E-Mail-Spoofing ist eine der am häufigsten genutzten Techniken in modernen Cyberangriffen. Angreifer fälschen dabei Absenderinformationen in E-Mails, um Empfänger zu täuschen und sie zu Handlungen zu verleiten, die sie bei korrekter Absenderangabe niemals vornehmen würden. Für Unternehmen bedeutet das nicht nur finanzielle Risiken, sondern auch erhebliche Reputationsschäden.
Dieser Artikel erklärt, wie E-Mail-Spoofing technisch funktioniert, welche Varianten existieren, welche Schäden entstehen können und welche Schutzmaßnahmen wirklich helfen.
Was ist E-Mail-Spoofing?
Definition
E-Mail-Spoofing bezeichnet das Fälschen von E-Mail-Header-Informationen, insbesondere der Absenderadresse. Das Ziel ist, eine E-Mail so erscheinen zu lassen, als käme sie von einer vertrauenswürdigen Quelle – einem Kollegen, einem Vorgesetzten, einem bekannten Unternehmen oder einer Behörde –, obwohl sie tatsächlich von einem Angreifer stammt.
Wie E-Mail-Spoofing technisch funktioniert
Das Simple Mail Transfer Protocol (SMTP), auf dem E-Mail basiert, wurde ohne Authentifizierungsmechanismen entwickelt. Es erlaubt technisch jedem, beliebige Absenderadressen in den E-Mail-Header einzutragen. Angreifer nutzen dies aus, indem sie den "From"-Header manipulieren, der dem Empfänger angezeigt wird, während der tatsächliche Versandweg über eigene Server läuft.
Für einfaches Spoofing sind keine Hacking-Kenntnisse erforderlich – frei verfügbare Skripte ermöglichen es, beliebige Absenderadressen zu setzen. Der eigentliche Schutz muss daher auf Empfänger- und Infrastrukturseite implementiert werden.
Arten von E-Mail-Spoofing
Display-Name-Spoofing
Der sichtbare Anzeigename wird gefälscht (z.B. "Max Mustermann, CEO"), während die tatsächliche E-Mail-Adresse eine fremde Domain enthält. Viele E-Mail-Clients zeigen standardmäßig nur den Anzeigenamen an – die echte Adresse bleibt verborgen, bis man explizit darauf klickt.
Domain-Spoofing
Angreifer fälschen die gesamte Absender-Domain. Bei fehlendem oder fehlkonfiguriertem DMARC kann dies sogar mit der echten Unternehmens-Domain gelingen. Häufiger werden leicht abgewandelte Domains verwendet (Lookalike-Domains), die auf den ersten Blick nicht von der echten Domain unterscheidbar sind: "[email protected]" statt "[email protected]".
Reply-To-Spoofing
Der "From"-Header enthält die legitime Domain, aber der "Reply-To"-Header verweist auf eine Adresse unter Angreifer-Kontrolle. Wer antwortet, kommuniziert direkt mit dem Angreifer – ohne es zu merken. Diese Methode wird oft bei Business Email Compromise-Angriffen eingesetzt.
Gefahren für Unternehmen
Identitätsdiebstahl und Betrug
Gespoofde E-Mails können Mitarbeiter zu Überweisungen, Datenweitergabe oder dem Installieren von Malware verleiten. Im schlimmsten Fall führt ein einziger erfolgreicher Spoofing-Angriff zu Verlusten in Millionenhöhe.
Vertrauensverlust bei Kunden und Partnern
Wenn Angreifer im Namen Ihres Unternehmens Phishing-E-Mails versenden, werden Ihre Kunden direkt geschädigt – und verbinden den Schaden mit Ihrer Marke. Selbst wenn Ihr Unternehmen technisch keine Schuld trägt, leidet die Reputation.
Verlust sensibler Informationen
Spoofing-Angriffe werden häufig eingesetzt, um Zugangsdaten, Geschäftsdaten oder personenbezogene Informationen zu stehlen. Diese können für Folgeschäden wie Account Takeover oder Erpressung genutzt werden.
Schutzmaßnahmen gegen E-Mail-Spoofing
SPF, DKIM und DMARC implementieren
Die drei zentralen E-Mail-Authentifizierungsstandards bilden die technische Grundlage jedes Spoofing-Schutzes:
- SPF (Sender Policy Framework) – Legt fest, welche Mail-Server E-Mails im Namen Ihrer Domain versenden dürfen. Empfänger-Server können SPF-Einträge prüfen und unautorisierte Sender ablehnen.
- DKIM (DomainKeys Identified Mail) – Signiert ausgehende E-Mails kryptografisch, sodass Empfänger prüfen können, ob die Nachricht tatsächlich von Ihrer Domain stammt und nicht manipuliert wurde.
- DMARC (Domain-based Message Authentication) – Baut auf SPF und DKIM auf und legt fest, wie mit E-Mails verfahren werden soll, die beide Tests nicht bestehen: zustellen, unter Quarantäne stellen oder ablehnen. Zusätzlich ermöglicht DMARC Reports über Spoofing-Versuche.
Mitarbeitersensibilisierung
Technische Maßnahmen allein reichen nicht. Mitarbeiter müssen wissen, wie Spoofing aussieht: auf den tatsächlichen Absender achten statt nur auf den Anzeigenamen, bei ungewöhnlichen Anfragen telefonisch rückfragen und Links in E-Mails grundsätzlich kritisch begegnen.
Domain Monitoring
Lookalike-Domains sind eine häufige Grundlage für Spoofing-Angriffe. Durch kontinuierliches Monitoring auf neu registrierte Domains, die Ihrer ähneln, können Sie frühzeitig eingreifen – bevor eine Domain für Angriffe genutzt wird.
Fazit
E-Mail-Spoofing ist kein theoretisches Risiko, sondern ein täglich genutzter Angriffsvektor. Unternehmen, die SPF, DKIM und DMARC korrekt konfiguriert haben, haben bereits einen erheblichen Vorteil – aber technische Maßnahmen müssen durch Monitoring und Awareness ergänzt werden, um einen vollständigen Schutz zu bieten.
Wird Ihre Domain für Spoofing missbraucht?
Der kostenlose nebty Domain Report zeigt Ihnen ähnliche Domains, die für Spoofing-Angriffe genutzt werden könnten – bevor Schaden entsteht.
Kostenloser Domain Report