E-Mail-Spoofing
E-Mail-Spoofing bezeichnet das Vortäuschen (Spoofing) einer fremden Identität bei E-Mail. Es handelt sich um einen informationstechnischen Angriff auf die Authentizität einer E-Mail. Spoofing wird für Angriffe wie Phishing oder zum Versand von Spam verwendet.
Überblick
BearbeitenIn dem 1982 spezifizierten Simple Mail Transfer Protocol (SMTP) war keine Authentizitätsprüfung der Absenderadresse vorgesehen. Jeder Teilnehmer im Internet konnte E-Mails an einen Mail Transfer Agent mit einer beliebigen Absenderadresse einliefern. Der Absender kann auf einfachem Weg eine E-Mail-Adresse angeben, die entweder nicht ihm gehört oder nicht existiert. Die Fälschung ist für den Empfänger augenscheinlich nicht erkennbar.[1]
Ein Spoofing der E-Mail-Adresse ist beispielsweise über offene Mail-Relays möglich, die jegliche E-Mails weiterleiten ohne dabei den Absender zu authentifizieren.
Ein Indiz auf eine Fälschung stellen die IP-Adressen und zugehörigen Hostnamen der am Transport beteiligten Mailserver dar. Diese kann man aus den Received Header-Zeilen ablesen, sofern sie nicht ebenfalls gefälscht sind. Enthält eine E-Mail zum Beispiel die Absenderadresse Vorname.Nachname@example.com, wurde aber nicht über einen Mailserver von example.com, sondern über einen unbekannten Mailserver eingeliefert, so könnte die Absenderadresse möglicherweise gefälscht sein.
Dies ist allerdings kein definitives Spoofing-Kriterium, da es auch legitime Gründe geben kann, eine E-Mail über einen anderen Mailserver zu verschicken. Der Absender könnte sich beispielsweise in einem Netz befinden, in dem der Anbieter dem Kunden verbietet, Verbindungen zu Mailservern im Internet aufzubauen und stattdessen den E-Mail-Versand über den eigenen Mailserver verlangt. Dabei handelt es sich um eine Schutzmaßnahme gegen offene Mail-Relays im eigenen Netz. Es hängt von der Konfiguration des Mailservers ab, ob dieser nach erfolgreicher Authentifizierung des Absenders die erlaubten Absenderadressen einschränkt.
Spoofing-Methoden
BearbeitenE-Mail-Spoofing ist generell über unterschiedliche Wege möglich. Der Vorgang kann mit Skript- oder Programmiersprachen, die SMTP unterstützen, das Spoofing auf einfache Weise automatisieren. In der Skriptsprache PHP ist das zum Beispiel durch den Aufruf der Funktion mail()
und Übergabe eines From-Headers möglich:
mail("ziel@provider.tld", "Grüße", "Grüße von Carla!", "From: carla@example.com", "-f carla@example.com");
Die Absenderadresse kann beliebig gewählt werden, sofern das zum Versand verwendete Mailsystem die Absenderadresse nicht einschränkt.
Schutzmaßnahmen
BearbeitenEine einfache Schutzmaßnahme besteht darin zu überprüfen, ob der in der Absenderadresse angegebene Domainname überhaupt existiert. Damit werden zumindest gefälschte Adressen von nicht existenten Absendern verhindert.
Eine gängige Schutzmaßnahme ist die Abfrage der einliefernden IP-Adressen von Mailservern gegen eine oder mehrere DNS-basierte schwarze Listen. In den schwarzen Listen werden beispielsweise offene Relays, dynamische IP-Adressbereiche oder bekannte Spamversender gelistet.
Weitere Schutzmaßnahmen sind Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und DMARC. Diese richtet der Domaininhaber für seinen ausgehenden E-Mail-Verkehr ein und ermöglicht damit dem Empfänger, die Authentizität des E-Mail-Transports zu prüfen.
Eine Ende-zu-Ende-Authentizität zwischen Absender und Empfänger, optional mit Ende-zu-Ende-Verschlüsselung, bieten die Verfahren OpenPGP und S/MIME.[1]