Email Spoofing: Weit verbreitete Fehlkonfiguration in Exchange Online
(PresseBox) - Vertrauen Sie darauf, dass eingehende E-Mails immer Ihr Mail-Gateway durchlaufen? Das InfoGuard Red Team hat eine weit verbreitete Fehlkonfiguration bei Exchange Online identifiziert, bei der E-Mails unter bestimmten Voraussetzungen direkt im Tenant landen– vorbei an SPF, DKIM, DMARC und Spamfiltern. Mit der eigens entwickelten Plattform ghost-sender.com können Sie Ihre Mail-Domänen jetzt gezielt auf diese Problematik prüfen und innert Kürze feststellen, ob Handlungsbedarf besteht.
Phishing, Business Email Compromise (BEC), CEO-Fraud, Ransomware– nahezu jede grössere Cyberkampagne beginnt mit einer E-Mail. Entsprechend hoch sind die Investitionen von Unternehmen in Mail-Gateways, Spamfilter und Protokolle wie SPF, DKIM und DMARC.
Im Rahmen aktueller Sicherheitsanalysen hat das InfoGuard Red Team jedoch eine weit verbreitete Fehlkonfiguration bei Microsoft Exchange Online identifiziert. Unter bestimmten Voraussetzungen können Angreifende E-Mails direkt an den Tenant zustellen, ohne die vorgelagerte E-Mail-Sicherheitslösung zu durchlaufen. Dadurch lassen sich etablierte Schutzmechanismen umgehen und E-Mails mit beliebigen internen oder externen Absenderadressen zustellen.
Die Folgen können gravierend sein: Gezielte Phishing-Angriffe lassen sich dadurch über die eigene Maildomäne des Unternehmens durchführen. So könnten sich Angreifende beispielsweise als CEO ausgeben und Mitarbeitende mit täuschend echten internen E-Mails zur Preisgabe von Informationen oder zur Ausführung von Aktionen verleiten.
Ghost-Sender in Exchange Online: Was passiert konkret?
Bei bestimmten Exchange-Online-Konfigurationen können E-Mails unter Umständen direkt an den Tenant zugestellt werden, ohne dass sie die vorgelagerte E-Mail-Sicherheitslösung durchlaufen. Dadurch werden etablierte Schutzmechanismen wie SPF, DKIM, DMARC und Spamfilter umgangen und externe Angreifer können wahlweise interne und externe Absender impersonieren.
Nach Einschätzung von Microsoft handelt es sich nicht um eine Produktschwachstelle, sondern um eine Konfigurationssituation im Zusammenspiel von Exchange Online und vorgelagerten Mail-Gateways.
Wer ist betroffen von Ghost-Sendern?
Typischerweise betroffen sind Organisationen, die:
Exchange Online (auch im Hybrid-Modus mit Exchange On-Premises) einsetzen, und
eingehende E-Mailsüber ein externes Mail-Gateway oder eine Drittanbieter-Sicherheitslösung führen.
Nach unseren Beobachtungen betrifft dies eine Vielzahl von Umgebungen, inklusive grosser und sicherheitstechnisch gut aufgestellter Organisationen.
Ghost-Sender-Risiken: So schliessen Sie blinde Flecken in Exchange Online
E-Mail-Sicherheit endet nicht beim Produktkauf, sondern beginnt bei der präzisen Konfiguration und dem kontinuierlichen Monitoring. Das Ghost-Sender-Szenario zeigt exemplarisch, wie schnell sich blinde Flecken in komplexen Architekturen einschleichen – selbst in Organisationen mit hohen Security-Ansprüchen.
Wer jetzt handelt, kann:
kritische Konfigurationslücken schliessen,
Impersonation-Angriffe wirksam erschweren
und die eigene Cyberresilienz nachhaltig stärken.
Um eine schnelle Erstprüfung zu ermöglichen, hat InfoGuard ghost-sender.com entwickelt.
Ghost-Sender-Test: Mail-Domänen in drei Schritten prüfen
Unsere eigens für dieses Szenario entwickelte Plattform erlaubt es, Mail-Domänen gezielt auf mögliche Ghost-Sender-Risiken zu testen. Zusätzlich steht ein ausführlicher technischer Artikel im InfoGuard-Labs-Blog zur Verfügung.
Wir empfehlen folgende 3 Schritte:
Domänenprüfung
Prüfen Sie Ihre Mail-Domänen auf ghost-sender.com.
Fachstellen einbinden
Wird eine Betroffenheit festgestellt, wenden Sie sich an Ihren Microsoft-Partner, E-Mail-Provider oder den Betreiber Ihrer Mail-Infrastruktur, um die empfohlenen Schutzmassnahmen zu prüfen und umzusetzen.
Verantwortliche informieren
Informieren Sie die für Ihre E-Mail-Infrastruktur verantwortlichen Personen innerhalb Ihrer Organisation über die Ergebnisse.
Wichtig: Beachten Sie, dass die notwendigen Konfigurationsanpassungen von Ihrer individuellen Exchange-Online- und Mail-Gateway-Umgebung abhängen und nicht zentral durch InfoGuard vorgenommen werden können.
Prüfen Sie jetzt Ihre Mail-Domänen. So verschaffen Sie sich umgehend Klarheit darüber, ob Ihre Organisation von der beschriebenen Konfigurationssituation betroffen ist, erkennen frühzeitig Handlungsbedarf und leiten gemeinsam mit Ihren verantwortlichen Fachstellen gezielt die nächsten Schritte ein.
Mail-Domänen testen
Deep Dive: Ghost-Sender in Exchange Online verstehen
Im InfoGuard Labs Blog beleuchten wir die technischen Hintergründe des Ghost-Sender-Szenarios im Detail: von den relevanten Exchange-Online- und Mail-Gateway-Konfigurationen bis zu den konkreten Angriffspfaden und Schutzmassnahmen.
Der technische Deep Dive liefert eine fundierte Einordnung der beschriebenen Cyberrisiken und zeigt auf, welche Massnahmen Sie in Ihrer Umgebung prüfen sollten.
Zum Deep Dive
Quellen&Referenzen
• Ghost-Sender
• InfoGuard LABS: Universal Email Spoofing against Exchange Online
• NCSC, Cyber Security Hub (CSH): [Advisory] Microsoft Exchange: Arbitrary Email Spoofing
Datum: 09.06.2026 - 16:57 Uhr
Sprache: Deutsch
News-ID 2256252
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner: Estelle Ouhassi
Stadt:
Baar
Telefon: +41 (41) 74919-00
Kategorie:
Softwareindustrie
Dieser Fachartikel wurde bisher 4 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Email Spoofing: Weit verbreitete Fehlkonfiguration in Exchange Online"
steht unter der journalistisch-redaktionellen Verantwortung von
InfoGuard AG (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).