Blog

Was ist E-Mail-Spoofing? Definition und Funktionsweise

Entprellung
Artikel
21 min gelesen
Themen

Teile diesen Artikel

URL kopieren

Key Take Away

  • Spoofing-Angreifer manipulieren E-Mail-Header, um vertrauenswürdige Absendernamen und -adressen anzuzeigen, ohne auf echte Konten zuzugreifen, wodurch die Nachrichten legitim erscheinen.
  • Authentifizierungsprotokolle bilden die primäre Verteidigung. Korrekt konfigurierte SPF-, DKIM- und DMARC-Einträge verhindern, dass Ihre Domain gefälscht wird, und helfen E-Mail-Anbietern, gefälschte Nachrichten zu filtern.
  • Durch die regelmäßige Pflege verifizierter Kontaktlisten wird die Menge an Organisationsdaten, die Angreifer zur Erstellung überzeugender gefälschter Nachrichten nutzen können, eingeschränkt.

Sie erhalten eine E-Mail von Ihrer Bank mit der dringenden Aufforderung, Ihre Kontodaten zu bestätigen. Der Absendername scheint korrekt zu sein. Die E-Mail-Adresse kommt Ihnen bekannt vor. Sie klicken auf den Link, geben Ihr Passwort ein und stellen erst später fest, dass es sich gar nicht um die Website Ihrer Bank handelt.

E-Mail-Spoofing macht dies möglich. Es ist eine der häufigsten Techniken bei Phishing-Angriffen, Betrug und der Verbreitung von Schadsoftware. Sie funktioniert, weil Menschen instinktiv E-Mails vertrauen, die von bekannten Absendern zu stammen scheinen. Besonders gefährlich am E-Mail-Spoofing ist, dass Angreifer kein echtes Konto hacken müssen. Sie manipulieren die technischen Felder, die steuern, wie die Absenderinformationen im Posteingang angezeigt werden, sodass eine Nachricht legitim erscheint, ohne jemals auf das eigentliche System zuzugreifen, das sie angeblich repräsentiert.

Wer versteht, wie E-Mail-Spoofing funktioniert, kann Warnsignale frühzeitig erkennen und praktische Maßnahmen ergreifen, um private und geschäftliche E-Mails vor Missbrauch zu schützen.

Was ist E-Mail-Spoofing?

E-Mail-Spoofing ist die absichtliche Fälschung von Absenderinformationen, um den Anschein zu erwecken, eine Nachricht stamme von einer anderen Person oder einem anderen Ort. Die Absenderadresse, der Absendername oder das Antwortfeld werden manipuliert, um eine vertrauenswürdige Identität vorzutäuschen, beispielsweise die eines Kollegen, einer Bank, einer Regierungsbehörde oder einer bekannten Marke, während der tatsächliche Absender ein völlig anderer ist.

Wie sich gefälschte E-Mails von normalen E-Mails unterscheiden

Bei einer legitimen E-Mail stimmen die technischen Absenderinformationen und die angezeigten Absenderinformationen überein. Wenn Ihnen Ihr Kollege eine E-Mail sendet, stimmt die in Ihrem Posteingang angezeigte Adresse mit der Adresse überein, die die Nachricht tatsächlich über die Mailserver übermittelt hat.

Bei einer gefälschten E-Mail stimmen diese Angaben nicht überein. Der angezeigte Absendername oder die Absenderadresse ist gefälscht, während die eigentliche Übertragung von einem anderen, oft unabhängigen Server erfolgt, der vom Angreifer kontrolliert wird. Die Empfänger sehen nur die angezeigten Informationen, nicht aber die technischen Routing-Details, die in den E-Mail-Headern verborgen sind.

Warum Angreifer E-Mails fälschen

Spoofing dient je nach Angriffsart verschiedenen Zwecken:

  • Diebstahl von Anmeldedaten: Weiterleitung der Empfänger auf gefälschte Anmeldeseiten, die Benutzernamen und Passwörter abfangen
  • Finanzbetrug: Sich als Führungskräfte oder Lieferanten ausgeben, um betrügerische Zahlungen zu autorisieren
  • Malware-Lieferung: Empfänger dazu zu bringen, Anhänge zu öffnen oder auf Links zu klicken, die Schadsoftware installieren
  • Markenschaden: Versenden von Spam oder schädlichen Inhalten unter der Identität einer legitimen Organisation

Daten zeigen das Phishing macht immer noch über 90 % der gemeldeten Social-Engineering-Vorfälle aus, und E-Mail-Spoofing ist eine grundlegende Technik, die die meisten dieser Angriffe ermöglicht.

Wie funktioniert E-Mail-Spoofing?

E-Mail-Spoofing nutzt eine Schwachstelle des Simple Mail Transfer Protocol (SMTP) aus, der Technologie, die für den E-Mail-Versand zuständig ist. SMTP enthielt ursprünglich keine integrierten Anforderungen zur Überprüfung der Absenderidentität.

Jede E-Mail enthält Header: technische Metadatenfelder, die Übertragungsdetails wie sendenden Server, Zeitstempel und Absenderinformationen aufzeichnen. Die wichtigsten Header, auf die Angreifer abzielen, sind:

  • Ab: Die Adresse, die den Empfängern in ihrem Posteingang angezeigt wird.
  • Antwort an: Wohin die Antworten gerichtet werden, wenn die Empfänger antworten
  • Return-Path: Wohin die Bounce-Benachrichtigungen gehen (und dabei oft die tatsächliche Absenderadresse preisgeben)

SMTP erlaubt es Absendern, diese Felder beliebig zu belegen. Wenn ein E-Mail-Client eine Nachricht anzeigt, wird der Wert des Felds „Von“ angezeigt, nicht die eigentlichen Übertragungsdetails. Diese Diskrepanz zwischen dem, was der Benutzer sieht, und dem, was tatsächlich übertragen wird, ist die Schwachstelle, die Spoofing ausnutzt.

Angreifer nutzen SMTP-Server (eigene, kompromittierte Server oder offene Relays), um Nachrichten mit manipulierten Headern zu versenden. Sie ändern das „Von“-Feld auf eine vertrauenswürdige Adresse (z. B. Ihre Bank, Ihren Geschäftsführer, einen bekannten Lieferanten), während der eigentliche Absenderserver in keiner Verbindung zu dieser Organisation steht. Da die meisten Empfänger nur den angezeigten Namen und die Adresse beachten, ist diese Fälschung äußerst effektiv.

Die Rolle von Authentifizierungslücken

Korrekt konfigurierte Authentifizierungsprotokolle (SPF, DKIM, DMARC) sind darauf ausgelegt, Spoofing zu erkennen, indem sie überprüfen, ob sendende Server berechtigt sind, im Namen der beanspruchten Domains E-Mails zu senden. Microsoft Research Eine Studie aus dem Jahr 2025 ergab, dass gemeinsam genutzte E-Mail-Infrastrukturen die Spoofing-Schwachstellen erheblich verstärken und dass SMTP-Smuggling-Techniken es Angreifern ermöglichen, in bestimmten Konfigurationen die SPF- und DMARC-Schutzmechanismen zu umgehen. Dies unterstreicht, warum Authentifizierung allein keine vollständige Lösung darstellt.

Die Rücksendepfad-E-Mail Das Feld gibt oft die tatsächliche Absenderadresse preis, aber die meisten Empfänger und sogar viele Sicherheitstools prüfen es bei der ersten Zustellungsprüfung nicht genau genug.

Gängige Arten von E-Mail-Spoofing-Angriffen

Spoofing tritt in verschiedenen Formen auf, und jede nutzt unterschiedliche Aspekte der Darstellung und Verarbeitung von E-Mail-Absenderinformationen aus.

Was ist E-Mail-Spoofing?

Namensfälschung

Beim Spoofing des Absendernamens wird lediglich der sichtbare Absendername geändert, während eine völlig andere, oft offensichtlich nicht verwandte E-Mail-Adresse verwendet wird. In Ihrem Posteingang wird „Sarah Chen, CEO“ angezeigt, die tatsächliche Absenderadresse lautet jedoch beispielsweise: [E-Mail geschützt] oder ein eindeutig nicht verwandtes Gebiet.

Diese Technik funktioniert, weil viele E-Mail-Programme den Absendernamen prominent anzeigen, während die Adresse in kleinerer Schrift dargestellt oder auf Mobilgeräten ganz ausgeblendet wird. Angreifer verlassen sich darauf, dass die Empfänger sich auf den Namen konzentrieren, anstatt die vollständige Adresse zu überprüfen. Typische Ziele sind Führungskräfte, IT-Mitarbeiter und Finanzinstitute, deren Namen den Empfängern bekannt sind und denen sie vertrauen.

Domain-Spoofing

Beim Domain-Spoofing werden gefälschte oder täuschend ähnlich aussehende Domains verwendet, um Absenderadressen auf den ersten Blick legitim erscheinen zu lassen. Anstatt von company.com zu senden, registrieren Angreifer beispielsweise company-inc.com, cornpany.com oder c0mpany.com, was bei einer oberflächlichen Sichtprüfung oft nicht auffällt.

Diese Vorgehensweise ist besonders schädlich für Unternehmen, da Angreifer nicht nur Einzelpersonen, sondern ganze Organisationen imitieren können. Kunden, die E-Mails von einer gefälschten Domain erhalten, könnten Zahlungen tätigen, Kontoinformationen preisgeben oder Schadsoftware herunterladen, weil sie glauben, mit einem legitimen Unternehmen zu kommunizieren.

Überwachung mehrere SPF-Einträge und die Sicherstellung einer ordnungsgemäßen Konfiguration der Authentifizierung verhindert, dass Ihre eigene Domain auf diese Weise gegen Ihre Kunden und Partner missbraucht wird.

Direkte Adressfälschung

Beim direkten Adress-Spoofing wird das „Von“-Feld gefälscht, um eine echte, legitime E-Mail-Adresse anzuzeigen, die der Angreifer nicht kontrolliert. Dies ist technisch gesehen die überzeugendste Methode, da die Empfänger eine echte, erkennbare Adresse (und keine Fälschung) in ihrem Posteingang sehen.

Dies setzt voraus, dass die DMARC-Regeln für die gefälschte Domain nicht strikt durchgesetzt werden. Wenn Unternehmen DMARC nicht so konfiguriert haben, dass nicht authentifizierte Nachrichten abgelehnt oder unter Quarantäne gestellt werden, können Angreifer ihre echten Adressen im „Von“-Feld verwenden und mit ziemlicher Sicherheit davon ausgehen, dass die Nachrichten die Empfänger erreichen. Direktes Adress-Spoofing wird häufig bei Angriffen auf Geschäfts-E-Mails und bei Identitätsdiebstahl von Führungskräften eingesetzt.

Anzeichen einer gefälschten E-Mail

Gefälschte Nachrichten sind so gestaltet, dass sie legitim aussehen, doch bei genauerer Betrachtung werden Unstimmigkeiten sichtbar.

Probleme mit der Absenderadresse:

  • Der angezeigte Name und die tatsächliche E-Mail-Adresse stimmen nicht überein.
  • Die Domain enthält subtile Rechtschreibfehler (paypa1.com, arnazon.com, company-support.com).
  • Die Adresse nutzt einen kostenlosen Anbieter (Gmail, Yahoo) für etwas, das eigentlich geschäftliche Kommunikation sein sollte.
  • Die Antwortadresse unterscheidet sich von der Absenderadresse, wodurch Antworten an vom Angreifer kontrollierte Konten umgeleitet werden.

Unerwartete Dringlichkeit und ungewöhnliche Anfragen:

  • Drucktaktiken wie „Sofortiges Handeln erforderlich“ oder „Reagieren Sie vor Tagesende“
  • Anfragen zur Überweisung von Geldern, zur Änderung von Zahlungsdetails oder zur Weitergabe von Zugangsdaten erfolgen unerwartet.
  • Anleitung zur Umgehung der üblichen Verfahren („Durchlaufen Sie nicht den üblichen Genehmigungsprozess“)
  • Anfragen bezüglich Geschenkkarten, Überweisungen auf neue Konten oder vertraulicher Informationen

Sprachliche und Formatierungsinkonsistenzen:

  • Tonfall oder Schreibstil, der nicht dem normalen Kommunikationsstil des vermeintlichen Absenders entspricht
  • Allgemeine Anreden („Sehr geehrter Kunde“, „Sehr geehrter Benutzer“) anstelle Ihres tatsächlichen Namens
  • Grammatik- oder Rechtschreibfehler, die nicht mit einer professionellen Organisation vereinbar sind
  • Die Formatierung weicht geringfügig von legitimen Nachrichten ab, die Sie zuvor erhalten haben.

Risiken im Zusammenhang mit Verknüpfungen und Anhängen:

  • Bewegen Sie den Mauszeiger über die Links, bevor Sie klicken; der angezeigte URL-Text gibt eine Domain an, die tatsächliche Ziel-URL zeigt eine andere.
  • Anhänge, die Sie nicht erwartet haben, insbesondere ausführbare Dateien oder Office-Dokumente, die die Aktivierung von Makros anfordern.
  • Links, die auf HTTP-Seiten (nicht HTTPS) oder Domains mit verdächtigen Endungen verweisen.

E-Mails aufräumen Gewohnheiten wie das Innehalten vor dem Reagieren auf dringende Anfragen und die Überprüfung über separate Kanäle verringern das Risiko, auf gut gestaltete gefälschte Nachrichten hereinzufallen.

E-Mail-Spoofing vs. Phishing

E-Mail-Spoofing und Phishing sind eng verwandte, aber unterschiedliche Konzepte, die oft verwechselt werden. Phishing Phishing ist eine Angriffsstrategie, die darauf abzielt, Empfänger zur Preisgabe sensibler Informationen, zum Anklicken schädlicher Links oder zum Herunterladen von Schadsoftware zu verleiten. Phishing ist das Ziel, der Betrug selbst.

E-Mail-SpoofingSpoofing hingegen ist eine Technik, die Phishing-Angriffe überzeugender machen soll. Durch Spoofing scheint die Nachricht von einer vertrauenswürdigen Quelle zu stammen, wodurch die Wahrscheinlichkeit steigt, dass Empfänger dem Phishing-Inhalt vertrauen und darauf reagieren.

E-Mail-Spoofing vs. Phishing

Nicht alle Phishing-Angriffe nutzen Spoofing: Manche Phishing-E-Mails stammen von echten, aber von Angreifern kontrollierten Adressen. Und nicht jedes Spoofing ist Phishing: Manchmal wird Spoofing lediglich eingesetzt, um Spam zu versenden und den wahren Absender zu verschleiern. Die Kombination aus Spoofing und Phishing ist jedoch besonders effektiv und für den Großteil des E-Mail-basierten Betrugs verantwortlich.

Das Verständnis beider Konzepte verdeutlicht, warum Abwehrmechanismen auf zwei Ebenen funktionieren müssen: technische Kontrollen, die gefälschte Nachrichten vor der Zustellung abfangen, und ein Bewusstsein der Nutzer, das irreführende Inhalte erkennt, die dennoch durchkommen.

Wie Sie sich vor E-Mail-Spoofing schützen können

Ein wirksamer Schutz erfordert andere Gewohnheiten auf individueller Ebene und stärkere technische Kontrollen auf Organisationsebene.

Für Einzelpersonen

Wie Sie sich vor E-Mail-Spoofing schützen können

Um sicher zu bleiben, ist es oft wichtig, vorsichtig zu sein und unerwartete Nachrichten zu überprüfen, bevor man darauf reagiert. Die folgenden Schritte verringern das Risiko, auf eine gefälschte E-Mail zu reagieren.

  • Vor dem Handeln prüfen: Jede unerwartete Anfrage nach Zugangsdaten, Zahlungen oder sensiblen Daten sollte über einen separaten Kanal bestätigt werden. Rufen Sie den vermeintlichen Absender unter einer unabhängig ermittelten Nummer an, nicht unter der in der Nachricht angegebenen.
  • Prüfen Sie die Absenderadressen sorgfältig: Verlassen Sie sich nicht allein auf den angezeigten Namen. Klicken oder bewegen Sie den Mauszeiger über den Absendernamen, um die vollständige E-Mail-Adresse anzuzeigen, und überprüfen Sie, ob die Domain mit der Organisation übereinstimmt, die die Nachricht angeblich vertritt.
  • Multi-Faktor-Authentifizierung (MFA) aktivieren: Selbst wenn Angreifer Anmeldeinformationen durch Spoofing oder Phishing erlangen, blockiert die Multi-Faktor-Authentifizierung den Zugriff, es sei denn, sie verfügen auch über den zweiten Verifizierungsfaktor.
  • Verdächtige Nachrichten melden: Nutzen Sie die Funktion „Phishing melden“ oder „Spam melden“ Ihres E-Mail-Programms. Durch das Melden von Spam-E-Mails wird die Filterung Ihres eigenen Posteingangs verbessert und die Erkennungssysteme für andere Nutzer gestärkt.
  • Halten Sie die Software auf dem neuesten Stand: Sicherheitspatches in E-Mail-Clients und Betriebssystemen schließen Schwachstellen, die Angreifer ausnutzen, darunter auch solche, die mit bösartigen Inhalten zusammenhängen, die über gefälschte E-Mails verbreitet werden.

Für Unternehmen

Wie Sie Ihr Unternehmen vor E-Mail-Spoofing schützen

Organisationen müssen Authentifizierung, Überwachung und Sensibilisierung der Mitarbeiter kombinieren, um sowohl technische als auch menschliche Risiken zu reduzieren.

  • E-Mail-Authentifizierungsprotokolle konfigurieren: Einrichten SPF, DKIM und DMARC Einträge für alle Absenderdomains, einschließlich Subdomains und Drittanbieterdienste. Eine DMARC-Richtlinie, z. B. p=reject oder p=quarantine, verhindert, dass nicht authentifizierte Nachrichten, die vorgeben, von Ihrer Domain zu stammen, Empfänger erreichen. Fehlkonfigurationen sind nach wie vor einer der Hauptgründe für den Erfolg von Spoofing.
  • Überwachung auf Domainmissbrauch: Verfolgen Sie mithilfe von DMARC-Berichten, ob Ihre Domain für Spoofing-Kampagnen missbraucht wird. Diese Berichte zeigen alle E-Mails an, die vorgeben, von Ihrer Domain zu stammen, einschließlich unautorisierter Versuche.
  • Mitarbeiter regelmäßig schulen: Schulungen zur Sensibilisierung für IT-Sicherheit sollten Spoofing-spezifische Szenarien beinhalten. Mitarbeiter müssen gefälschte Anzeigenamen, ähnliche Domains, ungewöhnliche Zahlungsanforderungen und Versuche zur Umgehung von Sicherheitsvorkehrungen erkennen können.
  • E-Mail-Listen prüfen und pflegen: Organisationen mit sauberen, validierten E-Mail-Daten bieten Angreifern eine geringere Angriffsfläche. Angreifer sammeln Kontaktinformationen aus kompromittierten oder schlecht gepflegten Datenbanken, um überzeugende, zielgerichtete Spoofing-Kampagnen zu erstellen. KI für E-Mail-Marketing und die Pflege verifizierter Listen reduziert die für die Angreiferforschung verfügbaren Daten.
  • Zusätzliche technische Kontrollen implementieren: Anti-Spoofing-Funktionen in E-Mail-Sicherheitsplattformen, Markenschutz-Überwachungsdiensten und DMARC-Berichtstools ermöglichen es, Spoofing-Versuche gegen Ihre Domain zu erkennen, bevor diese Kunden und Partner erreichen.

Fazit

E-Mail-Spoofing fälscht Absenderinformationen, um schädliche Nachrichten vertrauenswürdig erscheinen zu lassen. Dabei wird die Diskrepanz zwischen dem, was in einer E-Mail angezeigt wird, und den technischen Vorgängen im Hintergrund ausgenutzt. Angreifer verwenden gefälschte Absendernamen, ähnliche Domains und direkte Adressfälschung, um Empfänger zur Preisgabe von Zugangsdaten, zur Genehmigung von Zahlungen oder zum Herunterladen von Schadsoftware zu verleiten.

Einzelne Maßnahmen können Spoofing nicht vollständig verhindern, aber Organisationen und Einzelpersonen, die technische Kontrollen mit Sensibilisierungs- und Verifizierungsverfahren kombinieren, verringern ihr Risiko erfolgreicher Spoofing-Angriffe erheblich.

Prüfen Sie, ob die Domain Ihrer Organisation über DMARC verfügt und auf welcher Stufe die Durchsetzungsmaßnahmen erfolgen. Falls DMARC nicht implementiert ist oder auf „p=none“ (nur Überwachung) eingestellt ist, ist die Umstellung auf „p=quarantine“ oder „p=reject“ die wirksamste Maßnahme, um Angreifer daran zu hindern, Ihre Domain bei Spoofing-Angriffen auf Ihre Kunden und Partner zu missbrauchen.

Die Pflege sauberer, validierter E-Mail-Listen ist ein wesentlicher Bestandteil verantwortungsvoller E-Mail-Sicherheit. DeBounce entfernt ungültige, Wegwerf- und riskante Adressen aus Ihrer Kontaktdatenbank und gewährleistet so die Stabilität Ihrer E-Mail-Infrastruktur, den Erhalt Ihrer Absenderreputation und den Schutz Ihrer Unternehmensdaten vor Angriffen durch Spoofing-Kampagnen.

Beginnen Sie noch heute mit der Überprüfung Ihrer Listen. um sowohl die Zustellbarkeit als auch das Sicherheitsrisiko Ihrer gesamten E-Mail-Kommunikation zu reduzieren.

Häufig gestellte Fragen

Antworten auf häufig gestellte Fragen zu diesem Thema.
01

Lässt sich E-Mail-Spoofing vollständig unterbinden?

Nein, Spoofing lässt sich nicht vollständig ausschließen, aber korrekt konfigurierte DMARC-, SPF- und DKIM-Authentifizierungsdatensätze in Kombination mit Schulungen zur Sensibilisierung der Benutzer verhindern, dass die überwiegende Mehrheit der Spoofing-Versuche die Empfänger erreicht.

02

Ist E-Mail-Spoofing illegal?

Ja, in den meisten Rechtsordnungen verstößt die Verwendung gefälschter E-Mail-Adressen zum Betrug, Phishing oder zur Belästigung gegen Gesetze, darunter den US CAN-SPAM Act, Gesetze gegen Computerbetrug und entsprechende Gesetze in anderen Ländern, wobei die Durchsetzung angesichts der globalen Natur der Angriffe schwierig ist.

03

Können gefälschte E-Mails meinem Gerät schaden?

Gefälschte E-Mails selbst schaden Geräten nicht, wohl aber die darin enthaltenen schädlichen Links oder Anhänge: Das Anklicken von Links, die zu Malware-Downloads führen, oder das Öffnen infizierter Anhänge in gefälschten Nachrichten kann Ihr Gerät gefährden, unabhängig vom gefälschten Absender.

Du magst vielleicht auch:

Hier finden Sie schnelle Antworten auf Ihre Fragen zu unseren Preisen und Tarifen.

Wählen Sie einen SMTP-Port: Ports 25, 465, 2525 oder 587

Erfahren Sie, welche SMTP-Ports Sie für den E-Mail-Versand verwenden sollten: 25, 465, 587 oder 2525. Unser Leitfaden hilft Ihnen bei der Auswahl des richtigen Ports aus Sicherheitsgründen und...

   
Entprellung

E-Mail-Testmethoden und Checkliste

Sicherlich ist Ihnen aufgefallen, dass es Unternehmen mit überzeugenden E-Mail-Marketing-Kampagnen gibt, die einen sehr hohen ROI im E-Mail-Marketing erzielen: (Quelle) Ich bin mir auch sicher, dass...

   
Tee Liarokapi