LaunDroMARC: Wie eine Lücke im Microsoft SRS gefälschte E-Mails wäscht

Blog

Eine Lücke in Microsofts SRS kann dazu führen, dass gefälschte E-Mails nach der Weiterleitung DMARC passieren. Erfahren Sie, wie LaunDroMARC funktioniert, warum es gefährlich ist und wie Sie es erkennen können.

von Ahona Rudra

Lesezeit: 5 min
LaunDroMARC: Wie eine Lücke im Microsoft SRS gefälschte E-Mails wäscht
Inhaltsverzeichnis-

Wichtigste Erkenntnisse

  • Die Weiterleitung von E-Mails kann unbeabsichtigt die DMARC-Schutzmaßnahmen umgehen.
  • Das SRS von Microsoft kann bösartige E-Mails „waschen“, sodass sie vertrauenswürdig erscheinen.
  • LaunDroMARC wirkt sich sowohl auf interne als auch auf externe weitergeleitete Nachrichten aus.
  • Kontinuierliche Überwachung und Transparenz sind für die E-Mail-Sicherheit von entscheidender Bedeutung.
  • PowerDMARC bietet Tools zur Erkennung und Behebung solcher Weiterleitungslücken.

Der Sicherheitsforscher Aaron Hart untersuchte einen Fall, der wie ein gewöhnlicher Versuch einer Business-E-Mail-Compromise aussah. Je genauer er jedoch hinschaute, desto seltsamer wurde die Sache. Alles an diesem Angriff wirkte ausgefeilt und glaubwürdig: die Absenderdomain, die Authentifizierungsergebnisse und der Weg, den die E-Mail genommen hatte.

Doch etwas Unmögliches war geschehen. Eine E-Mail, die DMARC an der Quelle fehlgeschlagen war , wurde auf magische Weise DMARC , nachdem sie über Microsoft Exchange Online weitergeleitet worden war.

Das sollte eigentlich nicht möglich sein. Aber es war möglich – und zwar aufgrund eines Nebeneffekts von Microsofts Sender Rewriting Scheme (SRS) .

Dieser Blog erklärt das Thema in einfacher Sprache und wurde ursprünglich von Engage Securityveröffentlicht wurde und erklärt, wie diese Sicherheitslücke funktioniert und wie Unternehmen das Risiko erkennen und mindern können.

Wie Microsoft SRS DMARC-Umgehungen verursacht 

Während der Untersuchung bemerkte Aaron Folgendes:

  • Die E-Mail gab vor, von einer vertrauenswürdigen internen Domain (ORG 1) zu stammen.
  • Es wurde an den Posteingang des Benutzers in einer anderen Organisation (ORG 2) zugestellt.
  • ORG 2 hat die Nachricht als vollständig authentifiziert erkannt, d. h. SPF-Pass, DMARC-Pass.
  • Die ursprüngliche E-Mail, die der Angreifer an ORG 1 gesendet hat, DMARC.
  • Die SRS-Weiterleitung von Microsoft hat die MAIL FROM-Zeile während der Weiterleitung überschrieben.
  • Das umgeschriebene MAIL FROM sorgte für eine Angleichung, wodurch DMARC nachgelagert akzeptiert wurde.

Kurz gesagt: Eine gefälschte E-Mail , die eigentlich hätte abgelehnt werden müssen , wurde weitergeleitet, umgeschrieben und „gesäubert“ und dann als vertrauenswürdige Nachricht zugestellt. Dies führte zu einer tatsächlichen Kompromittierung des Kontos, und es war kein Einzelfall.

Warum das wichtig ist

Die Weiterleitung von E-Mails ist in Unternehmen sehr verbreitet:

  • Berater, die Kunden-E-Mails weiterleiten
  • Vorstandsmitglieder, die Unternehmensadressen an private Postfächer weiterleiten
  • Gemeinsam genutzte Postfächer oder Verteilerlisten, die E-Mails extern weiterleiten
  • Inter-Org-Kooperationsgruppen

Seit 2023 hat Microsoft SRS für alle Exchange Online-Mandanten aktiviert, um SPF-Fehler zu beheben, die durch E-Mail-Weiterleitung verursacht werden. Leider hat diese Korrektur ein neues Problem verursacht: Weitergeleitete bösartige E-Mails erscheinen nun vollständig authentifiziert, selbst wenn sie ursprünglich DMARC nicht bestanden haben.

Dieses Phänomen wird nun als „LaunDroMARC” , da der Weiterleitungsprozess bösartige Nachrichten buchstäblich „wäscht”.

Eine kurze Auffrischung: SMTP, SPF, DKIM und DMARC

LaunDroMARC

MAIL VON vs VON

  • MAIL VON (Absender): für Benutzer unsichtbar und wird für die Bearbeitung von Bounce-Mails verwendet.
  • VON: sichtbarer Absender in Ihrem Posteingang.

SPF

Sender Policy Framework überprüft, ob der sendende Server berechtigt ist, E-Mails für die MAIL FROM-Domäne zu versenden. SPF überprüft nicht die sichtbare FROM-Adresse und bricht bei der Weiterleitung ab (Weiterleitungen sind nicht im SPF-Eintrag des Absenders enthalten).

DKIM

DomainKeys Identified Mail signiert E-Mail-Header, einschließlich des Absenders, digital. Angreifer können potenziell ihre eigenen bösartigen Domains mit DKIM signieren, was eine der Schwächen des Protokolls hervorhebt.

DMARC

Die domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität behebt Abgleichprobleme, indem sie verlangt, dass die MAIL FROM-Domäne mit der FROM-Domäne übereinstimmt oder die DKIM-Signaturdomäne mit der FROM-Domäne übereinstimmt, um die Authentifizierung zu bestehen. Wenn der Abgleich fehlschlägt, wird die Domäne DMARC-Richtlinie den Empfängern mit, ob die Nachricht zugestellt, unter Quarantäne gestellt oder abgelehnt werden soll. 

DMARC hat Spoofing erheblich reduziert , bis diese Lücke es wieder einführte.

Wo es schiefging: Die SRS-Implementierung von Microsoft

SRS wurde eingeführt, um SPF-Fehler während der Weiterleitung zu verhindern. Die Implementierung von Microsoft weist jedoch eine entscheidende Lücke auf:

Microsoft schreibt die MAIL FROM-Zeile auch dann um, wenn:

  • Die ursprüngliche E-Mail fälscht die Absenderadresse der Weiterleitungsdomain.
  • Die gefälschte E-Mail scheitert beim ersten Hop an DMARC.
  • Die Nachricht stammt von einer vom Angreifer kontrollierten Domain.

Nach der Umschreibung mit SRS stimmt MAIL FROM nun mit der FROM-Domäne überein, sodass DMARC am endgültigen Zielort erfolgreich ist.

Das Ergebnis: Eine bösartige E-Mail, die normalerweise DMARC nicht passieren dürfte, wird weitergeleitet, von SRS umgeschrieben und perfekt an die Authentifizierungsdatensätze der Weiterleitungsdomain angepasst. So kommt sie als völlig legitime Nachricht beim Empfänger an. Kurz gesagt: Spoofing durch E-Mail-Weiterleitung wird wieder möglich, wodurch der Schutz, den DMARC bieten soll, zunichte gemacht wird.

Microsoft betrachtet dies derzeit nicht als Sicherheitslücke.

Beispielszenario

Stellen Sie sich einen Angreifer vor, der die Domain maliciousmailer.com kontrolliert und dessen SPF-Einträge so konfiguriert sind, dass das Versenden von E-Mails von der IP-Adresse 198.51.100.25 erlaubt ist. Er verfasst eine E-Mail an die Beraterin Sarah, deren geschäftliche E-Mail-Adresse [email protected] lautet, die jedoch automatisch an ihre private E-Mail-Adresse [email protected] weitergeleitet wird.

Der Angreifer setzt die E-Mail-Header wie folgt:

Beim Versand wird die SPF-Validierung bestanden, da die MAIL FROM-Domäne vom Angreifer kontrolliert wird. Wenn die E-Mail company.com erreicht, verarbeitet Exchange Online sie mit SRS: Es ignoriert den DMARC-Fehler beim gefälschten FROM, schreibt den MAIL FROM neu, um ihn an die Weiterleitungsdomäne anzupassen (z. B. sarah+SRS=…@company.com), und leitet ihn an Sarahs persönliche Mailbox weiter.

Bei personalmail.com wird DMARC nun akzeptiert, da das umgeschriebene MAIL FROM und das sichtbare FROM übereinstimmen. Die E-Mail wird als legitim in Sarahs Posteingang zugestellt und umgeht damit effektiv die Schutzmaßnahmen, die sie eigentlich hätten stoppen sollen.

Kurz gesagt: Eine gefälschte Nachricht, die eigentlich hätte blockiert werden müssen, wird nun vom Empfänger als vertrauenswürdig eingestuft. Dies verdeutlicht, wie SRS unbeabsichtigt bösartige E-Mails „waschen” kann.

Warum LaunDroMARC für Unternehmen gefährlich ist 

Diese Schwachstelle ist gefährlich, da Benutzer E-Mails, die scheinbar von ihrer eigenen Organisation oder einer bekannten internen Domain stammen, automatisch vertrauen. Wenn bösartige E-Mails weitergeleitet werden, umgehen sie die ursprünglichen Sicherheitsprüfungen und erscheinen auf den ersten Blick sauber und legitim. 

Angreifer nutzen vorhersehbare Weiterleitungsregeln aus, um diese Schwachstelle auszunutzen, während Sicherheitsteams sich häufig eher auf eingehende Bedrohungen als auf weitergeleitete E-Mails konzentrieren. Infolgedessen öffnet diese Lücke die Tür für ernsthafte Risiken, darunter der Diebstahl sensibler Daten, das Sammeln von Anmeldedaten, internes Spear-Phishing und sogar Angriffe durch Identitätsdiebstahl in der Lieferkette.

Was Microsoft verbessern könnte

Es gibt mehrere einfache Maßnahmen, die Microsoft umsetzen könnte:

  1. Schreiben Sie MAIL FROM nicht über SRS um, wenn der FROM-Header zur Weiterleitungsdomäne gehört, aber DMARC beim ersten Hop nicht besteht.
  2. Wenden Sie SRS nur auf Nachrichten an, die DMARC vom Absender passieren.
  3. Vergleichen Sie die Authentication-Results-Header vor und nach der Weiterleitung.
     Wenn sie nicht übereinstimmen, die Nachricht unter Quarantäne stellen.

Wie Organisationen LaunDroMARC erkennen können

Microsoft SRS DMARC-Umgehung 

1. Die Weiterleitungsdomäne (Exchange Online)

Sie können potenziellen Missbrauch erkennen, indem Sie nach E-Mails suchen, bei denen die MAIL FROM-Domäne extern ist, der FROM-Header jedoch zu Ihrer Organisation zu gehören scheint. Diese Nachrichten weisen häufig ein Muster auf, bei dem sie SPF bestehen, aber DMARC nicht: ein Warnsignal im Zusammenhang mit SRS-Umschreibung. Wenn dieselben Nachrichten später weitergeleitet werden, ist dies ein starker Hinweis darauf, dass Ihre Weiterleitungsregeln dazu verwendet werden, gefälschte oder bösartige Inhalte weiterzuleiten.

2. Die Domäne des Endempfängers

Wenn eine E-Mail eine Übereinstimmung zwischen der sichtbaren FROM-Adresse und dem umgeschriebenen MAIL FROM aufweist, aber die ursprüngliche MAIL FROM-Domäne, die im SRS-Wert verborgen ist, mit keiner der beiden übereinstimmt, ist dies ein starker Hinweis darauf, dass die Nachricht durch Weiterleitung „gewaschen” wurde und es sich möglicherweise um eine gefälschte oder bösartige E-Mail handelt.

Die Perspektive von PowerDMARC

Als Plattform, die sich der Stärkung der globalen E-Mail-Authentifizierung verschrieben hat, verdeutlichen Probleme wie LaunDroMARC, warum Überwachung und Transparenz genauso wichtig sind wie die Durchsetzung. Selbst wenn Standards wie DMARC korrekt eingesetzt werden, können Implementierungslücken bei Mailbox-Anbietern Schwachstellen schaffen, die außerhalb Ihrer Kontrolle liegen.

PowerDMARC unterstützt Unternehmen dabei:

  • Analysieren Sie die Authentifizierungsergebnisse über alle Hops hinweg.
  • Erkennen von Ausrichtungsanomalien und Weiterleitungsverhalten
  • Erhalten Sie Echtzeit-Benachrichtigungen über Spoofing-Versuche.
  • Verstehen Sie, wie Drittanbietersysteme weitergeleitete E-Mails verarbeiten.
  • Überwachen Sie den domänenübergreifenden Datenverkehr auf Spoofing-Muster.
  • Behalten Sie den Überblick über Angriffe, die Weiterleitungsketten ausnutzen.

Nehmen Sie eine kostenlose Probe oder vereinbaren Sie eine Demo mit einem unserer internen Experten, um noch heute mit dem Schutz Ihrer Domain zu beginnen! 

Abschließende Überlegungen

Das LaunDroMARC-Problem öffnet erneut einen Angriffsvektor, den DMARC eigentlich verhindern sollte, und ermöglicht durch weitergeleitete E-Mails wieder internes Domain-Spoofing. Microsoft stuft dies derzeit zwar als „geringes Risiko” ein, doch die Praxis beweist das Gegenteil. 

Unternehmen, die Microsoft 365 nutzen, müssen sich dieser Weiterleitungslücke bewusst sein und zusätzliche Erkennungsmaßnahmen ergreifen.

Neueste Beiträge von Ahona Rudra (alle anzeigen)
Whaling-Cyber-Bewusstsein im Jahr 2026Cyber-Bewusstsein für den Walfang im Jahr 2023Powerdmarc-Dmarc-LeaderPowerDMARC als führender Anbieter von DMARC-Software für den Winter 2025 anerkannt