E-Mail-Absenderidentität: Was sie ist und warum sie wichtig ist

Blog, DMARC

Die Identität des E-Mail-Absenders bestimmt, von wem eine E-Mail angeblich stammt. Erfahren Sie, wie dies funktioniert, wie es gefälscht wird und wie SPF, DKIM und DMARC dies schützen.

von Milena Baghdasaryan

Zuletzt aktualisiert:
8 Lesezeit: 8 Minuten
E-Mail-Absenderidentität: Was sie ist und warum sie wichtig ist
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  • Die Identität des E-Mail-Absenders besteht aus dem Anzeigenamen, dem Header From (RFC 5322) und dem Envelope From (RFC 5321), die zusammen den angegebenen Absender definieren.
  • SPF überprüft die sendenden IP-Adressen, DKIM fügt kryptografische Signaturen hinzu und DMARC erzwingt die Domänenausrichtung und Richtlinienmaßnahmen (keine, Quarantäne, Ablehnung).
  • DMARC bei p=reject blockiert direktes Domain-Spoofing und wird ab 2024 von Google und Yahoo für Massenversender vorgeschrieben.
  • Angreifer nutzen schwache Identitätskontrollen aus, indem sie Display -Namen-Spoofing, Lookalike-Domains und Homograph-Angriffe einsetzen.
  • Unternehmen müssen DMARC durchsetzen, Authentifizierungsberichte überwachen und alle Drittanbieter authentifizieren, um den Ruf ihrer Marke, die Zustellbarkeit und die finanzielle Sicherheit zu schützen.

Eine E-Mail ist nur so gut wie die Identität, die dahintersteht, und derzeit ist Ihre Identität möglicherweise leichter zu fälschen, als Sie denken. Die Identität des E-Mail-Absenders definiert, von wem eine E-Mail angeblich stammt und wie diese Identität technisch überprüft wird. Sie basiert auf SMTP-Headern, DNS-Einträgen und Authentifizierungsprotokollen wie SPF, DKIM und DMARC. Ohne ordnungsgemäße Überprüfung können Angreifer Domains fälschen, sich als Führungskräfte ausgeben und Phishing-Kampagnen starten, die den Ruf der Marke und die Zustellbarkeit von E-Mails schädigen. DMARC-Durchsetzung (p=reject), abgestimmte SPF- und DKIM-Einstellungen sowie kontinuierliche Überwachung schützen Ihre Domain vor direktem Spoofing und Business Email Compromise-Angriffen.

Was ist die Identität des E-Mail-Absenders?

Die Identität des E-Mail-Absenders ist die E-Mail-Adresse und Domain, die im Feld „Von“ angezeigt wird und Ihnen mitteilt, von wem die Nachricht angeblich stammt. Aufgrund der Art und Weise, wie das Simple Mail Transfer Protocol geschrieben wurde, besteht jedoch eine große Lücke zwischen einer behaupteten Identität und einer verifizierten Identität.

  • Angegebene Identität: Dies ist die Identität, die der Absender angibt. Ein Angreifer kann ganz einfach „Von: [email protected]“ in die Metadaten einer E-Mail schreiben. Ohne Authentifizierung hat der Mailserver des Empfängers keinen Grund, daran zu zweifeln.
  • Verifizierte Identität: Hierbei handelt es sich um eine Identität, die durch einen technischen „Eigentumsnachweis” gestützt wird. Mithilfe von DNS-Einträgen und kryptografischen Schlüsseln wird nachgewiesen, dass der Absender das gesetzliche Recht hat, diesen bestimmten Domainnamen zu verwenden.

Identität wird in drei Ebenen dargestellt:

  • Der Anzeigename, der für Menschen verständliche Name.
  • Der Header „Von“, also die sichtbare E-Mail-Adresse.
  • Der Absenderumschlag, der die technische Weiterleitungsadresse darstellt.

Wo die Identität des E-Mail-Absenders angezeigt wird

Für einen normalen Benutzer sieht eine E-Mail wie ein einfacher Brief aus. Für einen Mailserver ist sie ein komplexer Stapel von Headern.

Die Absenderadresse (Header From)

Definiert durch RFC 5322definiert, ist dies die Adresse, die im Feld „Von“ Ihres Posteingangs angezeigt wird. Sie ist das wichtigste Identitätssignal, da sie das Verhalten der Benutzer bestimmt. Wenn ein Benutzer [email protected] sieht, ist die Wahrscheinlichkeit, dass er auf einen Link klickt, statistisch gesehen höher als wenn er [email protected] sieht.

Anzeigename vs. tatsächliche Adresse

Hier beginnt die meisten Phishing-Angriffe. Ein Angreifer kann den Anzeigenamen auf „Microsoft Security“ setzen, während die tatsächliche Adresse [email protected] lautet. Da viele mobile Geräte die tatsächliche Adresse aus Platzgründen ausblenden, sehen Benutzer nur den „freundlichen“ Namen, was zu einer hohen Erfolgsquote bei Identitätsbetrug führt.

Identitäten auf Kopfzeilenebene: RFC 5322 vs. RFC 5321

  • RFC 5322. Von: Der „Briefkopf“. Das ist das, was der Mensch sieht.
  • Return-Path (Envelope-From / RFC 5321): Die „Absenderadresse” auf dem Umschlag. An diese Adresse sendet der empfangende Server „Bounce”-Nachrichten, wenn die E-Mail nicht zugestellt werden kann. Diese beiden Adressen müssen nicht übereinstimmen, es sei denn, es gelten bestimmte Sicherheitsrichtlinien.

Wie die Identität des E-Mail-Absenders überprüft wird

Da es so einfach ist, eine Identität zu „beanspruchen“, hat die Branche eine umfassende Reihe von Authentifizierungsprotokollen entwickelt, um diese zu überprüfen.

Wie-die-Identität-des-E-Mail-Absenders-überprüft-wird-

1. SPF

SPF ist ein DNS-Eintrag, der alle IP-Adressen und Dienste auflistet, die zum Versenden von E-Mails für Ihre Domain berechtigt sind.

  • So funktioniert es: Wenn eine E-Mail eintrifft, überprüft der empfangende Server die DNS der Return-Path-Domain, um festzustellen, ob die IP-Adresse des Absenders auf der „Gästeliste“ steht.
  • Der Fehler: SPF überprüft nur den „Umschlag“, nicht den „Briefkopf“ (die Absenderadresse, die der Benutzer sieht). Ein Angreifer kann seine eigene Domain für die SPF-Prüfung verwenden, aber Ihre Domain in das sichtbare Absenderfeld eintragen.

2. DKIM

DKIM fügt dem E-Mail-Header mithilfe der Public-Key-Kryptografie eine digitale Signatur hinzu.

  • Der Vorteil: Es wird sichergestellt, dass die Nachricht während der Übertragung nicht verändert wurde, und es wird nachgewiesen, dass der Domaininhaber die Nachricht autorisiert hat. Im Gegensatz zu SPF bleibt die DKIM-Signatur auch dann in der E-Mail erhalten, wenn diese über eine Mailingliste weitergeleitet wird.

3. DMARC

DMARC ist die wichtigste Ebene. Es löst das Problem der „Identitätsangleichung”.

  • Die Logik: DMARC fragt: „Stimmt die Domain in der sichtbaren Absenderadresse mit der durch SPF oder DKIM verifizierten Domain überein?“
  • Durchsetzung von Richtlinien: Damit können Domaininhaber den empfangenden Servern mitteilen, was zu tun ist, wenn die Identität nicht übereinstimmt:
  • Keine, was bedeutet, nichts zu tun.
  • Quarantäne, was bedeutet, dass die E-Mail als Spam markiert wird.
  • Ablehnen, was die strengste Maßnahme ist und bedeutet, dass die E-Mail vollständig blockiert wird.

4. ARC (Authentifizierte Empfangskette)

DMARC ist zwar leistungsstark, hat jedoch eine „Schwäche“: Es versagt oft, wenn eine E-Mail weitergeleitet wird (z. B. über eine Mailingliste oder eine automatische Weiterleitung). Durch die Weiterleitung wird häufig SPF unterbrochen oder die E-Mail so stark verändert, dass die DKIM-Signatur ungültig wird.

  • So funktioniert es: ARC fungiert als „digitaler Durchgang“. Wenn ein vertrauenswürdiger Vermittler (z. B. eine Mailingliste) Ihre E-Mail erhält, überprüft er die ursprünglichen SPF/DKIM/DMARC-Einträge und fügt dann seine eigene Signatur (die ARC-Kette) hinzu, um zu bestätigen, dass die Nachricht bei ihrem ersten Eintreffen legitim war.
  • Der Vorteil: Der endgültige Empfänger kann die Weiterleitungskette „zurückverfolgen“ und der Identität des ursprünglichen Absenders vertrauen, selbst wenn DMARC technisch versagt.

Identität des E-Mail-Absenders vs. E-Mail-Authentifizierung

Es ist leicht, diese beiden Begriffe zu verwechseln, aber sie erfüllen unterschiedliche Funktionen in Ihrem Sicherheitsstack.

  • Identität ist das „Wer“: Es ist die digitale Persönlichkeit Ihrer Marke. Es ist das Vertrauen, das Sie bei Ihren Kunden aufgebaut haben, sodass diese wissen, dass eine E-Mail von [email protected] legitim ist.
  • Die Authentifizierung ist das „Wie“: Dabei handelt es sich um die technischen Mechanismen SPF, DKIM und DMARC, mit denen diese Identität nachgewiesen wird.

Stellen Sie sich das wie einen Reisepass vor. Ihre Identität ist Ihr Status als Bürger, der reisen darf. Die Authentifizierung ist der physische Reisepass und der darin enthaltene biometrische Chip, der beweist, dass Sie der sind, für den Sie sich ausgeben. Die Authentifizierung dient ausschließlich dazu, Ihre Identität vor Missbrauch zu schützen. Wenn es zu einer „Diskrepanz“ zwischen beiden kommt, d. h. wenn die Authentifizierungsprüfungen erfolgreich sind, die Identität jedoch nicht übereinstimmt, geht das Vertrauen verloren, und genau hier finden Hacker ihre Chance.

Wie Angreifer die Identität von E-Mail-Absendern missbrauchen

Cyberkriminelle nutzen „Identitätsbetrug“, um menschliche Intuition und technische Filter zu umgehen.

  • Exact-Domain-Spoofing: Wenn ein Unternehmen DMARC nicht mit p=reject implementiert hat, kann ein Angreifer eine E-Mail versenden, die bitweise mit einer echten internen E-Mail identisch ist.
  • Anzeige des Namens: Oft als „CEO-Betrug“ bezeichnet, richtet sich diese Masche an vielbeschäftigte Mitarbeiter. Die E-Mail scheint vom „CEO-Namen“ zu stammen und fordert zu einer dringenden Überweisung oder zum Kauf einer Geschenkkarte auf.
  • Ähnliche Domains (Cousin-Domains): Angreifer registrieren Domains wie nike-support.com anstelle von nike.com.
  • Homograph-Angriffe: Verwendung von Zeichen aus verschiedenen Alphabeten, die identisch aussehen, z. B. Ersetzen eines lateinischen „o“ durch ein griechisches „ο“ (Omikron).

Warum die Identität des E-Mail-Absenders für Unternehmen wichtig ist

  1. Markenruf: Ihre Domain ist Ihr digitales Schaufenster. Wenn sie zum Versenden von Spam genutzt wird, wird Ihre Marke mit „unsicheren“ Inhalten in Verbindung gebracht.
  2. Zustellbarkeit: Anfang 2024 haben Google und Yahoo begonnen, DMARC für Massenversender verbindlich vorzuschreiben. Wenn Ihre Identität nicht verifiziert ist, werden Ihre legitimen Marketing- und Transaktions-E-Mails, wie z. B. Passwortzurücksetzungen, blockiert.
  3. Finanzielle Sicherheit: Durch Business Email Compromise entstehen jährlich Verluste in Milliardenhöhe. Die Überprüfung der Identität ist die einzige technische Möglichkeit, diese Angriffe in großem Umfang zu verhindern.

Häufige Fehler bei der Identifizierung von E-Mail-Absendern

  • Die „p=none“-Falle: Viele Unternehmen richten DMARC ein, lassen es jedoch dauerhaft im „Überwachungsmodus“ (p=none). Dies sorgt zwar für Transparenz, bietet jedoch keinerlei Schutz vor Spoofing.
  • Übermäßiges Vertrauen in SPF: SPF hat eine „10-Lookup-Begrenzung”. Wenn Ihr Datensatz zu komplex ist, schlägt er fehl und Ihre Identität bleibt ungeschützt.
  • Unkenntnis über Schatten-IT: Marketing- oder Personalabteilungen melden sich oft für neue Tools an, ohne die IT-Abteilung darüber zu informieren. Wenn diese nicht authentifiziert sind, bestehen sie die DMARC-Prüfungen nicht und verschwinden in den Spam-Ordnern.

Bewährte Verfahren zur Sicherung der Identität

Best-Practices-für-die-Sicherung-der-Identität-

Technische Checkliste

  • DMARC-Durchsetzung erreichen: Streben Sie p=reject an. Dies ist der „Goldstandard“ des Identitätsschutzes.
  • BIMI implementieren: Mit Brand Indicators for Message Identification können Sie Ihr verifiziertes Markenlogo im Posteingang anzeigen, um ein visuelles „Verifiziert”-Häkchen zu setzen.
  • Verwenden Sie eindeutige DKIM-Selektoren: Weisen Sie verschiedenen Anbietern unterschiedliche DKIM-Schlüssel zu, damit Sie einen Schlüssel widerrufen können, ohne die anderen zu beeinträchtigen.

Organisationsstrategie

  • Kontinuierliche Überwachung: Verwenden Sie ein DMARC-Überwachungstool, um nach neuen Diensten zu suchen, die E-Mails in Ihrem Namen versenden.
  • Phishing-Übungen für Mitarbeiter: Bringen Sie Ihren Mitarbeitern bei, niemals allein dem Anzeigenamen zu vertrauen.

ARC-Unterstützung sicherstellen

Wenn Sie eine Mailingliste oder einen Weiterleitungsdienst verwenden, stellen Sie sicher, dass dieser so konfiguriert ist, dass Nachrichten mit ARC „versiegelt” werden. Dadurch wird verhindert, dass Ihre legitimen weitergeleiteten E-Mails durch strenge DMARC-Richtlinien abgelehnt werden.

Das Fazit: Lassen Sie nicht länger zu, dass Fremde Ihre Marke tragen.

Stellen Sie sich die Identität Ihres E-Mail-Absenders als die digitale „Eingangstür“ zu Ihrem Unternehmen vor. Ohne die richtigen Schlösser, SPF, DKIM und DMARC, lassen Sie diese Tür im Grunde genommen weit offen stehen. In den Anfängen des Internets basierte E-Mail auf einem Handschlag, aber in der heutigen Landschaft ist „Vertrauen“ etwas, das Sie mit jeder einzelnen Nachricht, die Sie versenden, technisch nachweisen müssen.

Wenn Sie Ihre Identität ungeschützt lassen, riskieren Sie nicht nur ein paar Spam-Beschwerden, sondern überlassen den Ruf Ihrer Marke jedem, der ihn für sich beanspruchen möchte. Wenn ein Angreifer eine gefälschte Rechnung oder einen Phishing-Link über Ihre Domain versendet, gibt das Opfer nicht dem Hacker die Schuld, sondern Ihnen. Die Sicherung Ihrer Identität ist nicht nur eine technische Aufgabe, sondern auch eine Frage der Sicherheit: Wenn Sie einen Kunden oder Partner begrüßen, muss dieser ohne jeden Zweifel wissen, dass Sie es tatsächlich sind.

Warten Sie nicht, bis eine „CEO-Betrugs“-E-Mail Ihre Buchhaltungsabteilung erreicht, bevor Sie Maßnahmen ergreifen. Ihre Marke verdient eine verifizierte Identität, der E-Mail-Anbieter vertrauen können und die Angreifer nicht angreifen können. Testen Sie PowerDMARC noch heute kostenlos, um die „Buchstabensuppe“ der E-Mail-Sicherheit zu vereinfachen und mühelos von einer anfälligen p=none-Richtlinie zu einer strengeren p=reject-Richtlinie überzugehen.

Häufig gestellte Fragen

Kann die Identität des E-Mail-Absenders gefälscht werden?

Im Handumdrehen. Die ursprüngliche „Sprache“ von E-Mails (SMTP) ist wie das Versenden einer Postkarte: Jeder kann auf der Rückseite einen falschen Absendernamen eintragen. Ohne moderne Sicherheitsvorkehrungen wie SPF und DKIM kann ein Hacker den Namen und die E-Mail-Adresse Ihres CEO in das Feld „Von“ eintragen, und die meisten Mailboxen werden dies einfach glauben.

Verhindert DMARC jegliches Spoofing?

Nicht ganz. DMARC ist sehr effektiv beim Stoppen von Exact-Domain-Spoofing (jemand gibt sich als [email protected] aus). Es stoppt jedoch nicht „Lookalike Domains“ (wie yourbrancd.com) oder „Display Name Spoofing“ (der Name ist korrekt, aber die E-Mail-Adresse ist ein zufälliges Gmail-Konto). Für diese Fälle benötigen Sie weiterhin ein scharfes Auge.

Was ist der Unterschied zwischen „From“ und „Return-Path“?

Stellen Sie sich die Absenderadresse wie den Namen auf dem Briefkopf im Umschlag vor; sie ist das, was der Mensch sieht. Der Return-Path ist die Adresse, die auf der Außenseite des Umschlags aufgedruckt ist und von Mail-Servern zur Bearbeitung von Bounces verwendet wird. Hacker lieben es, diese unterschiedlich zu gestalten, um Filter zu täuschen, weshalb DMARC-Ausrichtung so wichtig ist.

Ist die Identität des Absenders dasselbe wie die E-Mail-Reputation?

Nein. Identität ist, wer Sie sind; Reputation ist, wie Sie sich verhalten. Wenn Sie eine hervorragende Identität haben (verifiziert), aber Spam-Inhalte versenden, wird Ihre Reputation dennoch ruiniert. Wenn Sie jedoch Ihre Identität nicht schützen, können Hacker Ihre Reputation ruinieren, indem sie in Ihrem Namen Spam versenden.

Müssen interne E-Mails mit einem Absenderidentitätsschutz versehen werden?

Auf jeden Fall. Einige der größten Betrugsfälle (wie CEO-Betrug) passieren, wenn ein Mitarbeiter eine E-Mail bekommt, die so aussieht, als käme sie von seinem Chef im Büro nebenan. Wenn du deine Identität intern nicht schützt, machst du Angriffen im Stil von „Der Anruf kommt aus dem eigenen Haus“ Tür und Tor frei.

Neueste Beiträge von Milena Baghdasaryan (alle anzeigen)
Zuletzt aktualisiert:
Spam Confidence Level (SCL) -1 Umgehung: Was das bedeutet und wie man damit umgehtSpam-Vertrauensstufe (SCL) – 1 – UmgehenIst die E-Mail-Verschlüsselung von Outlook HIPAA-konform? Ein vollständiger Leitfaden für 2026