E-Mail-Spoofing und Phishing: Wie Angreifer vorgehen – und wie SPF, DKIM und DMARC schützen

E-Mail-Spoofing und Phishing gehören zu den häufigsten Angriffsmethoden im Internet. Jedes Jahr verursachen sie Milliardenschäden – dabei wären die meisten Angriffe mit drei DNS-Records zu verhindern: SPF, DKIM und DMARC.

Was ist E-Mail-Spoofing?

E-Mail-Spoofing bezeichnet das Fälschen der Absenderadresse in einer E-Mail. Das ursprüngliche E-Mail-Protokoll (SMTP) aus den 1980er Jahren hat keinen eingebauten Mechanismus, um den Absender zu verifizieren. Wer Zugang zu einem Mailserver hat, kann buchstäblich jede beliebige Absenderadresse einsetzen.

Das SMTP-Protokoll unterscheidet dabei zwischen zwei verschiedenen “Absender”-Feldern:

• Envelope-Sender (MAIL FROM): Die technische Absenderadresse, die der Mailserver sieht – wird genutzt für Bounce-Nachrichten. Meist unsichtbar für den Empfänger.
• Header-From (From: Header): Die Adresse, die der Empfänger in seinem E-Mail-Client sieht. Diese kann komplett unabhängig vom Envelope-Sender sein.

Angreifer manipulieren den From:-Header, damit die E-Mail so aussieht, als käme sie von buchhaltung@dein-unternehmen.de – obwohl sie in Wirklichkeit von einem Server in einem anderen Land stammt.

Reale Angriffsszenarien

Szenario 1: CEO-Fraud (Business Email Compromise)

Der Angreifer hat die Absenderadresse des CEOs gefälscht. Die E-Mail sieht identisch aus wie eine echte Nachricht vom Chef. Ohne DMARC würde diese E-Mail in den meisten Fällen problemlos zugestellt.

Szenario 2: Phishing im Namen bekannter Marken

Angreifer versenden massenhaft E-Mails, die vorgeben, von PayPal, DHL, der Sparkasse oder Amazon zu kommen. Da diese Unternehmen DMARC mit p=reject aktiviert haben, landen solche Fälschungen meist direkt im Spam oder werden abgewiesen. Ohne DMARC würden sie ungehindert im Posteingang landen.

Szenario 3: Supply-Chain-Angriff

Ein Lieferant deines Unternehmens hat kein DMARC konfiguriert. Angreifer spoofen seine E-Mail-Domain und schicken dir eine gefälschte Rechnung mit veränderter Bankverbindung. Du denkst, sie stammt vom vertrauten Lieferanten.

Wie schützen SPF, DKIM und DMARC gegen Spoofing?

SPF – Die Gästeliste

SPF legt fest, welche IP-Adressen E-Mails im Namen deiner Domain senden dürfen. Wenn ein Angreifer versucht, eine E-Mail von einer nicht autorisierten IP zu senden, schlägt die SPF-Prüfung fehl. Der empfangende Mailserver weiß: Diese E-Mail kommt nicht von einem autorisierten Server.

Limitation: SPF schützt nur den Envelope-Sender, nicht den sichtbaren From:-Header. Außerdem schlägt SPF bei Weiterleitungen fehl. Deshalb reicht SPF allein nicht aus.

DKIM – Das digitale Siegel

DKIM signiert E-Mails kryptografisch. Selbst wenn ein Angreifer die Absenderadresse fälscht, kann er die gültige DKIM-Signatur nicht nachahmen, weil er keinen Zugang zum privaten Schlüssel des echten Absenders hat. Die Signatur scheitert beim Verifikationsversuch des Empfängers.

DMARC – Der Türsteher

DMARC ist der Mechanismus, der SPF und DKIM zusammenbringt und durchsetzt. Mit p=reject werden alle E-Mails, die weder SPF noch DKIM bestehen, direkt abgewiesen. Der Empfänger sieht die gefälschte E-Mail überhaupt nicht.

Entscheidend: DMARC prüft auch das Alignment – also ob die im SPF und DKIM verwendeten Domains mit dem sichtbaren From:-Header übereinstimmen. Das schließt die Lücke, die SPF und DKIM allein lassen.

Warum schützen diese Protokolle nicht gegen alles?

SPF, DKIM und DMARC schützen gegen das Fälschen deiner eigenen Domain. Es gibt jedoch Angriffsmethoden, die diese Schutzmechanismen umgehen:

• Look-alike Domains: Angreifer registrieren Domains, die deiner ähneln: firma-de.com statt firma.de, oder firna.de mit einem Tippfehler. Diese Domains können eigene SPF/DKIM/DMARC Records haben.
• Kompromittierte legitime Konten: Wenn ein echtes E-Mail-Konto gehackt wurde, helfen SPF/DKIM/DMARC nicht – die E-Mail kommt ja wirklich von der echten Domain.
• Display-Name-Spoofing: Der Anzeigename Amazon Support kann gesetzt werden, auch wenn die E-Mail von angriff@random.domain kommt. DMARC schützt hier nicht, wenn die eigentliche From-Domain random.domain ist und legitim aussieht.

Checkliste: Ist deine Domain gegen Spoofing geschützt?

Was passiert, wenn eine Domain kein DMARC hat?

Domains ohne DMARC-Konfiguration sind für Spoofing-Angriffe offen. Das bedeutet in der Praxis:

• Jeder kann E-Mails mit From: beliebig@deinedomain.de versenden
• Empfangende Server haben keine Richtlinie, wie sie mit solchen E-Mails umgehen sollen
• Gefälschte E-Mails landen häufig direkt im Posteingang des Empfängers
• Der Domain-Inhaber erfährt nicht einmal, dass sein Name missbraucht wird

Besonders problematisch ist das für Domains, die keine E-Mails senden (z. B. Domains, die nur für eine Website genutzt werden). Diese Domains sind oft noch leichter zu missbrauchen, weil es keine legitimen E-Mails gibt, die durch eine zu strikte Policy blockiert werden könnten. Für solche Domains empfiehlt sich sofort p=reject zu setzen – und einen SPF-Record mit v=spf1 -all, der klar signalisiert: Diese Domain sendet keine E-Mails.

Der finanzielle Schaden durch E-Mail-Spoofing

Der durchschnittliche Schaden durch einen CEO-Fraud-Angriff liegt laut FBI Internet Crime Report bei über 120.000 USD. Für kleine und mittelständische Unternehmen kann ein einziger erfolgreicher Angriff existenzbedrohend sein. Besonders fatal: Der Schaden ist oft nicht oder nur schwer rückgängig zu machen – Überweisungen an Betrüger sind selten vollständig zurückzuholen.

Demgegenüber stehen die Kosten für die Prävention: SPF, DKIM und DMARC sind kostenlos. Sie erfordern nur etwas Zeit für die Einrichtung – und ein Tool wie DMARC-Checker.de, das dir sofort zeigt, wo deine Domain steht.

Weiterführende Artikel

• DMARC erklärt: Policies und Reporting
• E-Mail-Authentifizierung einrichten: Step-by-Step-Anleitung
• DMARC-Reports lesen und verstehen