Phishing im Namen Ihrer Domain: Wie sich fremde Absender als Sie ausgeben können

Kürzlich wurden mehrere Geschäftspartner eines unserer Kunden von einer täuschend echt wirkenden E-Mail kontaktiert. Der Inhalt: Eine kurze Nachricht mit Verweis auf ein angeblich angehängtes PDF – professionell formatiert, mit vollständiger Signatur, Firmenlogo und sogar Impressumsdaten.

Was auf den ersten Blick wie eine legitime Nachricht aussieht, entpuppte sich bei näherer Analyse als gezielte Phishing-Mail – mit dem Ziel, Empfänger zur Öffnung eines schädlichen Dokuments oder Links zu bewegen.

Doch wie konnte eine solche Mail im Namen des Absenders max.mustermann@absender-domain.at verschickt werden, obwohl:

• das betroffene Postfach nicht kompromittiert war,
• die Multi-Faktor-Authentifizierung (MFA) in Microsoft 365 aktiv war,
• und die Mail nicht im „Gesendet“-Ordner auftauchte?

Analyse: Was war passiert?

Beim Prüfen der vollständigen E-Mail-Header stellten wir fest:

• Die Mail wurde tatsächlich über Microsoft 365 versendet – mit gültigen SPF, DKIM und DMARC-Prüfungen.
• Der Absender war scheinbar legitim (max.mustermann@absender-domain.at).
• Es gab jedoch keine Spuren im Originalkonto – die Mail stammte nicht aus dem eigenen Tenant.

Ein fremder Microsoft 365-Tenant wurde verwendet, um die Domain absender-domain.at zu missbrauchen. Möglich wurde das, weil die DNS-Schutzmechanismen der Domain nicht restriktiv genug konfiguriert waren.

Warum das gefährlich ist

Ohne vollständige Schutzmechanismen in der DNS-Zone einer Domain können Dritte E-Mails im Namen Ihrer Domain verschicken – sogar über legitime Dienste wie Microsoft 365 oder Google Workspace.

Im Fall von max.mustermann@absender-domain.at war dies möglich, weil:

• SPF zwar korrekt war, aber nicht ausreichte.
• DKIM nur über die Microsoft-Subdomain aktiv war, nicht für die eigene Domain.
• DMARC lediglich im „Monitoring-Modus“ (p=none) lief – also keinen Schutz bot.

Die Lösung: SPF, DKIM und DMARC richtig einrichten

Um sich effektiv gegen Spoofing, Phishing und Identitätsmissbrauch zu schützen, sind folgende DNS-Technologien Pflicht:

SPF (Sender Policy Framework)

Definiert, welche Mailserver im Namen Ihrer Domain senden dürfen.

v=spf1 include:spf.protection.outlook.com -all

DKIM (DomainKeys Identified Mail)

Fügt jeder ausgehenden E-Mail eine digitale Signatur hinzu, die vom Empfänger geprüft werden kann. Wichtig: Eigenen DKIM-Key für Ihre Domain aktivieren, nicht nur den von z.B. Microsoft.

DMARC (Domain-based Message Authentication, Reporting and Conformance)

Gibt an, was Empfänger tun sollen, wenn SPF oder DKIM fehlschlagen:

• p=none → nur überwachen
• p=quarantine → als Spam markieren
• p=reject → abweisen (empfohlen)

v=DMARC1; p=reject; rua=mailto:dmarc@ihredomain.at; sp=reject; aspf=s; adkim=s;

💡 Pro-Tipp: DMARC-Monitoring mit Postmark leicht gemacht

Wenn Sie keine eigene Infrastruktur zur Auswertung von DMARC-Berichten aufbauen möchten, können Sie z.B. Postmark (https://dmarc.postmarkapp.com/) als praktischen Dienst nutzen. Postmark empfängt automatisch Ihre täglichen DMARC-Reports und bereitet sie visuell und verständlich inkl. SPF/DKIM-Ergebnissen und IP-Analysen auf.

Fazit: Schützen Sie Ihre Domain – nicht nur Ihr Postfach

Viele Unternehmen glauben, dass mit MFA und starken Passwörtern alles abgesichert sei. Doch der Schutz beginnt eine Ebene tiefer – bei Ihrer Domainkonfiguration. Nur mit korrekt eingerichteten SPF-, DKIM- und DMARC-Einträgen ist sichergestellt, dass ausschließlich autorisierte Systeme im Namen Ihres Unternehmens kommunizieren dürfen.

Die gute Nachricht: Einmal korrekt eingerichtet, sind diese Maßnahmen sehr wartungsarm – und erhöhen neben der Sicherheit auch die Zustellbarkeit Ihrer echten E-Mails.

Sie brauchen Unterstützung?

Gerne analysieren wir Ihre Domain-Konfiguration oder übernehmen die vollständige Absicherung für Sie – inklusive Einrichtung, Aktivierung, und Monitoring.

👉 Kontaktieren Sie uns, bevor es jemand anderes in Ihrem Namen tut ;)