· Rexoma Team · IT-Sicherheit · 5 min read
Exchange Online Ghost-Sender: E-Mail-Spoofing erkennen und stoppen
In Microsoft Exchange Online können Angreifer gefälschte Absenderadressen einschleusen – selbst wenn SPF, DKIM und DMARC korrekt konfiguriert sind. Was KMU jetzt wissen und tun müssen.
Wer Microsoft 365 im Unternehmen nutzt, verlässt sich darauf, dass eingehende E-Mails von echten Absendern stammen. Eine Schwachstelle in Exchange Online – bekannt als Ghost-Sender – zeigt, dass diese Annahme gefährlich falsch sein kann. Angreifer können dabei E-Mails mit gefälschten Absenderadressen versenden, obwohl SPF, DKIM und DMARC korrekt eingerichtet sind.
Was ist der Exchange Online Ghost-Sender?
Der Begriff Ghost-Sender beschreibt eine Technik, bei der E-Mails über Microsoft Exchange Online so versendet werden, dass der angezeigte Absender nicht mit dem tatsächlichen sendenden Konto übereinstimmt. Die Lücke liegt im Zusammenspiel zwischen dem From-Header (den der Empfänger sieht) und dem technischen MAIL FROM-Pfad (den die Spam-Filter prüfen).
Exchange Online erlaubt unter bestimmten Umständen, dass ein Nutzer im Namen einer anderen Adresse sendet – auch wenn diese Adresse einer völlig anderen Domain gehört. Das Ergebnis: Die E-Mail sieht aus, als käme sie von geschaeftsfuehrer@ihre-firma.de, stammt technisch aber von einem kompromittierten oder böswilligen Account.
Sicherheitsforscher haben gezeigt, dass dieses Verhalten nicht auf einzelne Konfigurationsfehler zurückzuführen ist, sondern strukturell in Exchange Online vorhanden ist – und viele Unternehmen betroffen sind, ohne es zu wissen.
Warum schützen SPF, DKIM und DMARC hier nicht?
SPF, DKIM und DMARC sind die drei Säulen moderner E-Mail-Authentifizierung. Sie prüfen, ob eine E-Mail wirklich vom angegebenen Mailserver stammt und ob die Domain autorisiert ist. Das Problem beim Ghost-Sender-Angriff: Die E-Mail kommt tatsächlich von einem Exchange-Online-Server – der DNS-Check besteht.
- SPF prüft den Envelope-Sender (
MAIL FROM), nicht den sichtbarenFrom-Header. - DKIM signiert die Nachricht mit dem sendenden Account, nicht zwingend mit der
From-Domain. - DMARC greift erst, wenn SPF oder DKIM nicht mit der
From-Domain übereinstimmen – wenn Exchange Online die E-Mail legitimiert, kann DMARC stumm bleiben.
Das Ergebnis: Eine E-Mail mit gefälschtem From-Header passiert die Prüfungen, weil Microsoft Exchange Online als legitimer Versender gilt. Für den Empfänger sieht sie aus wie eine echte interne oder bekannte externe Nachricht.
Wer ist besonders gefährdet?
Besonders anfällig sind Unternehmen, bei denen:
- Mitarbeiter regelmäßig E-Mails von Vorgesetzten oder der Geschäftsführung erhalten und sofort handeln (Zahlungsanweisungen, Datenweitergabe)
- Partnerdomains in Microsoft 365 verwaltet werden oder Multi-Tenant-Strukturen existieren
- E-Mail-Sicherheit hauptsächlich über DNS-Einträge (SPF/DKIM/DMARC) geregelt ist und keine zusätzlichen Filter aktiv sind
Für KMU in Dresden und Sachsen ist das besonders relevant: Viele mittelständische Betriebe nutzen Microsoft 365 und haben gleichzeitig keine dedizierte IT-Sicherheitsabteilung, die solche Angriffe aktiv überwacht.
Angriffszenarien in der Praxis
Business E-Mail Compromise (BEC)
Der Ghost-Sender lässt sich direkt für CEO-Fraud einsetzen: Ein Angreifer sendet im Namen der Geschäftsführung eine Zahlungsanweisung an die Buchhaltung. Die E-Mail-Adresse stimmt, der Domainname stimmt – kein Mitarbeiter schöpft Verdacht. Laut Bundeskriminalamt entstehen deutschen Unternehmen durch BEC-Angriffe jährlich Schäden in dreistelliger Millionenhöhe.
Interne Phishing-Kampagnen
Angreifer können sich als IT-Support ausgeben und Mitarbeiter auffordern, Passwörter zurückzusetzen oder auf Links zu klicken – mit einer Adresse, die aussieht wie it-support@ihre-firma.de. Weil die Domain bekannt ist, entfällt der natürliche Misstrauensreflex.
Lieferantenbetrug
Eine weitere Variante: Rechnungen oder Bankdaten werden in E-Mails geändert, die scheinbar von bekannten Lieferanten oder Partnern stammen. Ostdeutsche KMU, die enge Lieferketten pflegen, sind hier besonders exponiert.
Was KMU konkret tun können: Schritt-für-Schritt
1. DMARC auf Reject-Richtlinie setzen
Viele Unternehmen stehen mit DMARC auf p=none – das ist reines Monitoring und bietet keinen Schutz. Der DNS-Eintrag sollte auf p=quarantine, besser auf p=reject gestellt werden:
_dmarc.ihre-firma.de TXT "v=DMARC1; p=reject; rua=mailto:dmarc@ihre-firma.de"Der rua-Parameter schickt automatische Reports an die angegebene Adresse – so sehen Sie, wer in Ihrem Namen E-Mails versendet.
2. Microsoft Secure Score prüfen und verbessern
Im Microsoft 365 Admin Center gibt es den Secure Score, der Konfigurationslücken aufzeigt. Spezifisch für E-Mail-Sicherheit empfehlen sich:
- Anti-Phishing-Richtlinien aktivieren (Microsoft Defender for Office 365)
- Impersonation Protection einschalten – verhindert, dass bekannte interne Absender imitiert werden
- Erste-Kontakt-Sicherheitshinweis aktivieren – zeigt Mitarbeitern, wenn eine Absenderadresse erstmals auftaucht
3. Mailbox-Berechtigungen einschränken
In Exchange Online sollte regelmäßig geprüft werden, welche Accounts das Recht haben, im Namen anderer zu senden (SendAs, SendOnBehalfOf). Diese Berechtigungen werden häufig großzügig vergeben und kaum kontrolliert.
Über PowerShell:
Get-Mailbox | Get-MailboxPermission | Where-Object {$_.AccessRights -eq "FullAccess"}Berechtigungen, die nicht aktiv benötigt werden, sollten sofort entfernt werden.
4. Externe E-Mails für Mitarbeiter sichtbar kennzeichnen
Exchange Online kann E-Mails von außerhalb automatisch mit einem Hinweis versehen:
[EXTERN] Diese E-Mail stammt von außerhalb des Unternehmens.Diese einfache Maßnahme entlarvt viele Ghost-Sender-Angriffe sofort: Die vermeintlich interne Nachricht trägt das EXTERN-Label.
5. Mitarbeiter gezielt schulen
Technische Maßnahmen allein reichen nicht. Mitarbeiter müssen wissen:
- Zahlungsanweisungen per E-Mail immer telefonisch bestätigen – unabhängig vom Absender
- Ungewöhnliche Bitten sofort melden, auch wenn die Absenderadresse bekannt wirkt
- Im Zweifel zählt ein kurzer Anruf mehr als jede E-Mail
Checkliste: Exchange Online E-Mail-Sicherheit für KMU
- DMARC-Eintrag auf
p=quarantineoderp=rejectgesetzt - DMARC-Reports aktiviert und werden regelmäßig ausgewertet
- Anti-Phishing-Richtlinie in Microsoft 365 Defender aktiv
- Impersonation Protection für interne Domains eingerichtet
- SendAs/SendOnBehalf-Berechtigungen geprüft und bereinigt
- Externe E-Mail-Kennzeichnung für alle Postfächer aktiviert
- Mitarbeiter über BEC und CEO-Fraud geschult
Sie suchen Unterstützung in Dresden? Rexoma IT hilft
Rexoma IT unterstützt KMU in Dresden und Sachsen bei der Analyse und Absicherung von Microsoft 365 – von der DMARC-Konfiguration bis zur vollständigen Härtung von Exchange Online mit Defender for Office 365. Sprechen Sie uns an: Wir prüfen Ihre aktuelle Konfiguration und zeigen konkrete Schwachstellen auf.
FAQ
Bin ich sicher, wenn mein DMARC korrekt konfiguriert ist?
Leider nicht zwingend. Der Ghost-Sender nutzt Exchange Online als legitimen Versender – DMARC-Checks können bestehen, obwohl der sichtbare Absender gefälscht ist. Zusätzliche Maßnahmen wie Impersonation Protection und externe E-Mail-Kennzeichnung sind notwendig.
Betrifft das nur Exchange Online oder auch On-Premises Exchange?
Die beschriebene Schwachstelle tritt primär in Exchange Online (Microsoft 365) auf. Bei On-Premises-Systemen hängt das stark von der Konfiguration ab – grundsätzlich sind aber auch lokale Exchange-Server für ähnliche Angriffe anfällig, wenn SendAs-Berechtigungen nicht eingeschränkt sind.
Was kostet es, Exchange Online richtig abzusichern?
Viele der genannten Maßnahmen sind in bestehenden Microsoft-365-Lizenzen enthalten und erfordern keine Zusatzkosten. Für erweiterte Funktionen wie Defender for Office 365 Plan 2 fällt ein Aufpreis an. Ein externer IT-Dienstleister kann die Konfiguration in wenigen Stunden umsetzen.
Wie erkenne ich, ob ich schon Opfer eines Ghost-Sender-Angriffs wurde?
Über die DMARC-Reports (sofern aktiviert) lässt sich nachvollziehen, wer E-Mails in Ihrem Namen versendet. Zusätzlich können im Microsoft 365 Defender die Mail-Trace-Logs auf ungewöhnliche Absender-/Empfänger-Muster ausgewertet werden.
Reichen technische Maßnahmen allein, oder müssen Mitarbeiter geschult werden?
Beides zusammen ist entscheidend. Technische Maßnahmen reduzieren das Risiko erheblich, können es aber nicht auf null senken. Mitarbeiter, die BEC-Angriffe kennen und kritisch auf ungewöhnliche Anfragen reagieren, sind die letzte Verteidigungslinie – besonders bei gut gefälschten Nachrichten.
Rexoma IT