Haftungsausschluss: Dieser Beitrag dient ausschließlich Bildungs- und Informationszwecken. Die hier gezeigten Informationen und Angriffe dürfen niemals für illegale Zwecke oder auf Systemen, für die keine explizite Erlaubnis eingeräumt wurde, verwendet werden. Solche Handlungen können gegen geltende Gesetze verstoßen und schwerwiegende rechtliche Konsequenzen nach sich ziehen.

Zusammenfassung

Dieser Blogeintrag behandelt das Thema E-Mail-Sicherheit für Unternehmen. Dieses SecCore Essential ist dann erfüllt, wenn die folgenden Punkte umgesetzt wurden:

  • Für alle eigenen Domains existiert ein gültiger SPF-Eintrag mit -all (HardFail), der ausschließlich autorisierte Mailserver auflistet
  • Alle versendenden Mailserver signieren ausgehende E-Mails mit DKIM
  • Für alle eigenen Domains ist eine DMARC-Policy mit zumindest p=quarantine konfiguriert
  • Nicht verwendete Domains sind mit v=spf1 -all und DMARC p=reject abgesichert
  • Ein zentraler Mail-Gateway filtert Spam, Phishing und bösartige Anhänge
  • Alle E-Mail-Server sind mit TLS abgesichert (siehe SecCore Essentials - Verschlüsselung für externe Dienste)

Einleitung

E-Mails sind nach wie vor eines der meistgenutzten Kommunikationsmittel und auch einer der häufigsten Einstiegspunkte für Angreifer. Standardmäßig sind E-Mails kaum gegen Missbrauch geschützt und ohne bestimmte Gegenmaßnahmen können E-Mail-Absender einfach gefälscht werden.

Des Weiteren landen E-Mails mit schädlichen Anhängen oder Links oft direkt im Posteingang, wo diese heruntergeladen oder angeklickt werden können, wenn keine vorgelagerte Filterung stattfindet.

Diese Tatsachen machen E-Mail Security zu einem der wichtigsten Bestandteile von externer Unternehmenssicherheit.

Häufige Angriffsvektoren

Der folgende Abschnitt gibt einen Überblick über die gängigsten E-Mail-basierten Angriffe.

Phishing und Spear-Phishing

Phishing-E-Mails sind nach wie vor der häufigste Ausgangspunkt für Angriffe auf Unternehmen. Sie täuschen einen Empfänger durch eine glaubwürdige Story oder einen vermeintlich vertrauenswürdigen Absender, um diesen dazu zu bringen, auf einen schädlichen Link zu klicken oder einen infizierten Anhang zu öffnen.

Spear-Phishing zielt dabei auf eine bestimmte Person ab. Angreifer recherchieren vorab Informationen über das Ziel (z.B. über LinkedIn oder die Unternehmenswebseite) und erstellen eine Phishing-E-Mail, die auf die Person, deren Aufgabengebiet oder Partnerunternehmen zugeschnitten ist. Solche E-Mails sind für technische Filter wesentlich schwerer zu erkennen und für Empfänger kaum von legitimen E-Mails zu unterscheiden.

Dabei stehen häufig folgende Ziele im Vordergrund:

  • Zugangsdaten für Unternehmensportale, Cloud-Dienste oder VPNs
  • Ausführung von Schadsoftware (z.B. Ransomware, Infostealer)
  • Zugang zu E-Mail-Konten für weitere Angriffe (z.B. Business Email Compromise)

E-Mail-Spoofing und fehlende Absenderauthentifizierung

Damit Phishing-E-Mails am besten funktionieren, nutzen Angreifer häufig gefälschte Absenderadressen, die vertrauenswürdig wirken. Ohne technische Absicherung des empfangenden E-Mail-Servers kann praktisch jede Absenderadresse gefälscht werden. Daher existieren Mechanismen zur Absenderauthentifizierung, die über DNS-Einträge konfiguriert werden.

SPF (Sender Policy Framework) legt per DNS-TXT-Eintrag fest, welche Mailserver für eine Domain senden dürfen. Ein HardFail (-all) weist E-Mails von nicht autorisierten Servern ab. Ein SoftFail (~all) markiert sie lediglich, was in der Praxis oft keinen Schutz bietet.

DKIM (DomainKeys Identified Mail) fügt jeder ausgehenden E-Mail eine kryptographische Signatur bei, die mit einem privaten Schlüssel erstellt wird. Der Empfänger kann die Signatur gegen den im DNS veröffentlichten öffentlichen Schlüssel prüfen und so sicherstellen, dass die E-Mail nicht verändert wurde.

DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf und legt fest, was mit E-Mails geschehen soll, die beide Prüfungen nicht bestehen. Entscheidend ist dabei das Konzept des Alignment: DMARC prüft nicht nur, ob SPF oder DKIM bestehen, sondern auch, ob die verwendete Domain mit der sichtbaren From-Adresse übereinstimmt. Ohne diese Prüfung können Angreifer Tricks wie das Setzen einer legitimen Return-Path-Adresse nutzen, um SPF zu bestehen, obwohl der sichtbare Absender gefälscht ist.

Mehr Informationen zu diesen Mechanismen sind hier1 verlinkt.

Auch registrierte Domains ohne aktiven Mailbetrieb müssen abgesichert werden. Fehlt dort ein SPF- und DMARC-Eintrag, können Angreifer diese Domains als glaubwürdige Absenderadressen missbrauchen.

Typosquatting und Lookalike-Domains

Angreifer registrieren oft Domains, die legitimen Unternehmensdomains sehr ähnlich sehen (z.B. seccore.at vs. secccore.at oder seccore.at vs. seccore.co.at). Solche ähnlich aussehenden Domains können für Phishing genutzt werden, und lassen sich nur bei genauem Hinsehen von legitimen Domains unterscheiden. Klassische Schutzmaßnahmen wie SPF, DKIM und DMARC helfen hier nicht. Daher ist es wichtig, regelmäßig nach Lookalike-Domains zu suchen und diese gegebenenfalls rechtlich entfernen zu lassen. Moderne Mail-Gateways bieten außerdem Funktionen zur Erkennung von E-Mails, die interne Absender imitieren, auch wenn die technische Spoofing-Prüfung nicht greift.

Angriffsszenario

Dieser Abschnitt demonstriert, wie fehlende Absenderauthentifizierung ausgenutzt werden kann, um einen gezielten CEO-Fraud-Angriff durchzuführen.

Das Angriffsszenario wurde wie folgt aufgebaut:

  • Die Zieldomain besitzt keinen SPF-Eintrag und kein DMARC
  • Es ist kein Mail-Filter oder Secure Email Gateway vorgeschaltet

Vor dem Angriff wird geprüft, ob die Ziel-Domain für Spoofing anfällig ist. Dazu werden die DNS-Einträge der Domain abgefragt:

# SPF-Eintrag prüfen
dig TXT inseccore.at | grep spf

# DMARC-Eintrag prüfen
dig TXT _dmarc.inseccore.at

Liefern diese Abfragen keine Einträge zurück, ist die Domain offen für Spoofing. Zusätzlich kann über öffentliche Quellen wie LinkedIn oder Xing recherchiert werden, welche Personen im Unternehmen lohnenswerte Ziele darstellen (z.B. Geschäftsführung, Buchhaltung, etc.) und welche E-Mail-Adressen oder Namenskonventionen im Unternehmen üblich sind.

Nun muss ein beliebiger Mailserver so konfiguriert werden, dass dieser E-Mails mit beliebigen Absenderadressen versendet. In der Realität werden hierfür häufig kompromittierte Web-Server mit Mailversand oder frei verfügbare SMTP-Server genutzt. Es ist jedoch auch möglich, einen Mailserver selbst aufzusetzen.

From: Christian Mustermann (Geschäftsführung) <ceo@inseccore.at>
To: buchhaltung@inseccore.at
Subject: Dringende Überweisung, bitte vertraulich behandeln

Hallo,

ich bin gerade in einem Meeting und kann nicht telefonieren. Wir brauchen bitte dringend eine Überweisung, es handelt sich um eine zeitkritische Lieferantenrechnung, die ich persönlich genehmigt habe.

Hier die Details:
Betrag: 50.000 EUR
Empfänger: [SNIPPED] Logistik GmbH
IBAN: [SNIPPED]
Verwendungszweck: R-2026-00023213

Bitte heute noch erledigen und mir eine kurze Rückmeldung geben, sobald die Überweisung raus ist.

Danke,
Christian

Im E-Mail-Client erscheint die E-Mail mit dem Namen der Geschäftsführung ohne technische Warnung. Da kein Mail-Filter vorgeschaltet ist, wurde die E-Mail auch nicht auf Phishing-Muster geprüft.

gefälschte E-Mail

Gegenmaßnahmen

Das korrekte Einrichten von SPF, DKIM und DMARC mit einer strengen Policy ist die wichtigste Maßnahme, um Spoofing und damit verbundene Angriffe zu verhindern. Zusätzlich ist es wichtig, mit regelmäßigen Awareness-Schulungen aufzuklären, wie solche Angriffe stattfinden und wie man sie erkennen kann. Ein zentraler Mail-Gateway, der eingehende E-Mails auf Phishing-Muster und bösartige Anhänge prüft, bietet zusätzlichen Schutz.

Ein Tipp von uns: Tools wie MXToolbox2 ermöglichen eine einfache Überprüfung der E-Mail-Sicherheitskonfiguration.