Phishing-Aufklärung: Wie Angreifer anfällige Domains identifizieren und ins Visier nehmen

Die meisten Menschen stellen sich Phishing als ein Zahlenspiel vor – man verschickt Millionen von E-Mails und wartet darauf, dass jemand darauf klickt. Manche Kampagnen funktionieren immer noch so. Doch die Angriffe, die echten Schaden anrichten, die in den Posteingängen von Unternehmen landen und selbst geschulte Mitarbeiter täuschen, beginnen fast nie mit einer versendeten Nachricht. Sie beginnen mit Recherchen.

Phishing-Aufklärung ist der strukturierte Prozess, mit dem Angreifer eine Zieldomain analysieren, noch bevor auch nur eine einzige E-Mail verfasst wird. Sie untersuchen Authentifizierungsdaten, die DNS-Konfiguration, die Subdomain-Präsenz und die Komplexität der Absenderumgebung. Das Ziel ist klar: Es gilt, jene Domains zu finden, bei denen eine gefälschte Nachricht die besten Chancen hat, Filter zu umgehen und einen echten Posteingang zu erreichen.

Laut APWG wurden allein im ersten Quartal 2025 über eine Million Phishing-Angriffe verzeichnet, und im IC3-Bericht des FBI aus dem Jahr 2024 werden Phishing und Spoofing als häufigste Beschwerdekategorie aufgeführt. Was dieses Ausmaß erst möglich macht, ist die Tatsache, dass die Erkundungsphase weder besonderen Zugriff noch Exploits noch privilegierte Tools erfordert. Sie stützt sich fast ausschließlich auf öffentlich zugängliche Informationen. Zu verstehen, was Angreifer über Ihre Domain in Erfahrung bringen können – unter Verwendung derselben Tools, die auch sie nutzen –, ist der direkteste Weg, um die Lücken zu schließen, auf die sie sich stützen.

Was versteht man unter Phishing-Aufklärung?

Die Phishing-Erkundung ist die Phase vor dem Angriff, in der ein Angreifer öffentlich zugängliche Informationen über ein Ziel sammelt, um die Erfolgswahrscheinlichkeit seiner Kampagne zu maximieren. Es handelt sich dabei um eine Form von OSINT (Open Source Intelligence) – das Sammeln von Daten aus Quellen, die bereits öffentlich zugänglich sind, ohne dass ein direkter Angriff oder unbefugter Zugriff erforderlich ist.

Im Zusammenhang mit E-Mail-basiertem Phishing konzentriert sich die Erkundung auf drei Aspekte: das Verständnis der Authentifizierungsmaßnahmen der Zieldomäne, die Erfassung ihrer gesamten Absender- und Subdomain-Infrastruktur sowie die Identifizierung der Schwachstelle, über die eine gefälschte E-Mail am ehesten die Filterung umgeht und den Posteingang erreicht. Eine Domäne mit schwachen oder fehlenden Authentifizierungskontrollen, unüberwachten Subdomains und einer komplexen, undokumentierten Absenderumgebung ist das ideale Ziel.

Die in dieser Phase verwendeten Tools – DNS-Lookup-Tools, Zertifikatstransparenz-Protokolle, Subdomain-Enumeratoren, WHOIS-Einträge und E-Mail-Verifizierungsdienste – sind alle kostenlos, öffentlich dokumentiert und erfordern keine technischen Vorkenntnisse. Die Hürde für die Durchführung von Phishing-Aufklärungsmaßnahmen gegen eine beliebige Domain ist gering. Die Hürde für die Abwehr solcher Angriffe ist ebenfalls gering, wenn man weiß, worauf man achten muss.

Phase 1: Überprüfung des Authentifizierungsstatus der Domain

Als Erstes überprüft ein Phishing-Betreiber den DMARC-Eintrag der Domain. Dies dauert mit einem beliebigen kostenlosen DNS-Abfragetool nur wenige Sekunden und gibt sofort Aufschluss über die geltende Durchsetzungsstufe.

DMARC-Richtlinienabfrage

Angreifer hoffen darauf, „p=none“ oder gar keinen DMARC-Eintrag vorzufinden. Eine Domain mit „p=none“ hat zwar einen DMARC-Eintrag veröffentlicht – was bedeutet, dass eine gewisse Überwachung stattfindet –, hat jedoch jeden empfangenden Mailserver angewiesen, keine Maßnahmen zu ergreifen, wenn eine E-Mail die Authentifizierung nicht besteht. In der Praxis bedeutet dies, dass ein Angreifer eine gefälschte E-Mail von dieser Domain versenden kann; der empfangende Server erkennt zwar, dass sie nicht authentifiziert ist, liefert sie aber dennoch aus, da die Richtlinie der Domain vorsieht, sie nicht zu blockieren.

Domains, die überhaupt keinen DMARC-Eintrag aufweisen, sind noch stärker gefährdet. Es gibt keine Richtlinienvorgaben, keine aggregierten Berichte und keine forensische Transparenz. Angreifer suchen aktiv nach solchen Domains und wählen sie vorrangig als Ziele für Spoofing-Angriffe aus – gerade weil der Domaininhaber über keinen Mechanismus verfügt, um Identitätsbetrugsversuche zu erkennen oder zu blockieren.

„p=none“ ist ein gängiger Ausgangspunkt für Unternehmen, die die Authentifizierung einrichten – ein sinnvoller Zeitpunkt, um mit der Überwachung zu beginnen, bevor man zur Durchsetzung übergeht. Das Problem ist, dass viele Unternehmen dort beginnen und nie weiterkommen. Domains, die seit Monaten oder Jahren mit „p=none“ in Betrieb sind, sind eine gut dokumentierte und häufig ins Visier genommene Zielgruppe bei Phishing-Kampagnen.

Überprüfung des SPF-Eintrags

Nach DMARC überprüfen Angreifer den SPF-Eintrag. Ein korrekt konfigurierter SPF-Eintrag listet jeden Server auf, der zum Versenden im Namen der Domain berechtigt ist, und endet mit „-all“, wodurch empfangende Server angewiesen werden, alles zurückzuweisen, was nicht auf dieser Liste steht. Angreifer suchen nach einem zu großzügig konfigurierten SPF-Eintrag, der mit „~all“ (Soft-Fail, bei dem die Nachricht dennoch zugestellt wird) oder „+all“ (wodurch jeder Absender autorisiert wird) endet, oder nach einem SPF-Eintrag, der die Grenze von zehn DNS-Abfragen überschritten hat, wodurch er vollständig fehlschlägt.

Ein SPF-Eintrag, der mit „~all“ statt mit „-all“ endet, stellt eine subtile, aber bedeutende Lücke dar: Empfangsserver stufen „Soft Fails“ zwar als verdächtig ein, stellen die Nachricht jedoch in der Regel trotzdem zu, insbesondere wenn DMARC nicht in der Durchsetzungsphase ist. Angreifer, die diese Kombination erkennen – SPF mit „~all“ und DMARC mit „p=none“ –, wissen, dass gefälschte E-Mails von dieser Domain in den meisten Fällen den Posteingang erreichen werden.

DKIM-Konfigurationsprüfung

DKIM lässt sich direkt etwas schwieriger überprüfen, da für die Abfrage eines öffentlichen DKIM-Schlüssels die Kenntnis des verwendeten Selektors erforderlich ist. Angreifer können die DKIM-Konfiguration jedoch aus DMARC-Gesamtberichten und aus den E-Mail-Headern ableiten, die in jeder rechtmäßig von der Zieldomäne versendeten Nachricht zu finden sind. Header, die aus LinkedIn-Benachrichtigungen, Abonnements für Pressemitteilungen oder Marketing-E-Mails erfasst wurden, geben Aufschluss über den verwendeten DKIM-Selektor und die signierende Domain. Sobald ein Angreifer den Selektor kennt, kann er den öffentlichen Schlüssel abfragen und überprüfen, ob die DKIM-Signatur aktiv und konsistent ist.

Domains, die uneinheitlich signiert sind – d. h., bei denen sich manche Absender mit DKIM authentifizieren, andere hingegen nicht –, sind besonders attraktiv. Für die DMARC-Übereinstimmung muss mindestens eine der beiden Methoden (SPF oder DKIM) mit Identifikator-Übereinstimmung erfolgreich sein. Eine Domain, bei der ein Teil des Datenverkehrs authentifiziert wird und ein anderer Teil nicht, ist genau die Art von Umgebung, in der gefälschter Datenverkehr mit legitimen Fehlern vermischt wird.

Phase 2: Erfassung der Subdomain- und Domain-Präsenz

Domänenauthentifizierungsprüfungen zielen auf die primäre Domäne ab. Die meisten Unternehmen verfügen jedoch über eine weitaus größere Domänenpräsenz, als aktiv überwacht wird – und Phishing-Aufklärungsmaßnahmen zielen genau darauf ab, diese aufzuspüren.

Aufzählung der Einträge im Zertifikat-Transparenz-Protokoll

Jedes für eine Domain ausgestellte SSL/TLS-Zertifikat wird öffentlich in Certificate-Transparency-Protokollen (CT-Protokollen) erfasst, die für jedermann zugänglich und abfragbar sind. Mit Tools wie crt.sh kann ein Angreifer innerhalb von Sekunden den vollständigen Zertifikatsverlauf einer Domain abfragen und so jede Subdomain aufdecken, für die jemals ein Zertifikat ausgestellt wurde – einschließlich Entwicklungsumgebungen, Staging-Servern, regionalen Microsites und längst vergessenen Kampagnenseiten.

Dies ist eine der leistungsstärksten passiven Aufklärungsmethoden, da sie umfassend ist und historische Daten berücksichtigt. Subdomains, die inzwischen stillgelegt wurden, für die jedoch einst Zertifikate ausgestellt wurden, tauchen weiterhin in den CT-Protokollen auf. Ein Angreifer kann sich so ein vollständiges historisches Bild vom Subdomain-Fußabdruck einer Organisation verschaffen, ohne auch nur ein einziges Paket an das Ziel zu senden.

Subdomain-Aufzählung

Neben CT-Protokollen können passive DNS-Datenbanken und Brute-Force-Tools für Subdomains weitere Subdomains aufdecken. Das Subdomain-Hijacking – bei dem der DNS-Eintrag einer vergessenen Subdomain immer noch auf einen stillgelegten Dienst verweist, den ein Angreifer für sich beanspruchen kann – ist ein dokumentiertes Angriffsmuster, nach dem bei der Aufklärung gezielt gesucht wird. Eine Subdomain mit einem „dangling“ CNAME-Eintrag, der auf einen abgelaufenen Drittanbieter-Dienst verweist, kann übernommen und dazu genutzt werden, Phishing-E-Mails zu versenden, die den Anschein erwecken, als stammten sie von der legitimen Organisation.

Subdomains sind für Phishing besonders attraktiv, da sie häufig außerhalb des von Sicherheitsteams konfigurierten Authentifizierungsbereichs liegen. Eine Domain, bei der die primäre Absenderdomain zwar DMARC-Maßnahmen durchsetzt, die Subdomains jedoch nicht unter das DMARC-sp-Tag fallen, macht jede Subdomain anfällig für Spoofing – unabhängig davon, was die primäre Richtlinie vorsieht.

WHOIS und Historie der Domainregistrierung

WHOIS-Einträge geben Aufschluss über Registrierungsdaten, Informationen zum Registrar und in einigen Fällen auch über die Daten des Registranten. Das Alter einer Domain ist ein Indikator, anhand dessen Angreifer einschätzen, ob eine Domain über eine ausreichend lange Versandhistorie verfügt, die das Filtern von gefälschtem Datenverkehr erschwert. Außerdem nutzen sie WHOIS, um verwandte Domains zu identifizieren, die von derselben Organisation registriert wurden – beispielsweise Akquisitionsdomains, Registrierungen zum Markenschutz oder regionale Varianten –, die möglicherweise nicht aktiv überwacht werden.

Phase 3: Analyse der Absenderumgebung

Die Absenderumgebung einer Domain – also die Gesamtheit der Dienste und Plattformen, die berechtigt sind, E-Mails in ihrem Namen zu versenden – ist über DMARC-Aggregatberichte einsehbar und lässt sich teilweise aus öffentlich einsehbaren E-Mail-Headern ableiten. Für Phishing-Betreiber stellt eine komplexe oder schlecht dokumentierte Absenderumgebung eine Schwachstelle dar, die ausgenutzt werden kann.

Komplexität bei Absendern von Drittanbietern

Moderne Unternehmen versenden E-Mails in der Regel aus vielen verschiedenen Quellen: einem primären Mailserver, einer Marketingplattform, einem CRM-System wie HubSpot, einem Ticketingsystem, einem Abrechnungsanbieter oder einem Kalendertool. Jede dieser Quellen erfordert eine ausdrückliche Autorisierung im SPF-Eintrag und in der DKIM-Konfiguration. Jede erzeugt Einträge in den DMARC-Gesamtberichten. Bei großen Unternehmen können diese Berichte täglich Tausende von Zeilen aus Dutzenden von Absenderquellen umfassen.

Dieses hohe Datenaufkommen erzeugt Rauschen, das Phishing-Betreiber gezielt ausnutzen. Wenn die aggregierten DMARC-Daten eines Unternehmens vierzig autorisierte Absender ausweisen, sinkt das Signal-Rausch-Verhältnis für die Erkennung einer anomalen Quelle erheblich. Spoofing-Verkehr mit geringem Volumen – einige hundert Nachrichten pro Tag von einer böswilligen Quelle – kann sich in den Berichtsdaten einer stark frequentierten Unternehmens-Versandumgebung untermischen, ohne automatisierte Warnmeldungen auszulösen.

Sichtbare E-Mail-Header

Legitime E-Mails, die von der Zieldomäne versendet werden, sind eine der nützlichsten Quellen für Informationen über die Absenderumgebung, die einem Phishing-Angreifer zur Verfügung stehen. Marketing-Newsletter, Abonnements für Pressemitteilungen, Bestätigungen von Bewerbungen und Kundenbenachrichtigungen enthalten alle E-Mail-Header, die Aufschluss über die verwendete Versandinfrastruktur geben: den Mail Transfer Agent, den DKIM-Selektor und die Signaturdomäne, die Return-Path-Domäne sowie die vom empfangenden Server protokollierten Authentifizierungsergebnisse.

Ein Angreifer, der sich in die Marketingliste einer Zielorganisation einträgt, erhält kostenlos und ohne erkennbare Aktivitäten einen detaillierten Einblick in deren Authentifizierungskonfiguration. Diese Erkenntnisse fließen direkt in die Gestaltung der Phishing-Kampagne ein – welche Absenderadresse nachgebildet werden soll, welche Header gefälscht werden müssen und welche Authentifizierungslücken die Nachricht wahrscheinlich durchlassen.

Phase 4: Validierung der Zielgruppe vor dem Markteintritt

Sobald eine Domain analysiert wurde, führen Phishing-Betreiber vor dem Start einer Kampagne zusätzliche Überprüfungen durch, um den Erfolg zu maximieren und die Verschwendung von Infrastruktur zu minimieren.

E-Mail-Adressüberprüfung

Die Betreiber überprüfen, ob die Ziel-E-Mail-Adressen aktiv sind und zu Personen mit hohem Wert gehören – Führungskräfte, Mitglieder des Finanzteams, alle, die Zugriff auf sensible Systeme oder die Berechtigung zur Genehmigung von Zahlungen haben. Der Versand an ungültige Adressen führt zu hohen Bounce-Raten, was eine Spam-Bewertung der Versandinfrastruktur auslösen und das Erkennungsrisiko erhöhen kann, noch bevor die Kampagne ihre eigentlichen Ziele erreicht.

E-Mail-Adressen werden häufig von LinkedIn, Unternehmenswebsites, Datenlecks und früheren Kampagnen gesammelt. Tools wie „theHarvester“ automatisieren diese Erfassung für eine Ziel-Domain und extrahieren die E-Mail-Adressen von Mitarbeitern aus Suchmaschinenergebnissen, sozialen Medien und öffentlichen Verzeichnissen.

Aufwärmphase der Sendeinfrastruktur

Die meisten großen E-Mail-Anbieter werten den Versandverlauf als Vertrauensindikator. Eine neu registrierte Domain ohne Versandverlauf wird mit weitaus höherer Wahrscheinlichkeit von reputationsbasierten Filtern als verdächtig eingestuft als eine etablierte Domain. Aus diesem Grund registrieren Phishing-Betreiber häufig bereits Wochen oder Monate vor einer Kampagne ähnliche Domains und führen zunächst Versandaktivitäten in geringem Umfang durch, um eine Basisreputation aufzubauen, bevor sie den Umfang ihrer Aktivitäten steigern.

Die Aufwärmphase ist darauf ausgelegt, dieselben Reputationsprüfungen zu bestehen, die legitime Absender beim Onboarding neuer Domains durchlaufen. Von außen betrachtet wirkt die Infrastruktur wie ein neues Unternehmen oder ein neuer Dienst, der gerade mit dem Versand von E-Mails beginnt. Bis zum Start der Kampagne hat die Domain die ersten Reputationsfilter erfolgreich durchlaufen.

Konstruktion von Homoglyphen und ähnlich aussehenden Domänen

Laut dem Domain-Sicherheitsbericht von CSC befinden sich 88 % der Homoglyphen-Domains, die auf große Marken abzielen, im Besitz Dritter. Bei diesen Domains werden fast identische Zeichen ersetzt oder eingefügt, um einer schnellen visuellen Überprüfung zu entgehen – beispielsweise „arnazon.com“ anstelle von „amazon.com“ oder Unicode-Zeichen, die in den meisten E-Mail-Clients identisch wie lateinische Buchstaben dargestellt werden.

Lookalike-Domains werden auch zur Nachahmung von Anzeigenamen erstellt – dabei wird im „From“-Header ein vertrauenswürdiger Name angezeigt, während die tatsächliche Absenderdomain eine Lookalike-Domain ist. Diese Technik umgeht DMARC vollständig, da DMARC lediglich die Domain im „From“-Header anhand von SPF und DKIM authentifiziert, nicht jedoch den Anzeigenamen. Dies ist ein Grund dafür, warum die Durchsetzung von DMARC allein – obwohl unverzichtbar – nicht die einzige erforderliche Schutzebene darstellt.

Phishing-Aufklärung in einen defensiven Vorteil verwandeln

Jedes Signal, nach dem Phishing-Aufklärer suchen, ist ein Signal, das Ihr Sicherheitsteam mit denselben öffentlich verfügbaren Tools überprüfen und überwachen kann. Das Ziel besteht darin, sicherzustellen, dass ein Angreifer, der Ihre Domain auskundschaftet, nichts findet, was einen Angriff lohnen würde – vollständige Authentifizierungsdurchsetzung, eine dokumentierte Absenderumgebung und keine verwaisten Subdomains.

Überprüfung der DMARC-Richtlinie für alle Domains und Subdomains

Rufen Sie zunächst die DMARC-Einträge für Ihre Hauptdomain und alle Subdomains ab, die Sie identifizieren können. Jede Domain, die noch auf „p=none“ steht und bereits seit mehr als ein paar Monaten in Betrieb ist, hat Priorität. Der Übergang von „p=none“ zu „p=reject“ muss nicht über Nacht erfolgen, sollte aber nach einem festgelegten Zeitplan erfolgen – die Domain darf nicht auf unbestimmte Zeit im Überwachungsmodus verbleiben.

Konfigurieren Sie das DMARC-sp-Tag explizit so, dass die Durchsetzung auf Subdomains ausgeweitet wird. Inaktive Subdomains ohne legitimen Versandverkehr sollten sofort auf „p=reject“ gesetzt werden. Es gibt keinen Grund, die Durchsetzung für eine Domain, die nichts versendet, auf „none“ zu belassen.

Überprüfen und optimieren Sie Ihren SPF-Eintrag

Führen Sie eine SPF-Abfrage für Ihre Domain durch und vergewissern Sie sich, dass jeder aufgeführte Absender noch aktiv genutzt und korrekt autorisiert ist. Ändern Sie alle „~all“-Qualifizierer in „-all“, sofern Ihre Versandumgebung stabil und vollständig dokumentiert ist. Wenn Ihr Eintrag sich dem Limit von zehn DNS-Abfragen nähert oder dieses bereits überschreitet, beheben Sie das Problem durch SPF-Flattening – ein SPF-Eintrag, der das Limit überschreitet, schlägt vollständig fehl, was für die Zustellbarkeit schlimmer ist als gar kein Eintrag und zudem eine Fehlkonfiguration darstellt, die Angreifer erkennen können.

Erfassen und überwachen Sie Ihre gesamte Absenderumgebung

Nutzen Sie die DMARC-Gesamtberichte, um eine vollständige Übersicht über alle Absender zu erstellen, die E-Mails versenden, die angeblich von Ihrer Domain stammen. Jeder in den Berichten aufgeführte Absender, der nicht auf Ihrer Liste autorisierter Absender steht, ist entweder ein falsch konfigurierter legitimer Dienst oder ein nicht autorisierter Absender. Beide Fälle müssen behoben werden.

In den meisten Unternehmen werden kontinuierlich neue SaaS-Tools und -Integrationen eingeführt. Das bedeutet, dass die Absenderumgebung nicht statisch ist. Eine Bestandsaufnahme, die vor drei Monaten noch korrekt war, kann heute bereits veraltet sein. Betrachten Sie die Erfassung der Absenderumgebung als wiederkehrenden Prozess und nicht als einmalige Maßnahme.

Erstellen Sie eine Auflistung Ihrer eigenen Subdomain-Präsenz

Nutzen Sie crt.sh und passive DNS-Tools, um sich ein Bild von der Präsenz Ihrer Domain zu machen, wie es auch ein Angreifer tun würde. Alles, was Sie finden, das nicht überwacht oder nicht authentifiziert ist oder einen „dangling“ DNS-Eintrag aufweist, sollte unverzüglich behoben werden. Bei Lookalike- und Homoglyphen-Domains können Tools zum Schutz vor Domain-Spoofing und zur Markenüberwachung diese aufdecken, bevor sie in einer aktiven Kampagne genutzt werden. Bei Ihren eigenen Domains lohnt es sich, die versteckten Sicherheitsrisiken mehrerer Domains und Subdomains als Ausgangspunkt für ein umfassendes Domain-Audit zu überprüfen.

Was Angreifer herausfinden, wenn sie Ihre Domain im Rahmen von Phishing-Aufklärungsmaßnahmen untersuchen

Der gesamte oben beschriebene Prozess der Phishing-Erkundung – Überprüfung der Authentifizierungssituation, Erfassung der Subdomains, Analyse der Absenderumgebung, Validierung der Ziele – dauert bei einem erfahrenen Angreifer mit kostenlosen Tools weniger als eine Stunde. Ein DMARC-Checker, eine SPF-Abfrage, crt.sh und eine WHOIS-Abfrage reichen aus, um festzustellen, ob Ihre Domain ein lohnendes Angriffsziel ist.

Am schwierigsten anzugehen sind jene Organisationen, bei denen die Erkundung keine verwertbaren Ergebnisse liefert: eine DMARC-Richtlinie mit dem Wert „p=reject“ und Abdeckung aller Subdomains, ein einwandfreier SPF-Eintrag, der mit „-all“ endet, dokumentierte DKIM-Signatur für alle Absenderquellen sowie keine verwaisten Subdomains mit offenen Authentifizierungslücken. Wenn ein Angreifer bei seiner Erkundung auf eine Domain stößt, die diese Türen verschlossen hat, sucht er sich ein anderes Ziel. Das ist das Ziel.

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• So funktioniert „Email Spoofing-as-a-Service“ und wie man es verhindern kann – 24. Juni 2026
• Phishing-Aufklärung: Wie Angreifer anfällige Domains identifizieren und ins Visier nehmen – 24. Juni 2026
• So bauen Sie ein leistungsstarkes Cybersicherheitsteam für Ihr Unternehmen auf – 23. Juni 2026