Defaults.Exposed

Defaults.ExposedBehebungenGuides

Jemand versendet E-Mails von Ihrer Domain: der Notfall-Reaktionsleitfaden (2026)

Veröffentlicht 2026-07-08

Zahlen mit Stand 2026-06-29 · Methodik v7. Aggregierte Zensusdaten über 261 Millionen bewertete Domains. Siehe wie wir bewerten.

Prüfen Sie zuerst, ob die gefälschten E-Mails Ihre exakte Domain oder eine Nachahmung nutzen, denn die Lösungen sind völlig unterschiedlich. Spoofing der exakten Domain lässt sich in DNS abschalten — und die meisten Domains haben das nicht getan: 89,41% haben keine durchgesetzte DMARC-Richtlinie, und 46,4% veröffentlichen gar kein SPF, laut dem Defaults.Exposed-Zensus über 261.086.232 bewertete Domains.

Das ist eine Vorfall-Checkliste: erste Stunde — bestätigen, was passiert, ohne es schlimmer zu machen; erster Tag — die offene Tür schließen, oder die Entfernung starten, wenn die Tür nicht Ihre ist; erste Woche — beobachten, die Menschen warnen, die verbrannt werden könnten, durchsetzen. Fragen Sie sich nur, ob das passieren könnte? Beginnen Sie mit kann jemand meine Domain spoofen? — diese Seite ist für den Fall, dass es bereits passiert.

Zuerst: Ist es wirklich Ihre Domain, oder eine Nachahmung?

Holen Sie sich eine der gefälschten E-Mails und lesen Sie die Absenderadresse Zeichen für Zeichen. Alles Weitere hängt davon ab:

Was die From-Adresse zeigtWas passiertIhr Weg
[email protected] — Ihre Domain, exakt richtig geschriebenSpoofing: Der Server eines Fremden fälscht Ihre Domain in der From-Zeile. Ihre Systeme sind NICHT gehackt.DNS-Lösung — SPF, DKIM, durchgesetztes DMARC. Weg 1.
[email protected], ihrunternehmen-billing.com, ihrunternehmen.co — ähnlich, aber nicht IhreEine Nachahmungsdomain, die jemand anderes registriert hat. Ihr DNS wird nie konsultiert.Entfernung + Warnungen. Weg 2.
Ihre exakte Adresse, und die Nachrichten liegen in Ihrem eigenen Gesendet-Ordner oder antworten auf echte ThreadsKonto-Kompromittierung — jemand ist in einer echten Mailbox. Ein anderer Vorfall.Passwort ändern, Sitzungen widerrufen, 2FA aktivieren, Weiterleitungsregeln prüfen — vor allem anderen.

Datenstand: 2026-06-29.

Die fett gedruckte Zeile ist die häufigste und am leichtesten zu behebende. Das Kernprotokoll von E-Mail hat die From-Zeile nie verifiziert — jeder kann Ihre Domain hineinschreiben —, also besteht die Lösung darin, DNS-Einträge zu veröffentlichen, mit denen Empfänger selbst prüfen können. Die unbequemen Zensuszahlen: 121.145.609 von 261.086.232 bewerteten Domains (46,4%) veröffentlichen gar keinen SPF-Eintrag, und 36.014 der 138.927.207 Domains, die SPF veröffentlichen, enden auf +all — autorisieren also buchstäblich das gesamte Internet, als sie zu senden (Datenstand 2026-06-29).

Die erste Stunde: bestätigen, nicht reagieren

  1. Führen Sie den kostenlosen Scan bei defaults.exposed durch. Dreißig Sekunden, keine Anmeldung. Er sagt Ihnen, ob Ihre Domain derzeit spoofbar ist — SPF vorhanden und strikt oder nicht, DMARC durchgesetzt oder nicht —, bevor Sie DNS anfassen.
  2. Antworten Sie nicht auf die Fälschung, klicken Sie nichts darin an, und schicken Sie noch keine Massen-E-Mail an Ihre Kontakte. Ein panisches „Ignorieren Sie E-Mails von uns!“ von derselben Domain liest sich genau wie der Betrug. Warnungen kommen später, gezielt und über einen anderen Kanal.
  3. Sammeln Sie ein vollständiges Beispiel mit kompletten Headern. Bitten Sie einen Empfänger, die Fälschung als Anhang weiterzuleiten (Gmail: „Original anzeigen“ → herunterladen; Outlook: „Nachrichtenquelle anzeigen“). Ein Screenshot der From-Zeile reicht nicht — die Header sind der Beweis für alles Weitere.
  4. Lesen Sie das Urteil, das der empfangende Server bereits gefällt hat. Finden Sie in den Headern Authentication-Results:dmarc=fail gegen Ihre exakte Domain bestätigt Spoofing Ihrer Domain; eine Nachahmung in header.from= bestätigt Weg 2. Eine Feinheit: Empfänger bewerten SPF gegen die Return-Path-Domain (die RFC5321.MailFrom, die Bounce-Adresse), nicht den From-Header, den Ihr Empfänger sieht — eine gefälschte Mail kann sogar spf=pass für die Domain des Spammers zeigen, während sie Ihre im From fälscht. Genau diese Lücke schließt die Alignment-Prüfung von DMARC.

Weg 1 — es ist Ihre exakte Domain: der erste Tag

Spoofing Ihrer exakten Domain funktioniert nur, solange Ihr DNS nichts sagt, das Empfänger zum Abweisen berechtigt. Heute veröffentlichen (oder verschärfen) Sie die drei Einträge; die Durchsetzung folgt im Lauf der Woche.

  1. SPF: Veröffentlichen Sie einen Eintrag, der Ihre echten Absender auflistet und auf -all endet („alle anderen: fail“). Endet Ihrer auf +all oder ?all, reparieren Sie das zuerst — es ist eine offene Tür, die Sie selbst veröffentlicht haben. Anleitung: wie man SPF repariert, Anbieter-Klicks bei SPF bei GoDaddy.
  2. DKIM: Schalten Sie Domain-Signierung bei Ihrem E-Mail-Anbieter und jedem Newsletter-/Rechnungstool ein (meist ein paar CNAME-Einträge pro Tool).
  3. DMARC: Veröffentlichen Sie noch heute v=DMARC1; p=none; rua=mailto:..., damit Berichte zu fließen beginnen; p=reject ist das Projekt dieser Woche, nicht dieser Stunde — vollständige Referenz bei wie man DMARC repariert. Sendet die Domain überhaupt keine legitime E-Mail — eine alte Marke, eine geparkte Domain —, überspringen Sie die Vorsicht und verriegeln Sie sie noch heute: diese alte Domain von Ihrem Rebranding ist eine offene Tür, die Sie offen gelassen haben.

Der ehrliche Vorbehalt, bevor Sie sich entspannen: Eine durchgesetzte DMARC-Richtlinie weist empfangende Server an, exakte Domain-Fälschungen in den Spam zu verschieben oder abzuweisen — und die großen Anbieter respektieren das. Aber sie bindet nur Empfänger, die sie prüfen, und sie tut überhaupt nichts gegen Nachahmungsdomains: Sobald die Betrüger nicht mehr als ihrunternehmen.com senden können, kostet die Registrierung von ihrunternehmen-billing.com ein paar Euro. DMARC verkleinert den Angriff; es beendet die Geschichte nicht — die Schritte der ersten Woche zählen auch für Sie.

Weg 2 — es ist eine Nachahmung: das ist keine DNS-Lösung

Kein Eintrag, den Sie auf Ihrer Domain veröffentlichen, beeinflusst Mail von einer Domain, die Sie nicht besitzen — Ihr DNS wird nicht einmal angesehen. Das Vorgehen ist Entfernung plus Warnungen:

  1. Finden Sie heraus, wer hinter der Nachahmung steckt. Schlagen Sie sie in RDAP/WHOIS nach (z. B. lookup.icann.org), um den Registrar zu bekommen, und prüfen Sie, ob sie eine Website hostet.
  2. Melden Sie sie beim Abuse-Kontakt des Registrars mit Ihrem Beispiel mit vollständigen Headern im Anhang — Registrare sperren Phishing-Domains täglich; klare Beweise machen es schnell. Eine Phishing-Site? Melden Sie sie auch beim Host, bei Google Safe Browsing und Microsoft SmartScreen.
  3. Melden Sie die E-Mails als Phishing in den empfangenden Mailboxen (Gmail/Outlook „Phishing melden“) — das trainiert die großen Filter schneller gegen die Nachahmung als jeder Brief.
  4. Warnen Sie die wahrscheinlichen Ziele über einen anderen Kanal — der Schritt, der tatsächlich verhindert, dass Geld abfließt. Rufen Sie Kunden, Lieferanten und Ihren Buchhalter an oder schreiben Sie ihnen (nicht nur per E-Mail): Nennen Sie die gefälschte Domain, und machen Sie jede Änderung von Bankdaten „von Ihnen“ telefonisch verifizierbar. Diese Gewohnheit ist die beste Verteidigung gegen die Rechnungsbetrugs-Geschichte, die Sie gehört haben.
  5. Missbraucht die Nachahmung Ihre Marke, kann eine UDRP-Beschwerde die Domain übertragen lassen — langsamer als eine Entfernung, aber dauerhaft.

Und führen Sie Weg 1 trotzdem durch: Angreifer bemühen sich selten mit einer Nachahmung, solange die echte Domain noch offen ist, und 89,41% der Domains haben kein durchgesetztes DMARC (nur 27.640.987 von 261.086.232 — 10,59% — haben es, Stand 2026-06-29). Schließen Sie Ihre eigene Tür trotzdem.

Die erste Woche: beobachten, warnen, durchsetzen

  1. Lesen Sie Ihre DMARC-Berichte. Innerhalb von ein bis zwei Tagen, nachdem das rua=-Tag live geht, zeigen Aggregatberichte jeden Server, der als Ihre Domain sendet — Ihre echten und den Spoofer, mit Volumen und Urteilen. So beobachten Sie, wie der Angriff abstirbt.
  2. Bestätigen Sie, dass Ihre legitimen Absender bestehen. Jede echte Quelle (E-Mail-Anbieter, Newsletter-Tool, Rechnungs-App, Website-Kontaktformular) muss SPF oder DKIM aligned mit Ihrer Domain bestehen, bevor Sie durchsetzen — sonst blockiert reject auch Ihre eigene Mail.
  3. Schalten Sie DMARC auf p=quarantine, dann p=reject hoch. Unter aktivem Spoofing komprimieren Sie die üblichen Monate auf ein bis zwei Wochen — aber Sie komprimieren die Stufen, Sie überspringen sie nicht. Der stufenweise Rollout, die pct-Rampe und die Subdomain-Richtlinie: von p=none zu p=reject, ohne legitime E-Mail zu verlieren.
  4. Senden Sie eine ruhige, gezielte Mitteilung an Geschäftspartner, die Fälschungen erhalten haben könnten: was passiert ist, worum die Fälschung gebeten hat, die Verifizieren-per-Telefon-Regel für Zahlungsänderungen und (Weg 2) die genaue zu blockierende Nachahmungsdomain.
  5. Scannen Sie erneut und bewahren Sie den Bericht auf. Versicherer und Kunden fragen zunehmend, was Sie gegen E-Mail-Sicherheit getan haben; ein datierter, bewerteter Bericht beantwortet das schriftlich.

Häufig gestellte Fragen

Ich habe eine Betrugs-E-Mail von meiner eigenen Adresse erhalten. Wurde ich gehackt? Fast immer nein — „von Ihnen, an Sie“-Erpressungsmail ist derselbe Fälschungstrick, der ausnutzt, dass Ihre Domain Fälschungen nicht abweist. Prüfen Sie Ihren Gesendet-Ordner und die letzten Anmeldungen; ist alles sauber, ist es Spoofing, und eine durchgesetzte DMARC-Richtlinie stoppt diese Variante bei Empfängern, die sie respektieren. Stand 2026-06-29 haben 89,41% von 261.086.232 bewerteten Domains das nicht getan.

Stoppt DMARC die Nachahmungsdomain-E-Mails? Nein. Ihre DMARC-Richtlinie regelt nur Ihre exakte Domain (und deren Subdomains) — eine Nachahmung ist die Domain eines anderen mit eigenem DNS, nie gegen Ihre Einträge geprüft. Nachahmungen bekämpft man mit Registrar-Abuse-Meldungen, Phishing-Meldungen und Warnungen an Geschäftspartner, nicht mit DNS.

Wie schnell stoppt p=reject das Spoofing tatsächlich? DNS-Änderungen erreichen Empfänger innerhalb von Stunden, und Gmail, Outlook und die meisten großen Anbieter setzen DMARC-Urteile durch — exakte Domain-Fälschungen sterben ab dem Tag, an dem die Richtlinie greift. Zwei ehrliche Grenzen: kleinere Empfänger, die DMARC nie prüfen, können Fälschungen noch zustellen, und Durchsetzung, bevor Ihre eigenen Absender aligned sind, blockiert Ihre legitime Mail — beschleunigen Sie die Stufen, überspringen Sie sie nicht.

Senden Sie dem Inhaber den Bericht

Wenn Sie der IT-Dienstleister sind, der das bearbeitet: Sobald die Einträge live sind, führen Sie den Scan erneut durch und leiten Sie den bewerteten Bericht an den Geschäftsinhaber weiter. Er zeigt in klarer Sprache, was das Spoofing ermöglicht hat, was Sie geändert haben und wo die Domain jetzt steht — die schriftliche Antwort auf „sind wir jetzt sicher?“ und der Beleg für die Versicherungsverlängerung oder den Kundenfragebogen. Sind Sie der Inhaber: Bitten Sie genau um diesen Bericht, und bewahren Sie Vorher und Nachher auf.

Prüfen Sie kostenlos, ob Ihre Domain spoofbar ist

Sehen Sie, ob der Server eines Fremden derzeit als Sie durchgehen kann — und genau, was zu reparieren ist — privat und nur für den Inhaber.

Prüfen Sie Ihre Domain → · Von p=none zu p=reject → · DMARC reparieren → · Kann jemand meine Domain spoofen? → · Nur aggregierte Daten. Daten werden in der EU gespeichert und verarbeitet.