Ihre Domain wird gerade missbraucht – E-Mail Spoofing erkennen und stoppen
Stellen Sie sich vor: Ein Angreifer schickt Ihren Kunden eine Zahlungsaufforderung – mit Ihrer E-Mail-Adresse als Absender. Ohne DMARC ist das heute in 5 Minuten möglich. Und es passiert täglich, auch bei österreichischen KMU.
Was ist E-Mail Spoofing – ein konkretes Beispiel
Es ist Dienstagmorgen. Der Finanzleiter eines mittelständischen Unternehmens in Wien bekommt eine E-Mail von gf@ihr-unternehmen.at – mit dem Betreff „Dringende Überweisung – bitte heute noch". Die E-Mail wirkt völlig normal: richtige Signatur, professioneller Ton, vertrauter Absender.
Was er nicht weiß: Die E-Mail kommt nicht vom Geschäftsführer. Sie wurde von einem Angreifer irgendwo in Osteuropa verschickt – der einfach die Absenderadresse auf gf@ihr-unternehmen.at gesetzt hat. Das nennt sich E-Mail Spoofing: das Fälschen der Absenderadresse in einer E-Mail.
Das Erschreckende: Es gibt keine Schadsoftware, keinen Hack, keine gestohlenen Zugangsdaten. Der Angreifer nutzt einfach eine technische Schwäche, die seit Jahrzehnten im E-Mail-System verankert ist.
Warum ist E-Mail Spoofing technisch möglich?
Das E-Mail-System basiert auf einem Protokoll namens SMTP (Simple Mail Transfer Protocol), das in den 1980er Jahren entwickelt wurde – in einer Zeit, in der das Internet eine kleine, vertrauenswürdige Gemeinschaft von Forschern war. SMTP wurde bewusst einfach gehalten: Es gibt keine eingebaute Prüfung, ob der Absender einer E-Mail tatsächlich berechtigt ist, von der angegebenen Domain zu senden.
Technisch gesehen besteht eine E-Mail aus zwei Teilen: dem Envelope (ähnlich wie der Umschlag eines Briefes – enthält die echten Routing-Informationen) und dem Header (was der Empfänger sieht – Absender, Betreff, Datum). Diese beiden Ebenen können voneinander abweichen. Angreifer setzen im Header eine beliebige Absenderadresse – auch Ihre – und der Mail-Server des Empfängers akzeptiert die E-Mail, ohne zu prüfen, ob der Absender legitim ist.
Ein einfacher Vergleich: Stellen Sie sich vor, Sie könnten auf einen Brief beliebige Absenderadressen schreiben, und der Empfänger hat keine Möglichkeit zu prüfen, ob der Brief wirklich von der angegebenen Person kommt. Genau so funktioniert E-Mail ohne Schutzmaßnahmen.
ihr-unternehmen-gmbh.at oder ihrUnternehmen.at statt ihr-unternehmen.at) und sendet von dort. Dagegen helfen DMARC nicht direkt – aber regelmäßige Domain-Monitoring-Scans.
Welchen Schaden richtet E-Mail Spoofing an?
Die Konsequenzen reichen weit über den direkten finanziellen Schaden hinaus:
Finanzieller Schaden durch CEO Fraud und Rechnungsbetrug
Der klassische Schadensfall: Kriminelle versenden im Namen Ihres Unternehmens gefälschte Rechnungen an Ihre Kunden oder Zahlungsaufforderungen an Ihre Mitarbeiter. Laut FBI Internet Crime Report 2023 verursachten solche BEC-Angriffe (Business Email Compromise) allein in den USA 2,9 Milliarden Dollar Schaden.
Reputationsschaden
Wenn Ihre Domain für Spam- oder Phishing-Kampagnen missbraucht wird, landen bald alle Ihre legitimen E-Mails im Spam-Filter der Empfänger. E-Mail-Anbieter wie Google und Microsoft führen Domain-Reputationslisten – eine einmal beschädigte Reputation braucht Monate zur Wiederherstellung.
Rechtliches Risiko und DSGVO-Haftung
Wenn über Ihre Domain personenbezogene Daten Ihrer Kunden oder Mitarbeiter abgegriffen werden (z.B. durch eine gefälschte Login-Seite, auf die die gespooften E-Mails verlinken), kann das eine meldepflichtige DSGVO-Datenpanne darstellen. Die Aufsichtsbehörde kann prüfen, ob Sie ausreichende technische Schutzmaßnahmen implementiert hatten – fehlende DMARC-Konfiguration wäre ein eindeutiger Hinweis auf Fahrlässigkeit.
Operational Disruption
Sobald Kunden oder Partner Missbrauch Ihrer Domain melden, müssen Sie reagieren: Kommunikation an alle Empfänger, technische Analyse, möglicherweise Domain-Sperrung. Diese Unterbrechung des Geschäftsbetriebs ist oft teurer als der direkte Schaden.
Selbstcheck: Ist Ihre Domain aktuell geschützt?
Sie können in weniger als 2 Minuten prüfen, ob Ihre Domain heute für Spoofing anfällig ist:
DMARC-Prüfung mit MXToolbox
Öffnen Sie mxtoolbox.com/dmarc.aspx und geben Sie Ihre Domain ein (z.B. ihr-unternehmen.at). Das Tool prüft, ob ein DMARC-Eintrag existiert und wie er konfiguriert ist.
SPF-Prüfung
Auf derselben Seite unter „SPF Record Lookup": Prüfen Sie, ob ein gültiger SPF-Eintrag existiert. Ein fehlendes oder fehlerhaftes SPF-Record ist ebenfalls ein Risiko.
Ergebnis interpretieren
Kein DMARC-Eintrag: Ihre Domain ist vollständig offen für Spoofing. p=none: Ein Eintrag existiert, aber Spoofing wird nicht blockiert (nur Monitoring). p=quarantine oder p=reject: Sie sind aktiv geschützt.
p=none – das bedeutet: die Domain ist für Spoofing offen. Oft wissen die Unternehmen das nicht einmal.
SPF, DKIM und DMARC: Die drei Schutzschichten erklärt
E-Mail-Authentifizierung besteht aus drei aufeinander aufbauenden Protokollen. Keines allein bietet vollständigen Schutz – alle drei zusammen schon.
SPF – Sender Policy Framework
SPF ist ein DNS-Eintrag, der listet, welche Mailserver berechtigt sind, E-Mails für Ihre Domain zu versenden. Wenn ein Mailserver eine E-Mail von Ihrer Domain empfängt, prüft er, ob der sendende Server auf Ihrer SPF-Liste steht. Ist das nicht der Fall, wird die E-Mail als verdächtig markiert – aber ohne DMARC nicht automatisch blockiert.
Beispiel-SPF-Record:
v=spf1 include:_spf.google.com ~all
DKIM – DomainKeys Identified Mail
DKIM ergänzt SPF um eine kryptografische Signatur. Jede ausgehende E-Mail wird mit einem privaten Schlüssel signiert; der zugehörige öffentliche Schlüssel wird in Ihrem DNS veröffentlicht. Der empfangende Mailserver kann damit prüfen, ob die E-Mail auf dem Weg manipuliert wurde und tatsächlich von einem autorisierten Server Ihrer Domain stammt.
DKIM schützt vor Manipulation auf dem Transportweg – aber es verhindert nicht, dass jemand eine neue E-Mail mit gefälschter Absenderadresse verschickt. Dafür braucht es DMARC.
DMARC – Domain-based Message Authentication, Reporting and Conformance
DMARC ist die übergeordnete Richtlinie, die SPF und DKIM zusammenbringt und definiert, was mit E-Mails passiert, die beide Prüfungen nicht bestehen. DMARC hat drei mögliche Richtlinien:
p=none– Monitoring-Modus: E-Mails werden zugestellt, Reports werden gesammelt. Kein Schutz vor Spoofing.p=quarantine– Verdächtige E-Mails landen im Spam-Ordner des Empfängers.p=reject– Gefälschte E-Mails werden vom empfangenden Mailserver sofort abgelehnt. Voller Schutz.
Zusätzlich liefert DMARC tägliche Berichte darüber, wer E-Mails im Namen Ihrer Domain versendet – inklusive Missbrauchsversuche. Das ist wichtig für das Monitoring und die Dokumentation.
Schutz umsetzen: Ihre nächsten Schritte
Der Weg zu vollständigem E-Mail-Spoofing-Schutz ist klar definiert – aber er erfordert technisches Wissen und sorgfältige Umsetzung. Ein Fehler beim Rollout kann dazu führen, dass legitime E-Mails blockiert werden.
Option 1: Selbst einrichten (für technisch versierte IT-Teams)
Folgen Sie unserer detaillierten Schritt-für-Schritt-Anleitung für DMARC in Österreich. Die Anleitung führt Sie von der Diagnose über SPF- und DKIM-Konfiguration bis zum vollständigen DMARC-Rollout mit p=reject.
Option 2: E-Mail Security Audit (für KMU ohne eigene IT)
Mit dem E-Mail Security Audit von Mailmeister (290 € Fixpreis) erhalten Sie:
- Vollständige Analyse Ihrer aktuellen SPF-, DKIM- und DMARC-Konfiguration
- Prüfung aller verwendeten Mailserver und Drittanbieter (Newsletter, CRM, etc.)
- Konkreter Konfigurationsplan mit fertigen DNS-Records
- Priorisierte To-do-Liste für Ihren Hosting-Anbieter oder IT-Dienstleister
- Abschlussprüfung nach Umsetzung
Häufige Fragen zu E-Mail Spoofing
Was ist E-Mail Spoofing?
E-Mail Spoofing bezeichnet das Fälschen der Absenderadresse einer E-Mail. Ein Angreifer kann technisch eine beliebige E-Mail-Adresse als Absender eintragen – auch Ihre Unternehmensadresse – weil das SMTP-Protokoll keine eingebaute Absender-Authentifizierung hat. Empfänger sehen dann eine scheinbar legitime E-Mail von Ihrem Unternehmen.
Wie erkenne ich, ob meine Domain gespooft wird?
Prüfen Sie Ihren DMARC-Status kostenlos auf MXToolbox.com: Geben Sie _dmarc.ihre-domain.at in die DMARC-Suche ein. Fehlt ein DMARC-Eintrag oder steht die Policy auf none, ist Ihre Domain für Spoofing offen. Weitere Hinweise: Kunden oder Partner berichten von verdächtigen E-Mails scheinbar von Ihrer Adresse.
Was ist der Unterschied zwischen SPF, DKIM und DMARC?
SPF definiert, welche Mailserver E-Mails für Ihre Domain senden dürfen. DKIM fügt jeder E-Mail eine digitale Signatur hinzu, die Manipulationen erkennbar macht. DMARC baut auf beiden auf und legt fest, was mit E-Mails passiert, die SPF oder DKIM nicht bestehen – und liefert Berichte über Missbrauchsversuche. Alle drei zusammen bieten vollständigen Schutz.
Wie lange dauert es, DMARC einzurichten?
Ein erfahrener Experte kann SPF, DKIM und DMARC für eine Domain innerhalb von 2–4 Stunden einrichten. Der empfohlene schrittweise Rollout dauert 4–6 Wochen, um sicherzustellen, dass keine legitimen E-Mails blockiert werden. Unser E-Mail Security Audit prüft vorab den genauen Status Ihrer Domain und liefert einen konkreten Umsetzungsplan.
Wissen Sie, ob Ihre Domain gerade für Spoofing missbraucht wird? Der E-Mail Security Audit liefert Ihnen in 48 Stunden eine vollständige Analyse und einen konkreten Maßnahmenplan. Fixpreis 290 €, keine versteckten Kosten.
Kostenloses Erstgespräch buchen →