Was ist E-Mail-Spoofing?

E-Mail-Spoofing bedeutet, dass Angreifer E-Mails manipulieren, um sich als legitime Absender zu tarnen. Diese Taktik ist bei Phishing-Angriffen üblich.

Lernziele

Nach Lektüre dieses Artikels können Sie Folgendes:

  • Verstehen, was E-Mail-Spoofing ist
  • Erklären, wie E-Mail-Spoofing funktioniert
  • Tipps zum Schutz vor E-Mail-Spoofing umsetzen

Link zum Artikel kopieren

Was ist E-Mail-Spoofing?

Beim E-Mail-Spoofing verwendet ein Angreifer einen E-Mail-Header, um seine eigene Identität zu verschleiern und sich als rechtmäßiger Absender auszugeben. (Ein E-Mail-Header ist ein Code-Snippet, das wichtige Details über die Nachricht enthält, z. B. den Absender, den Empfänger und Tracking-Daten).

E-Mail-Spoofing ist zwar eine spezielle Taktik, bei der E-Mail-Header-Informationen gefälscht werden, aber Angreifer können auch mit anderen Mitteln ähnliche Ergebnisse erzielen. Angreifer können zum Beispiel leichte Schreibfehler der Domain verwenden: „Jane Executive“ janeexecutive@jan3scompany.com. Alternativ ändern die Angreifer ihren Anzeigenamen, um sich als Absender auszugeben, nicht aber den Domain-Teil der E-Mail-Adresse. In diesem Fall könnten der Anzeigename und die E-Mail etwa so aussehen: „Jane Executive“ janetherealceo@gmail.com.

Der Hauptunterschied zwischen diesen Techniken besteht darin, dass erfolgreiche E-Mail-Spoofing-Versuche als legitime Domains – wie cloudflare.com – erscheinen, im Gegensatz zu einer falsch geschriebenen Domain (janeexecutive@jan3scompany.com) oder einer Adresse, die überhaupt nicht mit der Domain verbunden ist (janetherealceo@gmail.com). Dieser Artikel beschäftigt sich speziell mit E-Mails mit gefälschten Headern.

E-Mail-Spoofing fällt unter das größere Themengebiet des Domain-Spoofing. Beim Domain-Spoofing versuchen Angreifer, einen Website-Namen (oder eine E-Mail-Adresse) zu fälschen, in der Regel im Rahmen von Phishing-Angriffen. Domain-Spoofing geht über E-Mail hinaus und kann zur Erstellung gefälschter Websites oder betrügerischer Werbung verwendet werden.

Wie funktioniert das E-Mail-Spoofing?

Angreifer verwenden Skripte, um die Felder zu fälschen, die ein E-Mail-Empfänger sehen kann. Diese Felder befinden sich im Header (in der Kopfzeile) der E-Mail und enthalten die Absenderadresse („from“) und die Antwortadresse („reply-to“). Hier sehen Sie ein Beispiel dafür, wie diese Felder in einer gefälschten E-Mail aussehen könnten:

  • From: „Legitimer Absender“ email@legitimatecompany.com
  • Reply-to: email@legitimatecompany.com

Diese Felder können gefälscht werden, da das E-Mail-Übertragungsprotokoll Simple Mail Transfer Protocol (SMTP) über keine eingebaute Methode zur Authentifizierung von E-Mail-Adressen verfügt. Die E-Mail-Adressen des Absenders und des Empfängers befinden sich nämlich an zwei Stellen in einer E-Mail: im Header und im SMTP-Umschlag. Der E-Mail-Header enthält die Felder, die der Empfänger sieht. Der SMTP-Umschlag enthält jedoch die Informationen, die Server verwenden, um eine E-Mail an die richtige Adresse zuzustellen. Diese Felder müssen jedoch nicht übereinstimmen, damit eine E-Mail erfolgreich gesendet werden kann. Da der SMTP-Umschlag die Kopfzeile nie überprüft und der Empfänger die Informationen im Umschlag nicht sehen kann, ist E-Mail-Spoofing relativ einfach.

Eine gefälschte E-Mail scheint von einem seriösen Absender zu stammen. Darum können die Empfänger dazu verleitet werden, sensible Informationen preiszugeben, auf bösartige Links zu klicken oder andere Handlungen vorzunehmen, die sie sonst nicht tun würden. Aus diesem Grund wird E-Mail-Spoofing häufig bei Phishing-Angriffen eingesetzt.

In einigen Fällen verwenden Angreifer andere Taktiken, um die Glaubwürdigkeit einer gespooften E-Mail-Domain zu erhöhen. Dazu kann das Kopieren des Logos, der Markenzeichen und anderer Designelemente eines Unternehmens gehören, oder die Verwendung von Botschaften und Sprache, die für das nachgeahmte Unternehmen relevant erscheinen.

Wie Sie sich vor E-Mail-Spoofing schützen können

E-Mail-Empfänger können sich mit diesen Schritten davor schützen, auf E-Mail-Spoofing hereinzufallen:

  • Seien Sie misstrauisch bei Nachrichten, die zu schnellem oder dringendem Handeln auffordern: Empfänger sollten bei unerwarteten oder unaufgeforderten E-Mails misstrauisch sein, in denen sie um persönliche Informationen, Zahlungen oder andere sofortige Maßnahmen gebeten werden. So sollte beispielsweise eine unerwartete Aufforderung zur Änderung der Anmeldeinformationen für eine Anwendung als verdächtig angesehen werden.
  • Überprüfen Sie E-Mail-Header: Viele E-Mail-Programme bieten die Möglichkeit, den E-Mail-Header einzusehen. So können Sie etwa bei <a href='https://it.umn.edu/services-technologies/how-tos/gmail-view-email-headers' 'target=_blank'>Gmail, auf „Original anzeigen“ klicken, um den E-Mail-Header der respektiven E-Mail anzusehen. Sobald Sie den Header sehen, suchen Sie den Abschnitt „Received“. Wenn eine andere Domain als die in der „From“-Adresse erscheint, ist die E-Mail wahrscheinlich gefälscht.
  • Verwenden Sie Software, die gespoofte Nachrichten filtert: Anti-Spam-Software kann eine Authentifizierung für eingehende E-Mails verlangen und so Spoofing-Versuche blockieren.

Domaininhaber können auch Maßnahmen ergreifen, um Angreifer daran zu hindern, Nachrichten von ihrer Domain zu versenden. Zu diesem Zweck können Unternehmen Domain Name System (DNS)-Einträge speziell für die Authentifizierung erstellen. Diese umfassen:

  • SPF-Einträge: Ein SPF-Eintrag (Sender Policy Framework) listet die Server auf, die berechtigt sind, E-Mails von einer bestimmten Domain zu versenden. Wenn also jemand eine E-Mail-Adresse erfindet, die mit einer Domain verbunden ist, wird diese nicht im SPF-Eintrag aufgeführt und kann nicht authentifiziert werden.
  • DKIM-Einträge: DomainKeys Identified Mail (DKIM)-Einträge verwenden ein Paar kryptografischer Schlüssel zur Authentifizierung: einen öffentlichen und einen privaten. Der öffentliche Schlüssel wird im DKIM-Eintrag gespeichert und der private Schlüssel signiert den DKIM-Header digital. Gefälschte E-Mails von einer Domain mit einem DKIM-Eintrag werden nicht mit den richtigen kryptografischen Schlüsseln signiert und können daher nicht authentifiziert werden.
  • DMARC-Einträge: DMARC-Einträge (Domain-based Message Authentication Reporting and Conformance) enthalten DMARC-Richtlinien, die E-Mail-Servern mitteilen, was sie nach der Überprüfung von SPF- und DKIM-Einträgen tun sollen. Domaininhaber können auf der Grundlage dieser Prüfungen Regeln festlegen, ob Nachrichten blockiert, zugelassen oder zugestellt werden sollen. Da DMARC-Richtlinien mit anderen Authentifizierungsrichtlinien abgeglichen werden und Domaininhabern die Möglichkeit geben, spezifischere Regeln festzulegen, bieten diese Einträge einen zusätzlichen Schutz gegen E-Mail-Spoofing.

Auf Unternehmensebene können Sicherheitsverantwortliche auch Maßnahmen ergreifen, um Mitarbeiter vor E-Mail-Spoofing zu schützen, indem sie einen Phishing- und Malware-Schutz implementieren.

Wie passt die E-Mail-Authentifizierung zur E-Mail-Sicherheit?

E-Mail-Authentifizierung kann zwar zum Schutz vor E-Mail-Spoofing beitragen, ist aber keine umfassende E-Mail-Sicherheitslösung. Die E-Mail-Authentifizierung berücksichtigt beispielsweise nicht andere gängige Phishing-Techniken wie ähnlich aussehende Domains oder E-Mails, die von legitimen Domains gesendet werden, die kompromittiert wurden.

Cloudflare Area 1 Email Security bietet einen ganzheitlicheren Ansatz. Es durchforstet präventiv das Internet (Crawling), um die Infrastruktur von Angreifern zu identifizieren und so Phishing-Angriffe zu verhindern und Posteingänge zu sichern.