E-Mail Spoofing: Gefälschte Adressen erkennen
- Die wichtigsten Merkmale, um Spoofing-Mails zu entlarven
- Alles über die Sicherheitsprotokolle SPF, DKIM und DMARC
- Mails sicher versenden mit STRATO E-Mail
Was ist E-Mail Spoofing?
E-Mail-Spoofing bezeichnet die illegale Betrugs-Methode, Mail-Absenderadressen zu fälschen. Dabei geben sich Cyberkriminelle meist als ein bekanntes Unternehmen oder eine Organisation aus, um ihre wahre Identität zu verschleiern. Die Empfängerin oder der Empfänger erhält somit eine Mail mit glaubwürdigem Absendernamen in der Adresszeile. Der englische Begriff definiert die betrügerische Taktik: „Spoofing“ lässt sich mit „Manipulation“ oder „Verschleierung“ übersetzen.
Oft ist E-Mail-Spoofing Teil von E-Mail-Phishing: Das Ziel der Angreifer oder Phisher ist es, persönliche Daten wie Passwörter und Konto-Informationen zu erhalten, um sich selbst zu bereichern. Im schlimmsten Fall betreiben Betrüger Identitätsdiebstahl in der Absicht, an sensible Informationen zu gelangen, mit denen sie ihre Opfer erpressen können.
Spoofing hilft Cyberkriminellen dabei, das Vertrauen ihrer Opfer zu gewinnen: Wenn eine Person eine Nachricht mit vermeintlich legitimer Absender-Mail-Adresse erreicht, ist sie schneller bereit, mit der Phishing-Mail zu interagieren und beispielsweise Zugangsdaten preiszugeben.
Beachten Sie
Für die Empfängerin oder den Empfänger einer Phishing-Mail ist diese Fälschung nicht direkt sichtbar. Um den Header-Code einer Mail einzusehen, erfordern E-Mail-Clients zuerst das Öffnen der Nachricht – ein Schritt, den Sie dringend unterlassen sollten: Viele Phishing-E-Mails installieren bereits bei dieser Aktion Schadsoftware auf dem PC.
Wie können Cyberkriminelle Absenderadressen spoofen?
E-Mail Spoofing hängt mit dem Simple Mail Transfer Protocol (SMTP) zusammen. Das Kommunikationsprotokoll ist auf den Servern von E-Mail-Clients installiert und ermöglicht das Senden und Weiterleiten von Mails über das Internet. Spoofen Cyberkriminelle eine E-Mail, ändern sie die Teile des Protokolls ab, welche Auskunft über die Absenderadresse geben.
Beim E-Mail Spoofing sind die nicht-sichtbaren SMTP-Informationen im E-Mail-Header relevant. Das betrifft vor allem das Code-Element „From“: Diese Zeile zeigt an, von welcher E-Mail-Adresse die Nachricht stammt. Wenn Sie beispielsweise eine Mail versenden, füllt das E-Mail-Programm dieses Feld automatisch mit Ihrer Mail-Adresse. Wird „From“ gefälscht, ändern die Betrüger die Information ab und setzen eine vertrauenswürdige Absenderadresse und einen plausiblen Absendernamen ein.
Wieso können Cyberkriminelle die Protokollinhalte so leicht spoofen? Das Problem: SMTP wurde ohne spezielle Schutzmaßnahmen entwickelt. Zudem ist das Protokoll allein nicht in der Lage, die Authentizität einer Absender-Mail zu überprüfen. Mails mit einer gefälschten „From“-Zeile und einem gefälschten Anzeigenamen landen so direkt im Posteingang. Um diese Sicherheitslücke von SMTP zu schließen, existieren zusätzliche Technologien, um Nutzende vor Phishing-Angriffen und Spoofing per Mail zu schützen. Im folgenden Abschnitt lesen Sie dazu mehr.
Wie kann ich E-Mail Spoofing verhindern?
Es gibt Technologien, die die Echtheit einer Absenderadresse überprüfen und somit E-Mail-Betrug verhindern. Diese Mechanismen helfen dabei, gefälschte E-Mails zu erkennen und zu blockieren, indem sie überprüfen, ob eine E-Mail tatsächlich von der angegebenen Domäne stammt. In der Regel werden die notwendigen Anpassungen und Konfigurationen von IT-Fachleuten vorgenommen. Die drei wichtigsten technischen Schutzmechanismen gegen E-Mail Spoofing sind:
- SPF (Sender Policy Framework)
- DKIM (DomainKeys Identified Mail)
- DMARC (Domain-based Message Authentication, Reporting and Conformance).
Heutzutage werden SPF, DKIM und DMARC von den meisten modernen E-Mail-Dienstleistern unterstützt. Gegebenenfalls müssen Sie aktiviert oder konfiguriert werden. Bei STRATO E-Mail ist die DKIM-Signatur standardgemäß aktiv.
SPF: Sender Policy Framwork
Das Sicherheitsprotokoll SPF gibt Nutzenden die Möglichkeit, ihre IP-Adresse mit zulässigen Mail-Absendern zu verknüpfen. Technisch erklärt: Domain-Inhabende oder die IT-Fachleute einer Organisation fügen einen SPF-Eintrag im DNS (Domain Name System) einer E-Mail-Domain hinzu. In diesem Eintrag lassen sich nun IP-Adressen auflisten, die die Erlaubnis besitzen, im Namen der Domain E-Mails zu versenden.
Um E-Mail-Spoofing zu erkennen, prüft der empfangende E-Mail-Server beim Eingang einer Nachricht den SPF-Eintrag der Absenderdomain. Stimmen IP-Adresse und die Absenderadresse überein, wird die E-Mail als authentisch eingestuft. Handelt es sich um eine Spoofing-Mail mit gefälschtem Absender, weicht die IP-Adresse ab: Der Server markiert die E-Mail als Spam und verhindert so Bedrohungen.
DKIM: DomainKeys Identified Mail
DKIM ist eine digitale Signatur, um die Echtheit einer Absenderadresse zu bestätigen. Sie ist mit einem öffentlichen Schlüssel verknüpft – deshalb bezeichnet man DKIM auch als kryptographische, also verschlüsselte Signatur. Die Authentifizierung per DKIM erfolgt in drei Schritten:
- Der E-Mail-Server des Sendenden erstellt eine DKIM-Signatur. Sie wird im Header-Code der Mail vermerkt.
- Der öffentliche Schlüssel, der die Signatur kontrolliert, wird im DNS der Domain eingetragen. Dies übernehmen Domain-Inhabende mit administrativen Rechten.
- Der Server der Empfängerin oder des Empfängers nutzt die Information im Header, um den Schlüssel aus dem DNS und die kryptographische Signatur einzusehen. Stimmt alles überein, wird die Absenderadresse verifiziert. Andernfalls markiert der Server die eingehende Nachricht – wie bei SPF – als betrügerische Mail.
DMARC: Domain-based Message Authentication, Reporting and Conformance
DMARC ergänzt die Funktionen von SPF und DKIM, weshalb es sinnvoll ist, DMARC zusätzlich zu verwenden. Domain-Nutzende legen mit dem DMARC-Protokoll Regeln fest, wie der E-Mail-Server mit eingehenden Nachrichten umgehen soll. So ist DMARC zum Beispiel dafür verantwortlich, als verdächtig markierte Mails in den Spam-Ordner oder in Quarantäne zu verschieben. Auch Benachrichtigungen lassen sich mit DMARC einstellen. Die ausgewählten Richtlinien werden als DMARC-Eintrag im DNS der Domäne verzeichnet.
3 Tipps, um E-Mail Spoofing zu erkennen
Trotz gängiger Sicherheitsprotokolle wie SPF, DKIM und DMARC ist es möglich, dass Phishing-Mails im Posteingang landen. Sie sollten daher wissen, wie Sie E-Mail Spoofing erkennen können, um sich vor Phishing-Angriffen zu schützen.
Wichtig: Überprüfen Sie verdächtige E-Mails ausschließlich über die Vorschau-Ansicht Ihres E-Mail-Clients. Öffnen Sie die Nachricht nicht durch Doppelklick und laden Sie keinesfalls Anhänge herunter: Jegliche Interaktion mit der Spoofing-Mail kann bereits sensible Informationen über Ihren PC an die Angreifer preisgeben oder Malware installieren.
1. Kontrollieren Sie die Absenderadresse
Achten Sie auf Fehler oder Buchstabenersetzungen in der E-Mail-Domain. Der Grund: Häufig fälschen Cyberkriminelle bekannte Absenderadressen, indem sie einen Buchstaben mit zwei optisch ähnlichen Zeichen austauschen. Ein Beispiel: verwaltung@uni-potsdarn.de statt verwaltung@uni-potsdam.de.
Auch Zusätze in der Domain weisen häufig auf E-Mail Spoofing hin. So wird beispielsweise die offizielle E-Mail-Adresse info@stadtbau.de erweitert zu: info@stadtbau-kundenservice.de. So wird es für Nutzende schwierig, legitime Absender von gefälschten Adressen zu unterscheiden.
2. Überprüfen Sie den Inhalt der E-Mail
Sie sind sich unsicher, ob die Absenderadresse gefälscht ist? Der nächste Anhaltspunkt, um eine Phishing-Mail zu erkennen, ist der Textinhalt. Hier weisen drei Aspekte auf die Betrugsmasche hin:
- Rechtschreib-, Grammatik- und Zeichensetzungsfehler: „Das dürfen sie nicht verpasen!“ (anstelle von: „Das dürfen Sie nicht verpassen!“)
- Dringlichkeit, eine Handlung auszuführen: „Wenn Sie Ihre Zugangsdaten nicht aktualisieren, sperren wir Ihr Bankkonto in 3 Tagen.“
- Call-to-Action-Buttons mit Link zu schädlicher Website: „Jetzt Profil aktualisieren“, „Hier Zahlungsoption überprüfen.“
Gut zu wissen: Sind in der Mail Links zu Websites mit HTTPS-Webadresse gesetzt, schließt das Phishing nicht aus. Inzwischen erwerben Angreifer Website-Domains mit SSL-Zertifikat, um auch dadurch das Vertrauen ihrer Opfer zu wecken.
3. Verifizieren Sie den vermeintlichen Absender über offizielle Kanäle
Nutzen Phisher eine bekannte Marke oder Bank als Absender, ist eine direkte Nachfrage über gesicherte Kontaktdaten sinnvoll – zum Beispiel per Telefon. So können Sie sich bei einer Ansprechperson erkundigen, ob die E-Mail tatsächlich vom Unternehmen bzw. Kreditinstitut stammt.
Wichtig: Nutzen Sie ausschließlich Telefonnummern oder E-Mail-Adressen, die auf der offiziellen Website des angeblichen Absenders zu finden sind. Antworten Sie nie direkt auf eine verdächtige Mail: Bereits durch das Antworten auf eine E-Mail können bestimmte Informationen wie Ihre IP-Adresse, die sich im E-Mail-Header befindet, an Cyberkriminelle weitergegeben werden. Diese Informationen aus der Kopfzeile lassen sich nutzen, um beispielsweise Ihren Standort, Gerätedetails oder Ihre Netzwerkstruktur zu ermitteln.
Häufig gestellte Fragen zu E-Mail Spoofing
Warum sollte ich Phishing-E-Mails mit gespoofter E-Mail-Adresse in den Spam-Ordner schieben?
Durch das Verschieben registriert das Mail-Programm gespoofte Adressen und kann diese künftig direkt in Quarantäne schicken. Indem Nutzende verdächtige E-Mails in den Spam-Ordner schieben, lernt der E-Mail-Client immer weiter dazu, sodass sich Spoofing-Mails im Posteingang reduzieren.
Wie kann ich Zugangsdaten zusätzlich schützen?
Setzen Sie beim Zugang in Kundenkontos und in Anmeldebereiche auf eine Multi-Faktor-Authentifizierung. Ihre Zugangsdaten sind somit nur mit einem zusätzlichen Passwort gültig – beispielsweise mit einer TAN-Nummer oder einem Scan Ihres Fingerabdrucks, die Sie über ein weiteres Gerät eingeben müssen. Im Falle von Datenklau kommen Cyberkriminelle ohne das weitere Device nicht weiter.
Jemand nutzt meine E-Mail-Adresse zum Spoofing. Was kann ich tun?
Melden Sie den Vorfall der STRATO Abuse-Abteilung: abuse@strato.de. Wird Ihre E-Mail-Domain missbraucht, kann STRATO eine Sperrung vornehmen. Unsere Ansprechpartner bearbeiten Anfragen rund um die Uhr.
E-Mail Spoofing verhindern mit STRATO Mail
Der E-Mail-Service von STRATO bietet einen optimalen Schutz gegen Phishing-Angriffe mit gespoofter Absenderadresse:
- Aktivierte DKIM-Signatur beim Versenden jeder Mail
- Standard STRATO Mailserver mit SPF
- ServerSide Antivirus und Antispam
- Support bei Aktivierung des DMARC Mechanismus
- Automatische Backups zur Datensicherung
Zudem informiert Sie STRATO über aktuelle Phishing-Mails – inklusive Tipps, wie Sie diese erkennen. Weitere Details erfahren Sie im STRATO Beitrag zu Phishing E-Mails.