Mail Spoofing – Was ist das und wie schütze ich mich dagegen?

Wir kennen sie alle: Emails, die vermeintlich von PayPal, Amazon oder einem anderen bekannten Unternehmen stammen und uns in dringlichem Tom dazu auffordern, persönliche Angaben zu machen oder Zahlungsinformationen herauszugeben. Dahinter verbergen sich oftmals Cyberkriminelle, die unser Vertrauen zu diesen Unternehmen ausnutzen wollen, um einen Angriff zu starten.

Spoofing gehört zu den häufigsten Cyberattacken, die über Email stattfinden. Deshalb solltest du dich schnellstmöglich mit den Taktiken der Angreifer vertraut machen und wissen, wie du Online Email Spoofer enttarnen kannst. Im folgenden Beitrag erfährst du alles, was du zum Thema Email Spoofing wissen musst!

Wie funktioniert Mail Spoofing?

Eine Spoofing Mail hat den Anschein, von einem vertrauenswürdigen Absender zu stammen – das können Kunden, Lieferanten, Geschäftspartner, Kollegen, Vorgesetzte oder Firmenrepräsentanten sein. Indem die Cyberkriminellen die Identität einer seriösen Einrichtung oder Person annehmen, möchten sie das Vertrauen der Empfänger gewinnen und sie zu einer bestimmten Handlung animieren.

Oftmals wollen Online Email Spoofer an vertrauliche Daten rankommen oder die Empfänger zu einer Geldüberweisung verleiten. Manchmal enthält die Spoofmail auch Anhänge und Links, die beim Öffnen Malware auf deinem Computer verbreiten.

Unterschied zwischen Spoofing und PhishingSpoofing bedeutet in etwa “Manipulation”, “Verschleierung” oder “Vortäuschung” und beschreibt eine Art von Identitätsklau. Absender geben sich als ein Unternehmen, eine Führungskraft oder eine bekannte Person aus.
Phishing hingegen bezeichnet den Versuch, an sensible Informationen zu gelangen. Hierfür wird oft Spoofing angewandt, damit die Email-Empfänger eher dazu gewillt sind, ihre Daten preiszugeben. Beide Taktiken werden daher oftmals zusammen angewandt.

Bei einem Spoofing Angriff werden die Absenderinformationen gefälscht, sodass die angezeigte Adresse legitim erscheint. Da eine gefälschte Absenderadresse allein nicht zu 100% überzeugend ist, enthalten die meisten Emails auch Elemente des jeweiligen Corporate Designs, um die Nachrichten realistischer wirken zu lassen.

Mail Spoofing ist möglich, da das seit Jahren als Standard verwendete Simple Mail Transfer Protocol Schwachstellen aufweist. Es ist relativ einfach, die Absenderzeile zu manipulieren, wenn man einen schwachen SMTP-Server (= offenes Relay) findet, der keine Authentifizierung der Email-Adressen vornimmt. Die Cyberkriminellen können dann beliebige Angaben zur Herkunft der Nachricht machen und auch den Inhalt beliebig verändern.

Mail Spoofing verhindern – Domaininhaber

Oftmals sind es Unternehmen und Finanzorganisationen, die von Cyberkriminellen nachgeahmt werden. Wer nicht möchte, dass die eigene Domain benutzt wird, um böswillige Nachrichten zu senden, kann diverse Maßnahmen ergreifen. In diesem Fall solltest du dem Domain Name System (DNS) Beachtung schenken. Hier lassen sich z.B. alle IP-Adressen von denjenigen Servern hinterlegen, die Emails im Namen deiner Domain versenden dürfen. Diese Einträge dienen der Authentifizierung von Emails.

Gegen das Email Spoofing gibt es aktuell drei Lösungsansätze:

  1. Sender Policy Framework (SPF):
    Das Protokoll überprüft anhand einer Liste, ob der vom Absender verwendete Server dazu berechtigt ist, Emails von der genannten Domain zu versenden. Auf diese Weise werden erfundene Email-Adressen schnell enttarnt. Im Email Header wird unter “Received-SPF” der Status FAIL angezeigt. Allerdings unternimmt das Protokoll selbst keine Gegenmaßnahmen – letztendlich hängt es am Spamfilter des Empfänger-Servers, die Nachricht zu blockieren.
  2. DomainKeys Identified Mail (DKIM):
    Dieses Protokoll nutzt ein Paar kryptografischer Schlüssel, um die Legitimität von Emails nachzuweisen. Hierbei wird eine Email beim Verlassen des Servers mit einem privaten Schlüssel signiert, der zum öffentlichen Schlüssel, der auf dem DNS-Server hinterlegt wurde, passen muss. Nur dann ist sichergestellt, dass die Email nicht gefälscht wurde.
  3. Domain-based Message Authentication, Reporting and Conformance (DMARC):
    Das Protokoll sendet Empfehlungen an die Server aus, wie sie mit Nachrichten, welche die Überprüfung der SPF- und DKIM-Einträge durchlaufen haben, umgehen sollen. Domaininhaber können hierzu Regeln festlegen: Entweder werden die Emails zugestellt, “in Quarantäne” gebracht (d.h. in den Spamordner verlegt) oder direkt zurückgewiesen. Die Domaininhaber werden darüber benachrichtigt.

Mail Spoofing verhindern – Empfänger

Dass hin und wieder eine gut getarnte Spoofing Mail in deinem Posteingang landet, lässt sich kaum verhindern, wobei die meisten Spamfilter wirklich sehr effektiv arbeiten. Sollte der Fall wirklich eintreten, bleibt dir nichts anderes übrig, als dich selbst zu schützen. Blindes Vertrauen birgt große Gefahren.

Emails, die eine gewisse Dringlichkeit an den Tag legen und dich zu drastischen Handlungen auffordern, sollten dich sofort misstrauisch stimmen. Oftmals geht es bei einer Spoofmail um Kontoauflösungen, Warnungen vor verdächtigen Kontoaktivitäten und Zahlungsrückständen. Links solltest du mit Vorsicht behandeln und wirklich erst dann öffnen, wenn du dir sicher bist, dass die Email legitim bist. Wenn du Zweifel daran hast, lohnt es sich, kurz per persönlichem Telefonat die Rechtmäßigkeit des Geschriebenen nachzuprüfen.

Die beste Methode, eine Spoofing Mail zu entlarven, ist der Blick in den Email Header. Dieser zeichnet quasi den gesamten Sendeweg während der Email-Übertragung nach. Jeder Server, der mit der Email in Kontakt kommt, wird anhand der IP-Adresse in dem Email-Header protokolliert. Diese IP-Adressen lassen sich nicht manipulieren – dafür aber die anderen Informationen.

So können die Zeilen “From” und “Return-Path” durchaus die erfundenen Email-Adressen der Cyberkriminellen enthalten. In der Zeile “Received” wirst du aber immer den ursprünglichen Mailserver vorfinden. Nun kannst du vergleichen, ob die Domain in der “From”-Zeile mit der Domain in der “Received”-Zeile übereinstimmt. Falls nicht, ist dies ein erster Warnhinweis. Weiterhin solltest du dir die Zeile “Received-SPF” anschauen: Wenn hier FAIL geschrieben steht, ist dies ein klarer Hinweis auf Spoofing.

Gibt es ein Mail Spoofing Tool?Wenn du bei Google nach einem Mail Spoofing Tool suchst, wirst du einerseits Anwendungen vorfinden, mit denen du Wegwerf Email Adressen erstellen kannst. Andererseits wirst du auf ein paar Seiten stoßen, die es dir ermöglichen, deine Domain bezüglich der Phishing-Gefahr überprüfen zu lassen. Ein solches Tool ist caniphish. Es zeigt dir an, ob für deine Domain SPF-Einträge und DMARC-Einträge bestehen.

Noch einmal zusammengefasst…

  • Eine Spoofmail ist eine schädliche Spamnachricht, die von einer vermeintlich seriösen Absender-Adresse stammt.
  • Online Email Spoofer nehmen gerne die Identität von bekannten Unternehmen und Organisationen an. Sie nutzen schlecht geschützte Server, um die Absenderinformationen zu fälschen.
  • Mithilfe von SPF, DKIM und DMARC hat Email Spoofing an Gefahrenpotential eingebüßt. Dennoch verirrt sich hin und wieder eine besonders trickreiche Spoofing Mail in den Posteingang.
  • In diesem Fall musst du die Identifizierung der Spoofmail selbst in die Hand nehmen. Beim Blick in die Header-Informationen siehst du die tatsächliche Ursprungsdomain und den SPF-Status.