• Was ist Spoofing

Was ist Spoofing?

Stefan Feist | Technischer Redakteur
Autor: Stefan FeistTechnischer RedakteurAuf LinkedIn vernetzen

E-Mail-Spoofing ist eine besonders hinterlistige Form des Cyberangriffs: Der Absender einer E-Mail wird gefälscht, um Vertrauen zu erschleichen und Empfänger zu täuschen. Die Folgen reichen von Datenklau über Malware bis hin zu finanziellen Schäden. In diesem Beitrag erfahren Sie, wie Spoofing funktioniert, warum es so gefährlich ist – und wie Sie sich wirksam davor schützen können.

11.04.2025|zuletzt aktualisiert:11.04.2025

Beim E-Mail-Spoofing wird der Absender einer E-Mail gefälscht, um den Eindruck zu erwecken, dass die Nachricht von einer vertrauenswürdigen Quelle stammt. Dabei wird die Absenderadresse so manipuliert, dass die E-Mail z.B. von einem bekannten Unternehmen, einer Behörde oder einer dem Empfänger bekannten Person zu stammen scheint.

Für das E-Mail-Spoofing sind die SMTP-Informationen im E-Mail-Header relevant, vor allem der Header-From: Hier wird angegeben, von welcher E-Mail-Adresse die Nachricht stammt. Wenn Sie beispielsweise eine E-Mail versenden, füllt das E-Mail-Programm dieses Feld automatisch mit Ihrer E-Mail-Adresse aus, wobei der Header-From nicht nur die Absenderadresse, sondern auch den Absendernamen enthält. Beim Fälschen ändern Kriminelle die Angaben und setzen eine vertrauenswürdige Absenderadresse und einen plausiblen Absendernamen ein.

Spoofing ist mit Social Engineering verwandt. Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Autoritätshörigkeit ausgenutzt, um Menschen geschickt zu manipulieren. Während der Empfänger beim Social Engineering also über Emotionen dazu gebracht werden soll, bestimmte Handlungen auszuführen, so erzeugt Spoofing die technischen Voraussetzungen, damit die jeweiligen Ziele des Angreifers erreicht werden.

Diese Ziele sind beispielsweise das Ausspähen von Konto- oder Zugangsdaten, das Erschleichen von Geld oder die Verbreitung von Malware.

Wie funktioniert Mail Spoofing?

Beim E-Mail-Spoofing wird eine E-Mail mit gefälschtem Absendernamen oder gefälschter Absenderadresse versendet, ohne dass der Angreifer tatsächlich Zugriff auf den echten E-Mail-Account hat. Die ist möglich, weil jede E-Mail zwei From-Felder hat, das Feld MAIL FROM und das Feld Header-From. E-Mail-Clients zeigen aber nur das Header-From-Feld an. Der Angreifer nutzt hier also Schwachstellen im E-Mail-Protokoll (SMTP) aus, um gefälschte Absenderinformationen einzufügen.

E-Mail-Spoofing ist grundsätzlich auf verschiedenen Wegen möglich. Mit Hilfe von Skripten oder Programmiersprachen, die SMTP unterstützen, kann das Spoofing auf einfache Weise automatisiert werden.

So ist es möglich, in PHP über die mail()-Funktion eine beliebige Absenderadresse zu setzen – und genau das wird von Angreifern missbraucht.

Hier ein Beispiel:

$to = 'opfer@example.com';

$subject = 'Wichtige Nachricht';

$message = 'Bitte klicken Sie auf folgenden Link...';

$headers = "From: info@beispielbank.de\r\n";

$headers .= "Reply-To: info@beispielbank.de\r\n";

$headers .= "X-Mailer: PHP/" . phpversion();

mail($to, $subject, $message, $headers);

?>

Hier sieht es so aus, als käme die Mail von info@beispielbank.de.

Wie erkenne ich E-Mail-Spoofing?

Analysieren Sie den E-Mail-Header

  • "Received"-Zeilen

    Kam die Mail von einem unerwarteten Server?

  • "Return-Path" und "From"

    Stimmen die Absender überein?

  • X-Mailer oder X-Originating-IP

    Ungewöhnlich? Z. PHP bei angeblich professionellen Absendern?

  • SPF, DKIM, DMARC

    Steht irgendwo „fail“?

Seien Sie misstrauisch

Dies gilt vor allem bei unerwarteten E-Mails, Dringlichkeits- oder Droh-E-Mails oder Forderungen nach Geld oder Daten.

Prüfen Sie die Absenderadresse

Lassen Sie sich die vollständige Absenderadresse anzeigen. Achten Sie auf Buchstabendreher in der Domain oder Domainzusätze.

Warum ist Spoofing gefährlich?

Sie meinen, dass Sie niemals auf Spoofing hereinfallen würden? Nun – Spoofing ist deshalb so gefährlich, weil es Vertrauen missbraucht, und das macht es so gefährlich: finanzielle Schäden, ein zerstörter Ruf oder Verseuchung durch Malware sind nur einige mögliche Folgen eines Spoofing-Angriffs.

So erhielt ein Mitarbeiter des Autozulieferers Leoni AG eine E-Mail, die angeblich vom Vorstand stammte. Die Absenderadresse war gefälscht, die E-Mail in perfektem Deutsch – mit der Anweisung, einen größeren Betrag auf ein ausländisches Konto zu überweisen.

Ein weiterer Fall: Angreifer fälschten E-Mails an den Autozulieferer Toyota Boshoku, die wie interne Zahlungsanweisungen aussahen, angeblich vom Management. Ein Mitarbeiter der Finanzabteilung wurde überredet, Geld auf ein Konto zu überweisen, das nicht zu Toyota, sondern zu den Kriminellen gehörte.

Und sogar Security-Experten wie Troy Hunt sind nicht vor Spoofing sicher und wurden schon Opfer von Kriminellen.

Wie kann ich mich vor Spoofing schützen?

SMTP ist allein nicht in der Lage, die Echtheit einer E-Mail zu überprüfen. E-Mails mit gefälschter „From“-Zeile und gefälschtem Anzeigenamen landen so direkt im Posteingang. Wie können Sie sich also schützen?

Neben Möglichkeiten wie der Zwei-Faktor-Authentisierung (2FA) oder dem allgemeinen Rat, keine Links oder Anhänge von unbekannten Absendern zu öffnen, gibt es verschiedene technische Maßnahmen:

  • Mitarbeitende sensibilisieren

    Schulen Sie Ihre Mitarbeitenden mit Trainings, die reale Bedrohungsszenarien nachstellen. So sinkt das Risiko, dass sie auf Spoofing oder andere Angriffe hereinfallen.

  • Absenderreputation prüfen

    Schützen Sie Ihre E-Mail-Kommunikation, indem Sie die Vertrauenswürdigkeit von Absendern systematisch überprüfen.

  • CxO Fraud und erkennen

    Prüfen Sie mit einer entsprechenden Software, ob Vor- und Nachnamen von Unternehmensbenutzern missbraucht werden und ob Domains, die Ihrer ähneln, von Kriminellen verwendet werden.

  • Anti-Spoofing-Software einsetzen

    Nutzen Sie eine Sicherheitslösung, die eingehende E-Mails scannt und nur als sicher bewertete Nachrichten zulässt.

  • Metadaten analysieren

    Durch die Auswertung von Metadaten lassen sich Angriffs­muster schneller erkennen – und gezielter abwehren.

  • E-Mail-Firewall verwenden

    Setzen Sie eine E-Mail-Firewall ein. Details dazu finden Sie in diesem Artikel.

  • Inhaltsfilter nutzen

    Verwenden Sie einen Filter, der Office- oder PDF-Anhänge automatisch in risikoarme PDF-Dateien umwandelt – regelbasiert und ohne manuellen Aufwand.

Sie haben NoSpamProxy noch nicht im Einsatz?

Mit NoSpamProxy können Sie Ihr Unternehmen zuverlässig vor Scamming-Angriffen schützen und von vielen weiteren Sicherheitsfunktionen profitieren. Fordern Sie jetzt Ihre kostenlose Testversion an!

NoSpamProxy kostenfrei testen
NoSpamProxy und Dropsuite schließen strategische Partnerschaft für verbesserte...NoSpamProxy und Dropsuite schließen strategische Partnerschaft PreviewInfo IconUPDATE: Neue Richtlinien für E-Mail-Absender bei Google: Was Sie tun müss...