E-Mail-Sicherheit spielt sowohl bei der Entwicklung von Anwendungen als auch bei der Konfiguration von Systemen eine zentrale Rolle. Schwachstellen in diesem Bereich können zu Datenlecks führen und erleichtern Phishing-Angriffe. Sowohl für Einzelpersonen als auch für Unternehmen reichen die Folgen von kurzfristigem finanziellem Schaden bis hin zu langfristigen Reputations- und Sicherheitsrisiken. Unsere Security Analyst*innen aus dem usd HeroLab stoßen bei ihren Pentests regelmäßig auf solche Schwachstellen in Anwendungen und Systemen. Das zeigt: Trotz der bekannten Risiken wird E-Mail-Sicherheit in der Praxis oft vernachlässigt.
Um das Thema stärker ins Bewusstsein zu rücken, haben das Bundesamt für Sicherheit in der Informationstechnik (BSI), der eco – Verband der Internetwirtschaft e. V. und Bitkom e. V. die Initiative „E-Mail-Sicherheitsjahr 2025“ ins Leben gerufen.
Aus diesem Anlass teilen unsere Security Analyst*innen ihre Erfahrungen aus dem Pentest-Alltag mit Ihnen in diesem Blogbeitrag. Sie geben Ihnen praxisnahe Tipps, worauf Sie bei der Entwicklung und beim Betrieb von Systemen, die E-Mails verarbeiten, besonders achten sollten.
E-Mail-Sicherheit: Tipps für die Anwendungsentwicklung
Anwendungen versenden oftmals transaktionelle E-Mails in unterschiedlichen Situationen. Dazu zählen beispielsweise Benachrichtigung bei neuen Nachrichten oder zur Erinnerung an noch ausstehende Aktionen in der Anwendung. Dazu zählen aber auch sicherheitskritische E-Mails, wie beispielsweise beim Onboarding-Prozess in die Anwendung oder zum Zurücksetzen eines Passworts. Die Gefahr durch Hackerangriffe besteht darin, dass Angreifer solche E-Mails manipulieren können, wodurch sehr wirkungsvolle Phishingattacken möglich sind. Die folgenden Tipps helfen Ihnen dabei, das Risiko zu eliminieren.
Saubere Enkodierung von Benutzerinhalten
In vielen Nachrichten wird Inhalt eingebunden, der von den Benutzer*innen beeinflusst werden kann und daher kontrollierbar ist. Ein Paradebeispiel dafür ist beispielsweise der Inhalt einer gesendeten Nachricht innerhalb der Anwendung, wenn darauf via E-Mail hingewiesen wird. Aber auch subtilere Werte wie der Name bei einer persönlichen Anrede zählen dazu.
Solche Werte müssen so enkodiert werden, dass HTML-Kontrollzeichen innerhalb der E-Mail nicht ausgewertet werden. In diesem Fall finden die gleichen Regeln Anwendung, die auch für Webanwendungen gelten. Es können die identischen Bibliotheken, z.B. der OWASP Java Encoder, zur Enkodierung verwendet werden. Wichtig ist, diese auf alle betroffenen Werte innerhalb des E-Mail-Textes anzuwenden.
Wird ein Eingabefeld nicht sauber enkodiert, können Angreifer den Inhalt und das Aussehen der E-Mail-Nachricht beeinflussen. Das kann so weit führen, dass der komplette Inhalt der E-Mail ausgetauscht werden kann und so Nutzer*innen sehr glaubwürdig getäuscht werden können, da die Absenderadresse unverändert vertrauenswürdig bleibt.
Unbeeinflussbare Zieldomains von Links
Automatische E-Mail-Nachrichten können ebenfalls sensible Daten enthalten. So enthält ein Link zum Zurücksetzen eines Passworts einen einmal nutzbaren Zufallswert. Wenn Angreifer auf diese E-Mails Zugriff erlangen, können sie das Passwort selbstständig ändern und so den Account übernehmen.
Bei solchen E-Mails ist es daher wichtig, dass das Ziel eines Links nicht manipulierbar ist. Das schließt sowohl die Ziel-Domain als auch den Ziel-Pfad des Links ein. Dies kann über zwei Wege erreicht werden: Eine in der Anwendung unveränderbare Einstellung in einer Konfigurationsdatei, die zur Erstellung des Links gelesen wird, oder durch eine strikte Liste an erlaubten Werten der Ziel-Domain.
Vermeiden Sie, den Link basierend auf dynamischen Werten, wie der vom Nutzer*in aufgerufenen Domain, zu erstellen, ohne diese vorher strikt zu validieren. Insbesondere diese Domain kann von Angreifern beliebig geändert werden. Im Falle einer fehlenden Prüfung können die Links auf eine von Angreifern kontrollierte Domain umgeleitet werden. Wenn dann ein Phishing-Opfer auf einen solchen Link klickt, wird der schützende Wert im Link an die Angreifer übertragen. Da der Rest der Nachricht und auch der Absender bei einem solchen Angriff unverändert bleiben, sind solche Phishing-E-Mails nur schwer erkennbar.
E-Mail-Sicherheit: Tipps für den Systembetrieb
Auf Systemebene besteht ein direkter Zugang zum eingesetzten E-Mail-Server: Entweder zum Versenden oder zum Empfangen von E-Mails. Auf dieser Ebene ist besonders die Authentifizierung und Transportverschlüsselung relevant, um einen unautorisierten Zugriff zu unterbinden und eine vertrauliche E-Mail-Übermittlung sicherzustellen.
Versand nur mit Authentifizierung
Auch in ausschließlich internen und isolierten Netzwerken werden E-Mail-Server eingesetzt, etwa zum Versenden von Monitoring-Meldungen. Durch die direkte Zustellung aus dem internen Netzwerk mit, bedingt durch das Monitoring, wichtigen und zeitkritischen Informationen, leiten solche E-Mails zum schnellen und eventuell auch unvorsichtigen Handeln an. Zudem werden von internen E-Mail-Servern versendete E-Mails oft von zusätzlichen Schutzmaßnahmen wie einem Spamfilter nicht betrachtet, weshalb interne E-Mail-Server ein attraktives Ziel für Angreifer sind.
Obwohl in einem internen Netzwerk alle Systeme gerne als komplett vertrauenswürdig angesehen werden, empfehlen wir, E-Mails zum Versand nur nach vorheriger Authentifizierung zu akzeptieren. Wie auch bei aus dem Internet erreichbaren Systemen, sollten hierfür einzigartige und starke Passwörter verwendet werden. Zudem empfehlen wir, dass insbesondere ein Account nicht auf mehreren Systemen verwendet wird.
So können Sie verhindern, dass Angreifer, die Zugriff auf das interne Netzwerk erlangt haben, selbst E-Mails mit Malware oder Phishinginhalten versenden und damit ihren Zugriff im Netzwerk erweitern können.
Ausschließlich verschlüsselte Kommunikation
Verschlüsselung beim Transport von E-Mails spielt für die Vertraulichkeit und Integrität der Nachrichten eine zentrale Rolle. Zusätzlich werden, wenn Sie den obigen Tipp befolgen, auch Zugangsdaten neben der eigentlichen Nachricht übertragen. Auch diese müssen durch Verschlüsselung während der Übertragung geschützt werden.
Hierbei sind mehrere Transportwege relevant, die Sie berücksichtigen müssen: Der Sender einer E-Mail liefert diese über SMTP beim Quell-Mailserver ein. Anschließend wird die E-Mail zum Ziel-Mailserver zugestellt, möglicherweise über Zwischenstationen. Zum Schluss holt der Empfänger die E-Mail vom Ziel-Mailserver über IMAP oder POP3 ab.
In dieser ganzen Kette muss eine verschlüsselte Zustellung sichergestellt werden und unverschlüsselte Verbindungen konsequent müssen abgewiesen werden. Wenn alle Administratoren dies in der Versandkette umsetzen, werden die E-Mail und die genutzten Zugangsdaten ausschließlich verschlüsselt übermittelt.
E-Mail-Sicherheit: Tipps des BSI zur Domainkonfiguration befolgen
Mit den technischen Richtlinien BSI TR-03108 für den sicheren E-Mail-Transport und BSI TR-03182 für die E-Mail-Authentifizierung stellt das BSI weitere relevante Tipps zur Verfügung.
Während BSI TR-03108 auf empfohlene Verschlüsselungsverfahren für die Kommunikation mit und zwischen Mailservern eingeht, bietet BSI TR-03182 mehr Informationen zur Authentifizierung des Absenders einer E-Mail.
Die Richtlinie BSI TR-03182 empfiehlt, weitere Schutzmechanismen wie SPF, DKIM und DMARC einzusetzen, um sicherzustellen, dass nur autorisierte Mailserver E-Mails für eine geschützte Absenderdomain versenden können. Wenn eine Domain die Schutzmechanismen implementiert, wird Spam und Phishing mit dieser Domain als Absender deutlich erschwert.
Mehr Informationen zur Implementierung der genannten Schutzmaßnahmen bietet das BSI direkt in herausgegebenen Handlungsempfehlungen.
Unser Fazit
Die Ausrufung des E-Mail-Sicherheitsjahres 2025 unterstreicht, wie wichtig es ist, den E-Mail-Verkehr in Unternehmen wirksam abzusichern. Auch aus unseren täglichen Pentests wissen wir: Schwachstellen beim Versand und Empfang von E-Mails bieten Angriffsflächen für Phishing, Datendiebstahl und andere Cyberbedrohungen. Daher empfehlen wir, grundlegende Sicherheitsmaßnahmen und die oben genannten Tipps in Ihrem Unternehmen konsequent umzusetzen.
Halten Sie Ihre Systeme und Mailserver stets auf dem aktuellen Stand und nehmen Sie regelmäßige Sicherheitsüberprüfungen vor. Nur so kann die E-Mail-Kommunikation ein sicheres und zuverlässiges Werkzeug im Geschäftsalltag bleiben. Kontaktieren Sie uns, wir helfen Ihnen gerne.
