![Beitragsbild zu BreakSPF: Wie man den Angriff abwehrt](https://www.all-about-security.de/wp-content/uploads/2024/12/Depositphotos_469313412_S.jpg)
BreakSPF ist ein neu identifiziertes Angriffs-Framework, das Fehlkonfigurationen im Sender Policy Framework (SPF), einem weit verbreiteten E-Mail-Authentifizierungsprotokoll, ausnutzt. Eine häufige Fehlkonfiguration sind zu freizügige IP-Bereiche, in denen SPF-Einträge großen Blöcken von IP-Adressen erlauben, E-Mails im Namen einer Domain zu versenden. Diese Bereiche umfassen oft gemeinsam genutzte Infrastrukturen wie Cloud-Anbieter, Proxys oder Content Delivery Networks (CDNs).
BreakSPF macht sich dies zunutze, indem es solche Konfigurationen identifiziert und missbraucht, sodass Angreifer SPF-Prüfungen umgehen, gefälschte E-Mails versenden können, die legitim erscheinen, und gemeinsam genutzte Dienste manipulieren können, um nicht entdeckt zu werden.
Arten von BreakSPF-Angriffen
BreakSPF nutzt drei Hauptangriffsformen, um SPF-Schwachstellen auszunutzen, und zielt dabei sowohl auf HTTP- als auch auf SMTP-Server ab. Dazu gehören:
- Angriffe mit fester IP-Adresse
Bei dieser Methode erlangen Angreifer langfristige Kontrolle über bestimmte IP-Adressen und nutzen sie als Mail Transfer Agents (MTAs), um gefälschte E-Mails zu versenden. Durch die Nutzung gemeinsam genutzter Infrastrukturen wie Cloud-Server und Proxys umgehen sie traditionelle Abwehrmaßnahmen wie Greylisting.
- Angriffe mit dynamischer IP-Adresse
Hierbei bewerten Angreifer anfällige Domains dynamisch, indem sie sich ändernde ausgehende IPs überwachen und diese vorübergehend ausnutzen. Diese Methode stützt sich auf öffentliche Infrastrukturen wie serverlose Funktionen oder CI/CD-Plattformen, wodurch die herkömmliche IP-Blacklist unwirksam wird. Im Gegensatz zu Angriffen mit festen IP-Adressen wird die Abhängigkeit von bestimmten IP-Adressen vermieden, was die Komplexität erhöht und die Eindämmung erschwert.
- Protokollübergreifende Angriffe
Bei protokollübergreifenden Angriffen betten Hacker SMTP-Daten in HTTP-Pakete ein und verwenden HTTP-Proxys oder CDN-Exit-Knoten, um sie an die Opfer weiterzuleiten. Durch die Ausnutzung gemeinsam genutzter Infrastrukturen wie offener HTTP-Proxys und CDN-Dienste verschmelzen diese Angriffe böswillige Aktivitäten mit legitimem Datenverkehr, wodurch sie besonders schwer zu erkennen und zu verfolgen sind.
Missverständnisse über SPF, die Ihre E-Mail-Sicherheit schwächen
Ein weit verbreitetes Missverständnis über SPF ist, dass es die sichtbare „Von“-Adresse in E-Mail-Clients authentifiziert. In Wirklichkeit verifiziert es die 5321.MailFrom-Adresse, auch bekannt als Rückgabepfad oder Bounce-Adresse, die nur in den E-Mail-Headern sichtbar ist.
Dieses Missverständnis führt oft dazu, dass Organisationen fälschlicherweise jedes sendende Tool zu ihren SPF-Einträgen hinzufügen. Die E-Mail-Expertin Laura Atkins von Word to the Wise erklärt es gut: „Einer der Fehler entsteht dadurch, dass viele Leute, sogar viele E-Mail-Experten, nicht immer wissen oder sich nicht immer daran erinnern, dass es in einer E-Mail zwei separate, aber gleich wichtige From:-Adressen gibt.“
SPF sollte nur Mechanismen für Nachrichten enthalten, die Ihre Organisationsdomäne im Rückgabepfad verwenden. Wenn im Rückgabepfad eine Subdomäne oder eine andere Domäne verwendet wird, muss diese nicht zum SPF-Eintrag Ihrer Hauptdomäne hinzugefügt werden, da sie nicht überprüft wird. Das Einfügen unnötiger Mechanismen verschwendet wertvollen SPF-Suchraum.
Schutz vor BreakSPF mit Red Sift OnDMARC
BreakSPF nutzt übermäßig freizügige SPF-Bereiche aus, sodass Angreifer DMARC umgehen und bösartige E-Mails versenden können, die authentifiziert erscheinen. Um dem entgegenzuwirken, ist es unerlässlich, nicht nur fehlerhafte, sondern auch fehlerfreie Quellen zu überprüfen, die unbekannt oder verdächtig erscheinen.
Red Sift Die Dynamic SPF-Funktion von OnDMARC schützt Ihre Domain, indem sie SPF-Datensätze kontinuierlich analysiert, um übermäßig zulässige Bereiche zu identifizieren und zu beheben. Dieser proaktive Ansatz trägt dazu bei, Ihre Sicherheitslage zu verbessern und Ihre Angriffsfläche zu verringern, indem sichergestellt wird, dass potenzielle Schwachstellen, die von BreakSPF ausgenutzt werden, behoben werden, bevor Schaden entsteht. OnDMARC erkennt und behebt auch Lücken in der Fehlkonfiguration von Protokollen und bietet so umfassenden Schutz.
OnDMARC-Benutzer profitieren außerdem von optimierten forensischen Berichten für die kontinuierliche Überwachung über Domänen und Subdomänen hinweg, einschließlich der Erkennung verdächtiger IP-Adressen. Darüber hinaus verhindert die Funktion „Dynamic SPF“ Probleme mit dem 10-DNS-Lookup-Limit, indem alle autorisierten Dienste in einer einzigen dynamischen Include-Anweisung zusammengefasst werden. Dadurch wird die SPF-Validierung für den gesamten legitimen Datenverkehr sichergestellt, unabhängig von der Anzahl der verwendeten sendenden Dienste.
Seien Sie Bedrohungen wie BreakSPF immer einen Schritt voraus – starten Sie noch heute Ihre kostenlose Testversion mit Red Sift OnDMARC!
Source: Red Sift-Blog
Sie haben Fragen? Ihr Ansprechpartner für D/A/CH
Do you have any questions? Your contact person for D/A/CH
Julian Wulff, Director Cyber Security Central Europe at Red Sift
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Studien
![Featured image for “Neue Studie von ISACA zeigt, dass die Budgets für Datenschutz 2025 sinken werden”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_181029194_S.jpg)
Neue Studie von ISACA zeigt, dass die Budgets für Datenschutz 2025 sinken werden
![Featured image for “KI-gestützter Identitätsbetrug auch 2025 weiter auf dem Vormarsch”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_435022046_S.jpg)
KI-gestützter Identitätsbetrug auch 2025 weiter auf dem Vormarsch
![Featured image for “Wissenschaftler der Universität Paderborn entwickeln App, die sicheres digitales Verhalten fördert”](https://www.all-about-security.de/wp-content/uploads/2024/10/app-68002_6401.jpg)
Wissenschaftler der Universität Paderborn entwickeln App, die sicheres digitales Verhalten fördert
![Featured image for “HP Wolf Security-Studie: Sicherheitslücken bedrohen Unternehmen in jeder Phase des Gerätelebenszyklus”](https://www.all-about-security.de/wp-content/uploads/2024/12/Depositphotos_10846788_S.jpg)
HP Wolf Security-Studie: Sicherheitslücken bedrohen Unternehmen in jeder Phase des Gerätelebenszyklus
![Featured image for “Neue Studie deckt Anstieg der SAP-Automatisierung bei zunehmender S/4HANA-Migration auf”](https://www.all-about-security.de/wp-content/uploads/2024/11/Depositphotos_525824074_S.jpg)
Neue Studie deckt Anstieg der SAP-Automatisierung bei zunehmender S/4HANA-Migration auf
Whitepaper
![Featured image for “Neuer Sicherheitsstandard für IT-Produkte veröffentlicht”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_8311837_S.jpg)
Neuer Sicherheitsstandard für IT-Produkte veröffentlicht
![Featured image for “PQC-Verschlüsselung – Was die neue Bekanntmachung des NIST für die Umstellung bedeutet”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_108766172_S.jpg)
PQC-Verschlüsselung – Was die neue Bekanntmachung des NIST für die Umstellung bedeutet
![Featured image for “Allianz Risk Barometer 2025”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_1272614_S.jpg)
Allianz Risk Barometer 2025
![Featured image for “Start der elektronischen Patientenakte: 65% der Deutschen fühlen sich schlecht informiert”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_170397486_S.jpg)
Start der elektronischen Patientenakte: 65% der Deutschen fühlen sich schlecht informiert
![Featured image for “Globaler Ausblick auf die Cybersicherheit 2025 – Orientierung in der zunehmenden Cyberkomplexität”](https://www.all-about-security.de/wp-content/uploads/2025/01/Depositphotos_127153934_S.jpg)