Donnerstag, 25. Juni 2026

Display Name Spoofing – Was steckt hinter dem Absendernamen?

Phishing-Angriffe setzen oft nicht auf gefälschte Domains oder komplexe Technik – sie missbrauchen einfach den Anzeigenamen im Absenderfeld einer E-Mail. Das nennt sich Display Name Spoofing, und es ist erschreckend einfach umzusetzen.

Was ist Display-Name-Spoofing?

Der Anzeigename im Absenderfeld («From») ist frei wählbar – z. B. Hans Muster, CEO. Die eigentliche Absenderadresse (z. B. hans.muster.ceo@betrug-mail.com) stimmt dabei nicht mit der Identität überein. Viele Mailprogramme zeigen standardmässig nur den Anzeigenamen an, die vollständige Adresse bleibt verborgen.

Typische Merkmale:

  • Der Anzeigename entspricht einer bekannten Person (z. B. CEO, Finanzleiter, IT-Administrator)
  • Die E-Mail-Adresse dahinter gehört nicht zur Organisation
  • Ziel ist meist, Empfänger zu Überweisungen, dem Teilen vertraulicher Daten oder dem Öffnen von Schadlinks zu bewegen

Wie erkennt Microsoft solche Angriffe?

Bei reinem Display-Name-Spoofing schlägt SPF/DKIM/DMARC nicht fehl – die Absenderdomain (z. B. @gmail.com) ist technisch legitim authentifiziert. Microsoft Defender for Office 365 setzt deshalb auf eine Kombination aus modernen Erkennungsmethoden:

Weiterlesen »
Eingestellt von um Keine Kommentare:
Labels: , , ,

SPF, DKIM und DMARC – Was steckt dahinter und warum lohnt sich die Auswertung?

E-Mail ist nach wie vor das wichtigste Kommunikationsmittel im Geschäftsalltag – und gleichzeitig eines der beliebtesten Angriffsziele. Phishing, Spam und Domain-Spoofing nehmen zu. Mit SPF, DKIM und DMARC stehen drei bewährte Mechanismen zur Verfügung, die zusammen einen wirksamen Schutz bilden. In diesem Beitrag erkläre ich, wie die drei Protokolle funktionieren, was Alignment bedeutet und welchen konkreten Nutzen die Auswertung von DMARC-Reports bringt.

Die drei Säulen der E-Mail-Authentifizierung

SPF (Sender Policy Framework) legt fest, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu versenden. Der Eintrag wird als TXT-Record im DNS veröffentlicht. Exchange Online-Kunden verwenden typischerweise:

v=spf1 include:spf.protection.outlook.com -all

DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer digitalen Signatur. Der empfangende Mailserver kann anhand eines öffentlichen Schlüssels im DNS prüfen, ob die Nachricht unverändert ist und wirklich von der angegebenen Domain stammt.

DMARC (Domain-based Message Authentication, Reporting and Conformance) baut auf SPF und DKIM auf. Es legt fest, wie ein empfangender Mailserver mit Nachrichten umgehen soll, die die Prüfungen nicht bestehen – und liefert Reports darüber, was im Namen der eigenen Domain versendet wird.

Weiterlesen »
Eingestellt von um Keine Kommentare:
Labels: , , , , ,
Abonnieren Posts (Atom)