Gefälschte Absenderadressen von Mails erkennen

Die Werkzeuge SPF, DKIM und DMARC verhindern, dass Mailserver gefälschte Mails überhaupt erst annehmen – egal, wie gut eine Phishing-Mail gemacht ist.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Wie SPF, DKIM und DMARC gegen Phishing und Spoofing helfen

(Bild: EFKS, shutterstock.com)

Lesezeit: 12 Min.
Von
  • Patrick Ben Koetter
Inhaltsverzeichnis

Eine neue Mail. Sie scheint wichtig zu sein. In der Absendeadresse steht irgendwas von "Chef" – allerdings handelt es sich um Betrug. Spammer, Phisher oder Malware-Sender fälschen die Adresse des Absenders. Sie hoffen, so das Vertrauen der Empfänger zu gewinnen, die Ihnen zum Beispiel Zugang zur Infrastruktur einer Firma liefern oder am besten gleich zu Bankkonten.

Deshalb sollte ein empfangender Mailserver bei der Annahme einer Mail prüfen, ob der Absender wirklich der ist, der er vorgibt zu sein. Einen entscheidenden Beitrag dazu leisten die Techniken Sender Policy Framework (SPF) und DomainKeys Identified Mail (DKIM). Domain-based Message Authentication, Reporting and Conformance (DMARC) bestimmt, wie ein empfangender Server SPF- und DKIM-geprüfte Mails behandelt.

Alle drei Methoden richten sich an die Senderdomain. Daneben gibt es weitere Methoden, darunter etwa DANE (DNS-based Authentication of Named Entities), das die TLS-Verschlüsselung zur Empfänger-Domain prüft. Sie helfen gegen Man-in-the-Middle-Attacken und sind daher nicht Gegenstand dieses Beitrags.