E-Mails Ihrer Domain erscheinen aus fremden Ländern? Meist ist es ein Fehlalarm. So erkennen Sie mit DMARC echtes Spoofing statt bloßer Geolokalisierung.
Wenn die E-Mails Ihrer Domain scheinbar aus Ländern versendet werden, in denen Sie noch nie tätig waren, ist das einer der häufigsten Auslöser für einen Spoofing-Schreck. In fast allen Fällen ist es ein Fehlalarm. Diese IP-Adressen gehören in der Regel zur Versandinfrastruktur Ihrer E-Mail-Anbieter, die in Rechenzentren rund um die Welt läuft, und nicht zu einem Angreifer. Das eigentliche Anzeichen für Spoofing ist nicht ein fremder Standort für sich allein, sondern eine Quelle, die Sie nicht kennen und die E-Mail mit Ihrer Domain versendet und DMARC nicht besteht, oft von einem Ort, an dem Sie keine Präsenz haben.
Inhalt dieses Leitfadens
- Woher wissen Sie, von wo Ihre E-Mail versendet wird?
- Warum zeigen Ihre DMARC-Berichte IPs, die sich auf so viele verschiedene Länder zurückführen lassen?
- Was die Geolokalisierung des Absenders misst
- Bedeutet E-Mail aus einem anderen Land, dass Sie gespooft werden?
- Was ist das eigentliche Anzeichen für Spoofing in Ihren Berichten?
- Wie prüfen Sie einen unbekannten Versandstandort?
- Wie DMARCeye Ihre Versandstandorte abbildet
Woher wissen Sie, von wo Ihre E-Mail versendet wird?
Kurze Antwort: über DMARC-Berichte. Sobald Sie einen DMARC-Eintrag mit einer Berichtsadresse veröffentlichen, senden Ihnen Mailbox-Anbieter wie Google, Microsoft und Yahoo tägliche Aggregatberichte. Jeder Bericht führt jede Quelle auf, die Ihre Domain genutzt hat, die IP-Adresse, von der sie versendet hat, und ob sie die Authentifizierung bestanden hat.
Diese Berichte führen IP-Adressen auf, keine Orte. Sie können jede einzelne IP in ein Geolokalisierungs-Tool einfügen und das Land sehen, in dem sie registriert ist. So beginnen viele Spoofing-Schrecken: Jemand greift eine Adresse aus einem Bericht heraus, prüft sie und findet sie in einem Land, in dem das eigene Unternehmen keine Präsenz hat. Das für jede versendende IP von Hand zu tun, ist nicht praktikabel. Der beste Weg ist daher der Einsatz einer DMARC-Monitoring-Plattform (wie DMARCeye), die alle IPs geolokalisiert und auf einer Karte darstellt.
Warum zeigen Ihre DMARC-Berichte IPs, die sich auf so viele verschiedene Länder zurückführen lassen?
Fast kein Unternehmen versendet seine eigenen E-Mails noch direkt. Ihre Post geht über Anbieter hinaus: eine Marketingplattform, ein CRM, ein Helpdesk, Google Workspace oder Microsoft 365, ein Zahlungsdienstleister. Jeder Anbieter betreibt Server in Rechenzentren rund um die Welt, und der Standort, den Sie sehen, gehört zu dem Server, der Ihre Nachricht jeweils verarbeitet hat.
DMARC-Aggregatberichte führen jede Quelle auf, die E-Mails über Ihre Domain versendet hat, zusammen mit der IP-Adresse, die jede davon genutzt hat. Wenn ein Dienst wie DMARCeye diese IPs auf einer Karte darstellt, kann ein einzelner Newsletter-Versand gleichzeitig aus drei oder vier Ländern erscheinen. Diese Verteilung ist die Form moderner E-Mail, bei der eine Handvoll Dienste in Ihrem Namen aus Infrastruktur über mehrere Kontinente hinweg versendet.
.png?width=1239&height=661&name=Sender%20Geolocation%20Detail%20(1).png)
Aus der DMARCeye-Plattform.
Was die Geolokalisierung des Absenders misst
Geolokalisierung verwandelt eine IP-Adresse in einen Ort, indem sie nachschlägt, welches Netzwerk die IP besitzt. Die regionalen Internet-Registries vergeben Blöcke von IP-Adressen an Internetanbieter, Hosting-Unternehmen und Cloud-Plattformen, und Geolokalisierungs-Datenbanken erfassen, wo jeder Block registriert ist und genutzt wird. Der Standort, der einer versendenden IP zugeordnet ist, beschreibt also die Infrastruktur, die sie besitzt, und nicht eine Person, die an einer Tastatur tippt.
Diese Zuordnung ist eine Schätzung, und die Genauigkeit sinkt unterhalb der Länderebene schnell. Das Land ist zuverlässig, die Region oder das Bundesland deutlich weniger, und die Stadt ist häufig falsch. Ein Cloud-Anbieter, ein VPN oder ein Content Delivery Network kann eine IP Hunderte Kilometer von jeder realen Person entfernt verorten. MaxMind, das einen großen Teil der Geolokalisierungsdaten der Branche liefert, benennt diese Grenzen in seinem eigenen Hinweis zur Genauigkeit klar. Lesen Sie einen Versandstandort als groben Hinweis, nicht als Tatsache.
Bedeutet E-Mail aus einem anderen Land, dass Sie gespooft werden?
Eine ausländische IP-Adresse allein bedeutet nicht, dass Sie gespooft werden. Es ist der häufigste Grund, warum Menschen annehmen, ihre Domain sei gekapert worden, und für sich genommen beweist sie dennoch nichts in die eine oder andere Richtung. Wenn Ihr E-Mail-Dienstleister aus einem Rechenzentrum in Deutschland oder Virginia versendet, wird Ihre Post auf Deutschland oder Virginia geolokalisiert, und es ist nichts falsch.
Das ist eine andere Frage als die, wie sich die DMARC-Verbreitung zwischen Regionen unterscheidet, was ein Muster in den weiteren Daten ist und kein Signal über Ihre eigene Domain. Wenn Sie diese Makro-Sicht interessiert, haben wir sie in der regionalen Varianz der DMARC-Compliance und in der DMARC-Richtlinie nach Länder-TLD behandelt. Für die Prüfung Ihrer eigenen Berichte zählt der Standort, sobald Sie ihn zusammen mit dem Authentifizierungsergebnis lesen, nicht davor.
Was ist das eigentliche Anzeichen für Spoofing in Ihren Berichten?
Das eigentliche Anzeichen ist eine Quelle, die zwei Dinge gleichzeitig tut: Sie versendet E-Mail, die Ihre Domain trägt, und diese E-Mail besteht DMARC nicht. DMARC prüft, ob eine Nachricht SPF oder DKIM besteht und ob das Ergebnis mit der Domain in der sichtbaren Absenderadresse übereinstimmt. Absender, die Sie eingerichtet haben, bestehen diese Prüfung. Ein Angreifer, der Ihre Domain von seinem eigenen Server aus fälscht, kann das in der Regel nicht, weil er weder Ihren SPF-Eintrag noch Ihre DKIM-Schlüssel kontrolliert.
Der Standort wird nützlich, sobald Sie vom Authentifizierungsergebnis ausgehen. Eine fehlschlagende Quelle in einem Land, in dem Sie keine Anbieter und keine Aktivitäten haben, ist ein stärkerer Hinweis als eine fehlschlagende Quelle gleich um die Ecke. Der Fehlschlag kommt zuerst, und die Karte schärft das Bild.
Wie prüfen Sie einen unbekannten Versandstandort?
Beginnen Sie mit der Authentifizierung, nicht mit der Geografie. Wenn ein unbekannter Standort Ihre Aufmerksamkeit erregt, arbeiten Sie ihn der Reihe nach durch:
- Prüfen Sie, ob diese Quelle DMARC besteht oder nicht. Besteht sie, handelt es sich fast sicher um einen Ihrer Anbieter, und Sie können an dieser Stelle aufhören.
- Schlägt sie fehl, identifizieren Sie den versendenden Dienst. Viele fehlschlagende Quellen sind Ihre eigenen Werkzeuge, die noch nicht vollständig authentifiziert sind, und keine Angreifer.
- Gleichen Sie den Standort damit ab, wo Sie tätig sind und über wen Sie versenden. Eine fehlschlagende Quelle in einer Region, zu der Sie keine Verbindung haben, verdient einen genaueren Blick.
- Beobachten Sie das Volumen und den Trend. Ein plötzlicher Anstieg fehlschlagender E-Mail aus einer unbekannten Quelle ist eine deutlichere Warnung als eine Handvoll Nachrichten.
Wie DMARCeye Ihre Versandstandorte abbildet
DMARCeye stellt jede versendende IP einer Quelle auf einer gruppierten Karte dar (oben abgebildet), sodass ein großer Absender lesbar bleibt, und lässt Sie jede einzelne IP öffnen, um ihren Standort neben ihrem Authentifizierungsergebnis zu sehen. Der Wert liegt in der Kombination: der Standort neben der Information, ob diese Quelle DMARC besteht oder nicht, sodass Sie normale globale Infrastruktur von einer Quelle unterscheiden können, die einen zweiten Blick verdient.
Aus der DMARCeye-Plattform. Die gezeigten IP-Adressen sind Beispiele, keine realen Adressen.
Weil das Authentifizierungsergebnis und der Standort eine Ansicht teilen, verbringen Sie weniger Zeit mit Raten und mehr mit den ein oder zwei Quellen, die Aufmerksamkeit verdienen.
Die Geolokalisierung des Absenders ist Kontext, der das Authentifizierungsergebnis schärft, kein Urteil für sich allein. E-Mail aus vielen Ländern ist normal, da Ihre Anbieter in Ihrem Namen aus Infrastruktur in aller Welt versenden. Was Rauschen von einer echten Bedrohung trennt, ist die Kombination: eine unbekannte Quelle, die als Ihre Domain versendet und DMARC nicht besteht, von einem Standort, an dem Sie keine Präsenz haben. Den Standort und das Authentifizierungsergebnis in einer Ansicht zu sehen, lässt diese Kombination hervortreten, und genau darum geht es beim Abbilden Ihrer Versandstandorte. DMARCeye stellt beide nebeneinander, sodass ein echter Imitationsversuch leicht zu erkennen ist.