• E-Mail-Penetrationstest: Wie steht es um Ihre Mail Security?

E-Mail-Penetrationstests: Wie steht es um Ihre Mail Security?

Stefan Feist | Technischer Redakteur
Autor: Stefan FeistTechnischer RedakteurAuf LinkedIn vernetzen

E-Mails bleiben das Einfallstor Nummer eins für Cyberangriffe. Ob Phishing, Schadsoftware oder gezielte Manipulation – die Bedrohungen entwickeln sich ständig weiter. Umso wichtiger ist es für Unternehmen, ihre E-Mail-Sicherheit regelmäßig auf den Prüfstand zu stellen. Ein wirksames Mittel dafür sind E-Mail-Penetrationstests. Sie simulieren reale Angriffsszenarien und decken Schwachstellen auf. So erhalten Organisationen eine klare Einschätzung, wie widerstandsfähig ihre Kommunikationsinfrastruktur tatsächlich ist – und wo dringend nachgebessert werden sollte.

25.08.2025|zuletzt aktualisiert:28.08.2025

Was sind E-Mail-Penetrationstests?

E-Mail-Penetrationstests sind geplante, simulierte Angriffe auf IT-Systeme. Sie sind eine spezielle Form des Penetrationstests, bei der die E-Mail-Infrastruktur und deren Schwachstellen überprüft werden. Es geht dabei nicht um das reine “Knacken” von E-Mail-Konten, sondern um das gezielte Prüfen der E-Mail-Sicherheit einer Organisation.

Die Ziele solcher Tests ist das Aufdecken etwaiger Sicherheitslücken in der E-Mail-Kommunikation und letztendlich die Stärkung der Sicherheitsrichtlinien (technisch und organisatorisch).

Was wird bei E-Mail-Penetrationstests getestet?

Auf der technischen Ebene wird die E-Mail-Infrastruktur geprüft. Das können die genutzten Server (SMTP oder auch IMAP/POP3), aber auch Mechanismen zur Authentifizierung oder E-Mail-Verschlüsselung sein – also SPF, DKIM, DMARC beziehungsweise S/MIME oder TLS.

Die menschliche Komponente rückt bei Social-Engineering- oder Awareness-Tests in den Mittelpunkt. Hier geht es um das erschlichene Herausgeben von Passwörtern oder anderen vertraulichen Informationen – unter anderem durch das Klicken auf Phishing-Links.

Auf organisatorischer Ebene geht es um Awareness-Programme oder Richtlinien und die Einhaltung von diesen.

    Welche Arten von Pentests gibt es?

    Penetrationstest können in unterschiedlichem Umfang beziehungsweise in unterschiedlicher Tiefe durchgeführt werden. Grundsätzlich wird dabei in drei Stufen unterteilt; diese unterscheiden sich vor allem darin, wie viel Vorwissen die Tester haben und damit auch, wie tief und realistisch sie prüfen können.

    • Black-Box-Test

      Bei einem Black-Box-Penetrationstest wird die Sichtweise eines externen Angreifers simuliert, der nicht über internes Wissen über die Organisation verfügt. Den Testern stehen nur öffentlich zugängliche Informationen – etwa die Domäne oder die von außen erreichbaren Mailserver – zur Verfügung.

      Das Ziel besteht darin, herauszufinden, welche Schwachstellen ein Angreifer ohne besondere Vorkenntnisse ausnutzen könnte. Dazu werden unter anderem die Ports der Mailserver gescannt, die MX Records und DNS-Einträge analysiert sowie die Authentifizierungs- und Verschlüsselungsmechanismen überprüft.

      Typische Prüfungen sind beispielsweise, ob sich E-Mails im Namen der Domäne fälschen lassen, ob der Server als offenes Relay missbraucht werden kann oder ob es fehlerhafte Konfigurationen bei SPF, DKIM oder DMARC gibt. Die Tiefe dieser Tests ist begrenzt, allerdings ist das Ergebnis genau deshalb sehr realistisch.

    • Grey-Box-Test

      Bei einem Grey-Box-Penetrationstest wird die externe Sichtweise eines Angreifers mit einem begrenzten Maß an internem Wissen oder Zugangsdaten kombiniert. Die Tester verfügen beispielsweise über ein Standardnutzerkonto, interne E-Mail-Adressen oder grundlegende Informationen zur verwendeten Infrastruktur. Dadurch können sie gezielter prüfen, wie ein halb informierter Angreifer – etwa ein Mitarbeiter mit bösen Absichten – vorgehen könnte.

      In der Praxis werden nicht nur die äußeren Schutzmechanismen wie SPF, DKIM und DMARC, sondern auch interne Sicherheitsvorkehrungen getestet: Beispielsweise wird geprüft, ob sich E-Mails innerhalb des Unternehmens manipulieren lassen, ob schädliche Anhänge durch interne Filter erkannt werden und wie gut Mitarbeitende auf Phishing-Kampagnen reagieren. Der Grey-Box-Ansatz ermöglicht eine realistischere Einschätzung der Gesamtsicherheit, da er sowohl die Technik als auch das Verhalten der Belegschaft berücksichtigt.

    • White-Box-Test

      Ein White-Box-Penetrationstest bietet die detaillierteste Analyse, da die Tester vollständigen Einblick in die E-Mail-Infrastruktur, Konfigurationen und Sicherheitsrichtlinien des Unternehmens erhalten. Dabei werden sämtliche technischen und organisatorischen Aspekte überprüft: Darunter fallen die Server- und Gateway-Konfiguration, Verschlüsselungs- und Authentifizierungsverfahren sowie Incident-Response-Prozesse.

      Typisch sind dabei detaillierte Prüfungen, wie sich Sicherheitsmechanismen umgehen lassen, ob Logging und Monitoring ausreichend sind und ob sich Schwachstellen praktisch ausnutzen lassen. Oft werden in White-Box-Tests auch Phishing-Kampagnen mit individuellen Szenarien durchgeführt, um die Reaktionsfähigkeit der Organisation zu bewerten.

    Welcher Penetrationstest ist für wen geeignet?

    Welche Testart die richtige für das jeweilige Unternehmen ist, hängt davon ab, welches Ziel verfolgt wird.

    Black-Box-Tests bieten eine erste Einschätzung für Unternehmen und simulieren die Sicht eines externen Angreifers.

    Grey-Box-Tests eignen sich, wenn man testen möchte, was ein Insider oder Angreifer mit Teilsystemwissen erreichen könnte.

    White-Box-Tests sind ideal, wenn man die eigene E-Mail-Sicherheit bis ins letzte Detail prüfen will. Sie bieten eine vollständige Analyse, von der E-Mail-Infrastruktur-Analyse (Server, Policies, Konfigurationen) über Proof-of-Concept-Angriffe bis hin zur Überprüfung der Incident-Response-Fähigkeit.

    Warum sind Penetrationstests wichtig?

    Es gilt nach wie vor: Rund 90 % aller erfolgreichen Cyberangriffe beginnen mit einer E-Mail – und Penetrationstests bieten eine wirksame Möglichkeit, herauszufinden, wie anfällig die eigene Organisation ist. Sie helfen dabei, Lücken aufzudecken: technische, menschliche und prozedurale.

    NoSpamProxy ist BSI-zertifiziert*

    NoSpamProxy bietet nicht nur sichere E-Mail-Kommunikation made in Germany: In einem Pilotprojekt mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem anerkannten Prüflabor secuvera wurde mit NoSpamProxy erstmals ein Software-Produkt nach dem BSZ-Verfahren geprüft und zertifiziert.

    NoSpamProxy wurde dabei mithilfe von realistischen Angriffsszenarien und Penetrationstests  überprüft.

    Sie haben NoSpamProxy noch nicht im Einsatz?

    Mit NoSpamProxy schützen Sie Ihr Unternehmen zuverlässig vor gefährlichen E-Mails. Fordern Sie jetzt Ihre kostenlose Testversion an!

    NoSpamProxy kostenfrei testen

    *Für die Zertifizierung wurde NoSpamProxy Server in der Version 14.0.5.62 eingesetzt und das Zertifikat für diese Version erteilt.

    Sandbox erklärt: Warum sie in der modernen Email Security unverzichtbar is...Sandbox erklärt: Warum sie in der modernen Email Security unverzichtbar ist PreviewInfo Icon32Guards-Wartungsfenster am Donnerstag, 28. August 2025