Skip to main content
Sicherheit14. April 2026·8 Min. Lesezeit

Was ist E-Mail-Spoofing? Wie es funktioniert und wie man sich schützt (2026)

E-Mail-Spoofing erlaubt Angreifern, Nachrichten zu senden, die scheinbar von jedem kommen – Ihrer Bank, Ihrem Chef oder Ihrem besten Freund. Hier erfahren Sie genau, wie es funktioniert, welche vier Hauptvarianten Angreifer nutzen und wie moderne Authentifizierungsstandards (SPF, DKIM, DMARC) die Lücken schließen.

🇬🇧 Read in English

Was ist E-Mail-Spoofing?

E-Mail-Spoofing bezeichnet die Fälschung der Absenderadresse einer E-Mail, sodass die Nachricht so erscheint, als stamme sie von einer Quelle, von der sie tatsächlich nicht kommt. Das zugrunde liegende E-Mail-Protokoll – SMTP (Simple Mail Transfer Protocol) – wurde in den 1970er Jahren ohne eingebaute Absenderauthentifizierung entwickelt. Jeder Mail-Server kann beliebige From:-Adressen angeben, und standardmäßig haben empfangende Server keine Möglichkeit, diese Angabe zu überprüfen.

Dies ist kein längst behobener Fehler, sondern eine grundlegende Eigenschaft des Protokolls, auf das Milliarden von E-Mails noch immer angewiesen sind. Obwohl Authentifizierungsstandards (SPF, DKIM, DMARC) heute existieren, ist ihre Verbreitung uneinheitlich. Die Anti-Phishing Working Group (APWG) berichtete im ersten Quartal 2026, dass 31 % der beobachteten Phishing-Angriffe irgendeine Form der Absenderidentitätsfälschung nutzten, und Display-Name-Spoofing betraf täglich über 3,4 Milliarden E-Mails.

Von: sicherheit@sparkasse.de
Reply-To: support@sparkasse-helpdesk.ru
Betreff: Ihr Konto wurde gesperrt

Was Ihr E-Mail-Client anzeigt – und was die E-Mail tatsächlich enthält

Die vier Arten von E-Mail-Spoofing

Display-Name-Spoofing

Trivial

Der Angreifer setzt den Anzeigenamen auf etwas Vertrauenswürdiges („PayPal Support" oder „CEO Max Mustermann"), nutzt aber eine völlig fremde Absenderadresse. Die echte Adresse ist oft nur sichtbar, wenn man auf den Absenderbereich klickt – die meisten Nutzer tun das nie.

Anzeigename: „Deutsche Bank" – echte Adresse: deutsche-bank-alert@suspicious-domain.ru

Lookalike-Domain-Spoofing

Einfach

Der Angreifer registriert eine Domain, die der echten zum Verwechseln ähnelt: paypa1.com, amaz0n.de, rn-ikea.com (rn sieht wie m aus). Technisch ist die Adresse echt, psychologisch täuscht sie.

support@0racle.com statt support@oracle.com

Direkte Header-Fälschung

Mittel

Der Angreifer kontrolliert seinen eigenen Mail-Server und setzt das From:-Header-Feld manuell auf eine beliebige Adresse – zum Beispiel auf security@paypal.com. Ohne DMARC akzeptiert der Empfänger-Server die Nachricht.

From: security@paypal.com – gesendet von 185.220.xxx.xxx (Tor-Exit-Node)

Reply-To-Angriff

Einfach

Die From:-Adresse ist legitim oder plausibel, aber das Reply-To:-Feld zeigt auf eine Angreifer-Adresse. Wenn das Opfer antwortet, geht die Antwort direkt an den Angreifer.

From: hr@firma.de – Reply-To: hr-urgent@gmail.com

Warum es immer noch funktioniert

SMTP wurde in einer Zeit entworfen, in der das Internet hauptsächlich von Universitäten und staatlichen Stellen genutzt wurde, die sich gegenseitig vertrauten. Authentifizierung war kein Designziel. Das Protokoll wurde im RFC 821 (1982) standardisiert und hat sich seitdem in seinen Grundlagen kaum verändert – trotz der Tatsache, dass es heute täglich von Milliarden böswilliger Akteure missbraucht wird.

Selbst mit modernen Abwehrmaßnahmen (SPF, DKIM, DMARC) bleibt Spoofing aus mehreren Gründen ein Problem: Viele Domains haben noch keine DMARC-Richtlinien mit Enforcement veröffentlicht. Forwarding bricht SPF. Display-Name-Spoofing umgeht alle Header-Authentifizierungen. Und kompromittierte legitime Konten können E-Mails senden, die alle Prüfungen bestehen.

Wichtige Statistik: Laut dem Verizon Data Breach Investigations Report 2025 nutzte 74 % aller Phishing-Angriffe eine Form von Identitätstäuschung – davon der größte Teil durch Display-Name-Spoofing, das technisch korrekte E-Mail-Adressen nutzt.

Wie SPF, DKIM und DMARC schützen

SPFSender Policy Framework

Was es tut: Ein DNS-TXT-Eintrag, der IP-Adressen auflistet, die für eine Domain E-Mails senden dürfen.

Grenzen: Prüft nur den Envelope-Absender (MAIL FROM), nicht das sichtbare From:-Header. Funktioniert nicht korrekt, wenn E-Mails weitergeleitet werden.

DKIMDomainKeys Identified Mail

Was es tut: Eine kryptografische Signatur im E-Mail-Header, die beweist, dass die Nachricht von einem autorisierten Server gesendet und nicht verändert wurde.

Grenzen: Schützt nicht vor Display-Name-Spoofing. Signaturen können von Zwischensystemen entfernt oder neu signiert werden.

DMARCDomain-based Message Authentication, Reporting and Conformance

Was es tut: Baut auf SPF und DKIM auf, verlangt, dass mindestens eines zutrifft, und richtet das Ergebnis auf die sichtbare From:-Domain aus. Domain-Inhaber können festlegen, was mit fehlschlagenden Nachrichten passiert (Quarantäne oder Ablehnung).

Grenzen: Nur wirksam, wenn die Absender-Domain eine DMARC-Richtlinie mit p=quarantine oder p=reject veröffentlicht hat. Viele Domains nutzen noch p=none (nur Berichte).

BIMIBrand Indicators for Message Identification

Was es tut: Erlaubt Organisationen, ihr verifiziertes Logo neben authentifizierten E-Mails in unterstützenden E-Mail-Clients (Gmail, Yahoo, Apple Mail) anzuzeigen.

Grenzen: Erfordert DMARC auf Enforcement-Ebene. Relativ neu und noch nicht universell unterstützt.

Diese drei Standards bilden zusammen eine starke Abwehr – aber nur, wenn alle drei korrekt konfiguriert sind. Ein DMARC-Eintrag mit p=none bietet keinen Schutz; er erzeugt nur Berichte. Für echten Schutz ist p=quarantine oder p=reject erforderlich.

Warnzeichen für gefälschte E-Mails

Selbst wenn Authentifizierungsstandards vorhanden sind, können manche Spoofing-Angriffe durchkommen. Achten Sie auf diese Warnsignale:

  • Der Anzeigename stimmt mit einem bekannten Unternehmen überein, aber die E-Mail-Adresse passt nicht zur Domain
  • Die E-Mail fordert zum Antworten auf – und die Reply-To-Adresse unterscheidet sich von der Absenderadresse
  • Eine bekannte Unternehmensadresse unterscheidet sich um ein Zeichen: paypa1.com, amaz0n.de, m1crosoft.com
  • Dringende Anfragen nach Zahlung, Gutscheinkarten oder Anmeldedaten, besonders mit der Aufforderung, sofort zu handeln
  • Eine unerwartete E-Mail von einem Vorgesetzten oder einer Bank, die zur Vertraulichkeit auffordert
  • Die E-Mail-Domain ist legitim, aber der Inhalt stimmt nicht mit der üblichen Kommunikation dieses Absenders überein
  • E-Mail-Header (sichtbar über „Original anzeigen" in Gmail) zeigen, dass die E-Mail von einem Server stammt, der nichts mit der angegebenen Domain zu tun hat

So prüfen Sie eine verdächtige E-Mail in Gmail

Gmail erleichtert es, E-Mail-Header zu prüfen. Öffnen Sie die verdächtige E-Mail, klicken Sie auf die drei Punkte oben rechts und wählen Sie „Original anzeigen". Achten Sie dann auf:

Authentication-Results

Suchen Sie nach spf=pass, dkim=pass und dmarc=pass. Ein oder mehrere fail-Ergebnisse sind ein starkes Warnsignal.

Received-Header

Zeigen die Mail-Server, über die die Nachricht gereist ist. Wenn der erste Server nichts mit der angegebenen Domain zu tun hat, wurde die E-Mail wahrscheinlich gefälscht.

Reply-To

Weicht das Reply-To:-Feld vom From:-Header ab? Das ist eines der ältesten und häufigsten Spoofing-Muster – die E-Mail kommt von einer seriösen Adresse, aber Antworten landen beim Angreifer.

Wie Gorganizer Spoofing-Versuche erkennt

Gorganizer analysiert Ihren Gmail-Posteingang mit über 1.000 Erkennungssignalen – einschließlich mehrerer speziell für E-Mail-Spoofing und Phishing entwickelter Module:

reply-to-differs-from-from-domain

Erkennt, wenn Reply-To und From-Domain nicht übereinstimmen – das häufigste Spoofing-Muster.

unicode-homoglyph-visible-url

Erkennt Lookalike-Domains mit visuell ähnlichen Unicode-Zeichen (rn statt m, ó statt o).

bank-secure-message-portal-phish

Erkennt gefälschte „Neue sichere Nachricht von Ihrer Bank"-E-Mails, die nicht von echten Bankdomains stammen.

cta-button-href-domain-mismatch

Erkennt wenn sichtbarer Link-Text und tatsächliche URL-Domain nicht übereinstimmen.

Diese Signale werden serverseitig ausgewertet – Ihre E-Mail-Inhalte verlassen Ihren Browser nie dauerhaft und werden nicht gespeichert.

Häufig gestellte Fragen

Was ist E-Mail-Spoofing?

E-Mail-Spoofing bezeichnet das Fälschen der Absenderadresse einer E-Mail, sodass die Nachricht so aussieht, als käme sie von einer vertrauenswürdigen Person oder Organisation, von der sie tatsächlich nicht stammt. Das sichtbare „Von:"-Feld im E-Mail-Client kann beliebig gesetzt werden – das zugrunde liegende E-Mail-Protokoll (SMTP) verfügt standardmäßig über keine eingebaute Authentifizierung.

Ist E-Mail-Spoofing illegal?

Ja, in den meisten Ländern. In Deutschland und der EU ist E-Mail-Spoofing, das zur Täuschung oder für Betrug eingesetzt wird, strafbar – sowohl nach dem Bundesdatenschutzgesetz als auch nach §263 StGB (Betrug) und EU-Cybercrime-Richtlinien. In den USA verbietet der CAN-SPAM Act irreführende Kopfzeilen und Absenderinformationen.

Können gefälschte E-Mails Spam-Filter umgehen?

Manche schon, besonders wenn die sendende Domain gültige SPF/DKIM-Einträge hat oder wenn der Angreifer nur den Anzeigenamen fälscht (nicht die eigentliche Adresse). Display-Name-Spoofing – bei dem der Name „CEO Max Mustermann" lautet, die Adresse aber max@zufaellige-domain.de ist – ist extrem verbreitet und umgeht automatisierte Filter häufig, da die Adresse selbst technisch gültig ist.

Was ist der Unterschied zwischen Spoofing und Phishing?

Spoofing bezeichnet speziell das Fälschen der Absenderidentität. Phishing ist der übergeordnete Angriff – er nutzt Spoofing (unter anderem), um den Empfänger dazu zu bringen, auf einen Link zu klicken, Zugangsdaten einzugeben oder eine schädliche Handlung vorzunehmen. Alle Phishing-Angriffe nutzen eine Form von Identitätstäuschung, aber nicht jedes Spoofing ist Phishing.

Wie schützen SPF, DKIM und DMARC vor Spoofing?

SPF (Sender Policy Framework) erlaubt einer Domain zu veröffentlichen, welche Mail-Server in ihrem Namen senden dürfen. DKIM (DomainKeys Identified Mail) fügt jeder E-Mail eine kryptografische Signatur hinzu, die beweist, dass sie nicht verändert wurde und von der angegebenen Domain stammt. DMARC (Domain-based Message Authentication, Reporting and Conformance) kombiniert SPF und DKIM und legt fest, was mit fehlschlagenden Nachrichten geschehen soll (Quarantäne oder Ablehnung). Zusammen bilden sie den primären technischen Schutz gegen Spoofing.

Posteingang auf Phishing prüfen

Gorganizer scannt Ihren Gmail-Posteingang mit 1.000+ Signalen und kennzeichnet Spoofing-Versuche, Phishing-E-Mails und andere Bedrohungen – automatisch, mit einem Klick.

Posteingang jetzt prüfen →