeldeten E-Mails (sogenannte „False Positives“) führen, aber es erfordert trotzdem eine Überprüfung des SPF-Eintrags und die Validierung des E-Mail-Absenders durch den Server.
  • DKIM (Domain Key Identified Mail): Bei dieser Methode wird ein kryptografisches Schlüsselpaar verwendet, mit denen ausgehende Nachrichten signiert und eingehende Nachrichten validiert werden können. Da DKIM jedoch nur zum Signieren bestimmter Teile einer Nachricht verwendet wird, kann die Nachricht weitergeleitet werden, ohne die Gültigkeit der Signatur zu beeinträchtigen. Diese Methode wird als „Replay-Angriff“ bezeichnet.
  • DMARC (Domain-Based Message Authentication, Reporting, and Conformance): Diese Methode bietet dem Absender die Möglichkeit, dem Empfänger mitzuteilen, ob seine E-Mail durch SPF oder DKIM geschützt ist und welche Maßnahmen zu ergreifen sind, wenn E-Mails eingehen, bei denen die Authentifizierung fehlschlägt. DMARC ist zurzeit noch nicht weit verbreitet.

Wie Barracuda Sie unterstützen kann

E-Mail-Spoofing ist nicht immer leicht zu erkennen. Aber mit der richtigen Schulung zur Erkennung von Spoofing-E-Mails und dem Verständnis der Feinheiten der E-Mail-Sicherheit können Unternehmen ihre digitale Infrastruktur und wertvolle Daten vor diesem beliebten Angriffsvektor schützen.

Sie sind sich nicht sicher, wo Sie anfangen sollen? Es schadet nie, den Rat von Experten für E-Mail-Sicherheit einzuholen. Vertrauen Sie dabei dem fundierten Cybersecurity-Wissen unseres Barracuda-Teams. Vereinbaren Sie noch heute Ihre E-Mail-Schutz-Demo und lassen Sie sich von uns zu einer sichereren Kommunikation beraten.

Ruf +1 617 948 5300

E-Mail-Support

Support-Anfrage an Barracuda

Unternehmensdaten

Unsere Webseiten

Kontakt

Rechtlicher Hinweis

© 2003–2025 Barracuda Networks, Inc. Alle Rechte vorbehalten.