{"id":15430,"date":"2026-01-08T14:16:18","date_gmt":"2026-01-08T14:16:18","guid":{"rendered":"https:\/\/newestek.com\/?p=15430"},"modified":"2026-01-08T14:16:18","modified_gmt":"2026-01-08T14:16:18","slug":"phishing-angreifer-setzen-vermehrt-auf-e-mail-routing-lucken","status":"publish","type":"post","link":"https:\/\/newestek.com\/?p=15430","title":{"rendered":"Phishing-Angreifer setzen vermehrt auf E-Mail-Routing-L\u00fccken"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
<\/div>\n<\/section>\n
\n
Angreifer missbrauchen falsch konfigurierte Richtlinien, um Phishing-E-Mails wie interne E-Mails aussehen zu lassen, Filter zu umgehen und Anmeldedaten zu stehlen.<\/figcaption><\/figure>\n

batjaket \u2013 shutterstock.com<\/p>\n<\/div>\n

Das Threat Intelligence Team von Microsoft hat k\u00fcrzlich festgestellt, dass Angreifer zunehmend komplexe E-Mail-Weiterleitungen und falsch konfigurierte Domain-Spoofing-Schutzma\u00dfnahmen ausnutzen. Dabei lassen sie ihre Phishing-Nachrichten so aussehen, als w\u00fcrden sie von den angegriffenen Organisationen selbst stammen.<\/p>\n

In den Angriffskampagnen werden Konfigurationsl\u00fccken missbraucht. Das gilt insbesondere f\u00fcr solche bei MX-DNS-Eintr\u00e4gen (Mail Exchanger), die nicht direkt auf Microsoft 365 verweisen und in denen die Richtlinien f\u00fcr Domain-based Message Authentication, Reporting & Conformance (DMARC) und Sender Policy Framework (SPF) zu lax oder falsch konfiguriert sind.<\/p>\n

\u201eAngreifer haben diesen Vektor genutzt, um eine Vielzahl von Phishing-Nachrichten im Zusammenhang mit verschiedenen Phishing-as-a-Service-Plattformen (PhaaS) wie Tycoon 2FA zu versenden\u201c, erkl\u00e4rt Microsoft in einem Blogbeitrag<\/a>.<\/p>\n

Der Technikriese weist darauf hin, dass dieser Angriffsvektor zwar nicht neu ist, seine Nutzung jedoch seit Mitte 2025 deutlich zugenommen hat. Dabei reichen die Phishing-K\u00f6der von Passwort-Zur\u00fccksetzungen bis hin zu freigegebenen Dokumenten.<\/p>\n

\u201eInternes\u201c Routing und schwache Richtlinien<\/h2>\n

Der Fehler liegt darin, wie empfangende Mailserver eingehende Nachrichten interpretieren. Wenn MX-Eintr\u00e4ge zu komplexen Mail-pPfaden f\u00fchren, zum Beispiel zu lokalen Systemen oder Microsoft 365 vorgeschalteten Relay-Servern von Drittanbietern , werden standardm\u00e4\u00dfige Spoofing-Schutzpr\u00fcfungen wie SPF Hard-Fail und strenge DMARC-Durchsetzung m\u00f6glicherweise nicht korrekt angewendet.<\/p>\n

In diesen F\u00e4llen kann eine Phishing-E-Mail mit der eigenen Adresse des Empf\u00e4ngers sowohl im \u201eAn\u201d- als auch im \u201eVon\u201d-Feld ankommen, eine gef\u00e4lschte Nachricht, die auf den ersten Blick wie eine interne E-Mail erscheint. In einigen F\u00e4llen \u00e4ndern Angreifer zus\u00e4tzlich den Absendernamen, um die Nachricht \u00fcberzeugender erscheinen zu lassen, w\u00e4hrend das \u201eVon\u201d-Feld auf eine g\u00fcltige interne E-Mail-Adresse gesetzt wird.<\/p>\n

In Kombination mit laxen oder fehlenden DMARC- und SPF-Richtlinien k\u00f6nnen diese Nachrichten Spam-Filter umgehen und direkt im Posteingang der Benutzer landen.<\/p>\n

\u201ePhishing-Nachrichten, die \u00fcber diesen Vektor versendet werden, k\u00f6nnen effektiver sein, da sie wie intern versendete Nachrichten erscheinen\u201c, betont Microsoft in seinem Beitrag. \u201eEine erfolgreiche Kompromittierung von Anmeldedaten durch Phishing-Angriffe kann zu Datendiebstahl oder Business Email Compromise (BEC)-Angriffen <\/a>auf das betroffene Unternehmen oder dessen Partner f\u00fchren und umfangreiche Abhilfema\u00dfnahmen erforderlich machen und\/oder im Falle von Finanzbetrug zu finanziellen Verlusten f\u00fchren.\u201c<\/p>\n

\u00dcber die Erfassung von Anmeldedaten hinaus kann die PhaaS-Infrastruktur AiTM-Angriffe (Adversary-in-the-Middle) erm\u00f6glichen, bei denen Authentifizierungsinformationen in Echtzeit weitergeleitet werden und sogar Multi-Faktor-Authentifizierungsma\u00dfnahmen umgangen werden k\u00f6nnen.<\/p>\n

Konfigurationen zur Absicherung k\u00f6nnen helfen<\/h2>\n

Microsoft betont, dass eine korrekte Konfiguration von E-Mail-Authentifizierungsmechanismen die wirksamste Verteidigung gegen diesen Spoofing-Vektor sei. Unternehmen wird empfohlen, strenge DMARC-Reject-Richtlinien einzuf\u00fchren und SPF-Hard-Fails durchzusetzen, damit nicht authentifizierte E-Mails, die angeblich von ihren Dom\u00e4nen stammen, abgelehnt oder sicher unter Quarant\u00e4ne gestellt werden.<\/p>\n

Dar\u00fcber hinaus wird empfohlen, alle Konnektoren von Drittanbietern, wie Spamfilter, Archivierungsdienste oder \u00e4ltere Mail-Relays, korrekt einzurichten. Damit k\u00f6nnen Spoof-Pr\u00fcfungen konsistent berechnet und durchgesetzt werden.<\/p>\n

Mandanten mit MX-Eintr\u00e4gen, die direkt auf Microsoft 365 verweisen, sind von diesem Problem nicht betroffen. Die nativen Spoof-Erkennungs- und Filtermechanismen von Microsoft verhindern solche Angriffe und werden standardm\u00e4\u00dfig angewendet. F\u00fcr komplexere E-Mail-Infrastrukturen hat Microsoft spezifische Richtlinien zu E-Mail-Regeln und Authentifizierungsverfahren<\/a> bereitgestellt, um das Risiko zu verringern und gef\u00e4lschte E-Mails zu blockieren, bevor sie \u00fcberhaupt den Posteingang der Endbenutzer erreichen.<\/p>\n

\u00dcber die Korrekturen zur E-Mail-Authentifizierung hinaus fordert Microsoft Unternehmen dazu auf, ihre Identit\u00e4ts-Schutzma\u00dfnahmen gegen AiTM-Phishing zu verst\u00e4rken, einer Methode, bei der Passw\u00f6rter durch die \u00dcbernahme authentifizierter Sitzungen umgangen werden. Zu den empfohlenen Kontrollma\u00dfnahmen geh\u00f6ren Phishing-resistente MFA wie FIDO2-Sicherheitsschl\u00fcssel, die Durchsetzung bedingter Zugriffsrechte und Schutzma\u00dfnahmen wie MFA-Nummernabgleich, um die Auswirkungen gestohlener Token zu begrenzen. (jm)<\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Angreifer missbrauchen falsch konfigurierte Richtlinien, um Phishing-E-Mails wie interne E-Mails aussehen zu lassen, Filter zu umgehen und Anmeldedaten zu stehlen. batjaket \u2013 shutterstock.com Das Threat Intelligence Team von Microsoft hat k\u00fcrzlich festgestellt, dass Angreifer zunehmend komplexe E-Mail-Weiterleitungen und falsch konfigurierte Domain-Spoofing-Schutzma\u00dfnahmen ausnutzen. Dabei lassen sie ihre Phishing-Nachrichten so aussehen, als w\u00fcrden sie von den angegriffenen Organisationen selbst stammen. In den Angriffskampagnen werden Konfigurationsl\u00fccken missbraucht. Das… <\/p>\n

Read More<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[1],"tags":[],"class_list":["post-15430","post","type-post","status-publish","format-standard","hentry","category-uncategorized","is-cat-link-borders-light is-cat-link-rounded"],"_links":{"self":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15430","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=15430"}],"version-history":[{"count":0,"href":"https:\/\/newestek.com\/index.php?rest_route=\/wp\/v2\/posts\/15430\/revisions"}],"wp:attachment":[{"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=15430"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=15430"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/newestek.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=15430"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}