Was ist E-Mail-Spoofing?
Beim E-Mail-Spoofing verwendet ein Angreifer einen E-Mail-Header, um seine eigene Identität zu verschleiern und sich als rechtmäßiger Absender auszugeben. (Ein E-Mail-Header ist ein Code-Snippet, das wichtige Details über die Nachricht enthält, z. B. den Absender, den Empfänger und Tracking-Daten).
E-Mail-Spoofing ist zwar eine spezielle Taktik, bei der E-Mail-Kopfzeilen gefälscht werden, aber Angreifer können auch andere Taktiken anwenden, um ähnliche Ergebnisse zu erzielen. Manche Angreifer erstellen beispielsweise eine E-Mail-Domain, die der Domain des legitimen Absenders sehr ähnlich sieht und hoffen, dass die Empfänger den Fehler übersehen. So würden Sie zum Beispiel die Domain „@1egitimatecompany.com“ anstelle von „@legitimatecompany.com“ verwenden. Angreifer können auch den angezeigten Namen ändern, um sich als Absender auszugeben: zum Beispiel, indem sie böswillige E-Mails von „LegitimateCEOName@gmail.com“ statt von „LegitimateCEOName@legitimatecompany.com“ versenden.
Der Hauptunterschied zwischen diesen Techniken besteht darin, dass erfolgreiche E-Mail-Spoofing-Versuche als legitime Domains – wie cloudflare.com – erscheinen, im Gegensatz zu einer falsch geschriebenen Domain (janeexecutive@jan3scompany.com) oder einer Adresse, die überhaupt nicht mit der Domain verbunden ist (janetherealceo@gmail.com). Dieser Artikel beschäftigt sich speziell mit E-Mails mit gefälschten Headern.
E-Mail-Spoofing fällt unter das größere Themengebiet des Domain-Spoofing. Beim Domain-Spoofing versuchen Angreifer, einen Website-Namen (oder eine E-Mail-Adresse) zu fälschen, in der Regel im Rahmen von Phishing-Angriffen. Domain-Spoofing geht über E-Mail hinaus und kann zur Erstellung gefälschter Websites oder betrügerischer Werbung verwendet werden.
Wie funktioniert das E-Mail-Spoofing?
Angreifer verwenden Skripte, um die Felder zu fälschen, die ein E-Mail-Empfänger sehen kann. Diese Felder befinden sich im Header (in der Kopfzeile) der E-Mail und enthalten die Absenderadresse („from“) und die Antwortadresse („reply-to“). Hier sehen Sie ein Beispiel dafür, wie diese Felder in einer gefälschten E-Mail aussehen könnten:
- From: „Legitimer Absender“ email@legitimatecompany.com
- Reply-to: email@legitimatecompany.com
Diese Felder können gefälscht werden, da das E-Mail-Übertragungsprotokoll Simple Mail Transfer Protocol (SMTP) über keine eingebaute Methode zur Authentifizierung von E-Mail-Adressen verfügt. Die E-Mail-Adressen des Absenders und des Empfängers befinden sich nämlich an zwei Stellen in einer E-Mail: im Header und im SMTP-Umschlag. Der E-Mail-Header enthält die Felder, die der Empfänger sieht. Der SMTP-Umschlag enthält jedoch die Informationen, die Server verwenden, um eine E-Mail an die richtige Adresse zuzustellen. Diese Felder müssen jedoch nicht übereinstimmen, damit eine E-Mail erfolgreich gesendet werden kann. Da der SMTP-Umschlag die Kopfzeile nie überprüft und der Empfänger die Informationen im Umschlag nicht sehen kann, ist E-Mail-Spoofing relativ einfach.
Eine gefälschte E-Mail scheint von einem seriösen Absender zu stammen. Darum können die Empfänger dazu verleitet werden, sensible Informationen preiszugeben, auf bösartige Links zu klicken oder andere Handlungen vorzunehmen, die sie sonst nicht tun würden. Aus diesem Grund wird E-Mail-Spoofing häufig bei Phishing-Angriffen eingesetzt.
In einigen Fällen verwenden Angreifer andere Taktiken, um die Glaubwürdigkeit einer gespooften E-Mail-Domain zu erhöhen. Dazu kann das Kopieren des Logos, der Markenzeichen und anderer Designelemente eines Unternehmens gehören, oder die Verwendung von Botschaften und Sprache, die für das nachgeahmte Unternehmen relevant erscheinen.
Wie Sie sich vor E-Mail-Spoofing schützen können
E-Mail-Empfänger können sich mit diesen Schritten davor schützen, auf E-Mail-Spoofing hereinzufallen:
- Seien Sie misstrauisch bei Nachrichten, die zu schnellem oder dringendem Handeln auffordern: Empfänger sollten bei unerwarteten oder unaufgeforderten E-Mails misstrauisch sein, in denen sie um persönliche Informationen, Zahlungen oder andere sofortige Maßnahmen gebeten werden. So sollte beispielsweise eine unerwartete Aufforderung zur Änderung der Anmeldeinformationen für eine Anwendung als verdächtig angesehen werden.
- Überprüfen Sie E-Mail-Header: Viele E-Mail-Programme bieten die Möglichkeit, den E-Mail-Header einzusehen. So können Sie etwa bei <a href='https://it.umn.edu/services-technologies/how-tos/gmail-view-email-headers' 'target=_blank'>Gmail, auf „Original anzeigen“ klicken, um den E-Mail-Header der respektiven E-Mail anzusehen. Sobald Sie den Header sehen, suchen Sie den Abschnitt „Received“. Wenn eine andere Domain als die in der „From“-Adresse erscheint, ist die E-Mail wahrscheinlich gefälscht.
- Verwenden Sie Software, die gespoofte Nachrichten filtert: Anti-Spam-Software kann eine Authentifizierung für eingehende E-Mails verlangen und so Spoofing-Versuche blockieren.
Domaininhaber können auch Maßnahmen ergreifen, um Angreifer daran zu hindern, Nachrichten von ihrer Domain zu versenden. Zu diesem Zweck können Unternehmen Domain Name System (DNS)-Einträge speziell für die Authentifizierung erstellen. Diese umfassen:
- SPF-Einträge: Ein SPF-Eintrag (Sender Policy Framework) listet die Server auf, die berechtigt sind, E-Mails von einer bestimmten Domain zu versenden. Wenn also jemand eine E-Mail-Adresse erfindet, die mit einer Domain verbunden ist, wird diese nicht im SPF-Eintrag aufgeführt und kann nicht authentifiziert werden.
- DKIM-Einträge: DomainKeys Identified Mail (DKIM)-Einträge verwenden ein Paar kryptografischer Schlüssel zur Authentifizierung: einen öffentlichen und einen privaten. Der öffentliche Schlüssel wird im DKIM-Eintrag gespeichert und der private Schlüssel signiert den DKIM-Header digital. Gefälschte E-Mails von einer Domain mit einem DKIM-Eintrag werden nicht mit den richtigen kryptografischen Schlüsseln signiert und können daher nicht authentifiziert werden.
- DMARC-Einträge: DMARC-Einträge (Domain-based Message Authentication Reporting and Conformance) enthalten DMARC-Richtlinien, die E-Mail-Servern mitteilen, was sie nach der Überprüfung von SPF- und DKIM-Einträgen tun sollen. Domaininhaber können auf der Grundlage dieser Prüfungen Regeln festlegen, ob Nachrichten blockiert, zugelassen oder zugestellt werden sollen. Da DMARC-Richtlinien mit anderen Authentifizierungsrichtlinien abgeglichen werden und Domaininhabern die Möglichkeit geben, spezifischere Regeln festzulegen, bieten diese Einträge einen zusätzlichen Schutz gegen E-Mail-Spoofing.
Auf Unternehmensebene können Sicherheitsverantwortliche auch Maßnahmen ergreifen, um Mitarbeiter vor E-Mail-Spoofing zu schützen, indem sie einen Phishing- und Malware-Schutz implementieren.
Wie passt die E-Mail-Authentifizierung zur E-Mail-Sicherheit?
E-Mail-Authentifizierung kann zwar zum Schutz vor E-Mail-Spoofing beitragen, ist aber keine umfassende E-Mail-Sicherheitslösung. Die E-Mail-Authentifizierung berücksichtigt beispielsweise nicht andere gängige Phishing-Techniken wie ähnlich aussehende Domains oder E-Mails, die von legitimen Domains gesendet werden, die kompromittiert wurden.
Cloudflare Email Security bietet einen ganzheitlicheren Ansatz. Es durchforstet präventiv das Internet (Crawling), um die Infrastruktur von Angreifern zu identifizieren und so Phishing-Angriffe zu verhindern und Posteingänge zu sichern.
Quelle: https://www.cloudflare.com/de-de/learning/email-security/what-is-email-spoofing/
