Echospoofing & SubdoMailing: Vergessene Subdomains als Angriffstor

Echospoofing nutzt fehlkonfigurierte SPF-Records von Cloud-Tenants. SubdoMailing übernimmt verwaiste Subdomains und Dangling-CNAMEs zur Massen-Mail im Namen der Hauptdomain. Guardio Labs dokumentierte 2024 eine breite SubdoMailing-Kampagne. Diese Seite zeigt beide Varianten, DMARC sp=reject als zentralen Schutz und Wolf-Agents CT-Log-Monitoring als Erkennungs-Hebel.

DMARC + Subdomain-Policy prüfen Plattform entdecken

Bedrohung · MITRE T1584.001

Von Wolf-Agents Security Team · Aktualisiert: 13. Mai 2026

Definition

Echospoofing und SubdoMailing — die Unterschiede

Echospoofing und SubdoMailing sind beides Identitäts-Angriffe, die DNS-Konfigurations-Lücken ausnutzen — aber auf unterschiedliche Weise. Echospoofing nutzt fehlkonfigurierte SPF-Records mit weiten Cloud-Tenant-Pools: Ein Angreifer mit Zugriff auf einen Sub-Tenant im selben Pool kann SPF-Pass im Namen Ihrer Domain erreichen. SubdoMailing übernimmt verwaiste Subdomains und Dangling-CNAMEs — der Angreifer kontrolliert den Hostnamen und damit auch die geerbten Trust-Anker. MITRE ATT&CK ordnet Subdomain-Hijacking unter T1584.001 (Compromise Infrastructure: Domains) ein.

Guardio Labs deckte im Februar 2024 die bisher größte dokumentierte SubdoMailing-Kampagne auf — Tausende Subdomains bekannter Marken wurden übernommen, Millionen Spam-/Phishing-Mails versendet. Wolf-Agents kombiniert drei Schutz-Schichten: DMARC sp=reject-Check im Email Security Check, CT-Log-Monitoring für neue Zertifikate auf eigenen Subdomains, Stack Detection für Provider-Wechsel.

Echospoofing + SubdoMailing in einem Satz

Beide Angriffe nutzen DNS-Hygiene-Lücken: Echospoofing missbraucht weite SPF-Includes, SubdoMailing missbraucht verwaiste DNS-Records. Verteidigung: DMARC sp=reject (Pflicht), DNS-Audit (Dangling-CNAMEs aufräumen), CT-Log-Monitoring (proaktive Erkennung).

Angriffs-Mechanik

Wie funktionieren Echospoofing und SubdoMailing?

Echospoofing missbraucht SPF-Pools: Ein Cloud-Anbieter wie Google Workspace oder Microsoft 365 hat einen großen IP-Pool, der von Tausenden Tenants geteilt wird. Wenn Ihr SPF-Record einen weiten Include wie `include:_spf.google.com` enthält, sind alle diese Tenants als „autorisierte Sender“ für Ihre Domain markiert. Ein Angreifer mit Tenant im selben Pool kann SPF-Pass im Namen Ihrer Domain erreichen. SubdoMailing übernimmt eine verwaiste Subdomain, hostet dort einen Mailserver und nutzt die geerbten DMARC-Trust-Anker.

DNS-Recherche (beide Varianten)

Angreifer scannt SPF-Records nach weiten Includes (Echospoofing) oder DNS-Records nach Dangling-CNAMEs (SubdoMailing). Tools: dnsdumpster, Subfinder, Detectify.

Tenant- oder Subdomain-Übernahme

Echospoofing: Sub-Tenant im selben Cloud-Pool registrieren. SubdoMailing: verwaiste Subdomain-Ziel-Service registrieren (z.B. AWS S3 Bucket, GitHub Pages).

Mailserver + Authentifizierung

Angreifer konfiguriert SMTP, registriert TLS-Zertifikat (Let's Encrypt) und DKIM-Selector. Bei Echospoofing greift SPF-Pass automatisch, bei SubdoMailing wird DKIM/SPF für die übernommene Subdomain neu eingerichtet.

Massen-Versand mit DMARC-Pass

Phishing- oder Spam-Mails mit DKIM-Signatur und SPF-Pass. DMARC-Validatoren sehen alle Auth-Signale grün. Empfänger sehen die echte Marke im From-Header.

Echospoofing-Pattern (SPF mit weitem Include) DNS

; SPF-Record der Ziel-Domain
ihre-firma.de.  IN  TXT  "v=spf1 include:_spf.google.com ~all"

; Aufloesung _spf.google.com (vereinfacht)
_spf.google.com.  IN  TXT  "v=spf1 include:_netblocks.google.com ... -all"

; _netblocks.google.com enthaelt riesigen IP-Pool
; → JEDER Google-Workspace-Tenant ist als Sender autorisiert
; → Angreifer-Tenant kann SPF-pass im Namen ihre-firma.de erreichen

; Mitigation: SPF-Include enger fassen, DMARC strict alignment (adkim=s)

SubdoMailing-Mechanismus — 3-Phasen-Flow (Guardio Labs Februar 2024)

Multimodaler 3-Phasen-Flow: Phase 1 DNS-Recherche (Massenhafte CT-Log + SPF-Resolution-Graph) → Phase 2 Übernahme (verwaister Cloud-Tenant) → Phase 3 Versand mit eigenem MX/SPF/DKIM. Authentifizierungs-Ergebnisse: SPF PASS + DKIM PASS + DMARC PASS — Authentifizierung schützt NICHT, nur Hygiene + sp=reject schützt. Guardio Labs Februar 2024: 8.000+ Domains, 13.000+ Subdomains. ResurrecAds 2025-Update: 22.000 unique IPs, 5 Mio Spam/Tag. Betroffen: MSN/VMware/McAfee/eBay/CBS/Marvel/UNICEF/NYU.

Dokumentierte Vorfälle

SubdoMailing-Kampagne 2024 + Echospoofing-Trends

Guardio Labs deckte im Februar 2024 die bisher größte dokumentierte SubdoMailing-Kampagne auf. Tausende übernommene Subdomains, Millionen Spam-/Phishing-Mails. Proofpoint und andere Email-Security-Anbieter dokumentieren Echospoofing-Kampagnen mit Multi-Mio-Mail-Volumen pro Tag. Der BSI-Lagebericht 2025 nennt Identitäts-Imitation als wichtigen Angriffs-Trend.

2024

Guardio Labs SubdoMailing-Kampagne (Februar 2024)

Guardio Labs deckte die bisher größte dokumentierte SubdoMailing-Kampagne auf. Tausende übernommene Subdomains bekannter Marken aus Medien, Handel und Industrie. Millionen Spam- und Phishing-Mails. Quelle: Guardio Labs Research.

2024

Proofpoint Echospoofing-Bericht

Proofpoint dokumentierte eine Multi-Mio-Mails-pro-Tag-Kampagne mit Echospoofing-Pattern. Top-Marken wurden über fehlkonfigurierte SPF-Includes imitiert.

2024

BSI-Lagebericht 2025 — Identitäts-Imitation

Der BSI-Lagebericht 2025 weist Identitäts-Imitation als wichtigen Angriffs-Trend aus. SubdoMailing und Look-Alike-Domains sind die zwei dominanten Sub-Techniken.

2024–2025

Guardio Labs 2024 Folge-Daten — ResurrecAds skaliert

Nach dem Februar-2024-Initialbericht aktualisiert Guardio Labs den SubdoMailing-Checker täglich. Stand 2025: ResurrecAds nutzt rund 22.000 einzigartige IPs, über 8.000 legitime Internet-Domains und 13.000+ Subdomains, mit bis zu 5 Millionen versendeten Mails pro Tag. Der Angriffs-Mechanismus bleibt CNAME-Hijacking plus SPF-Record-Exploitation. Der Live-Checker zeigt täglich aktualisierte Listen kompromittierter Subdomains. Quellen: Guardio Labs SubdoMailing, BleepingComputer 2024.

Erkennung

Wie erkenne ich Echospoofing und SubdoMailing gegen meine Domain?

Erkennung läuft auf drei Ebenen: DNS-Audit (Dangling-CNAMEs identifizieren), CT-Log-Monitoring (neue Zertifikate auf eigenen Subdomains), DMARC-Reports (Aggregat-Reports zeigen alle sendenden IPs). Wolf-Agents kombiniert alle drei Schichten in der Plattform.

DNS-Audit

Subdomain-Inventar mit Subfinder oder Amass
Dangling-CNAME-Erkennung (dig +trace)
Cloud-Service-Liste auf Konsistenz prüfen
SPF-Lookup-Auflösung mit spfcheck.net
Wolf-Agents Email Security Check (SPF-Lookup-Zählung)

CT-Log + DMARC-Reports

Certstream live-Stream
DMARC rua-Reports auswerten (sendende IPs)
DMARC ruf-Reports (Fehler-Details)
Wolf-Agents Stack Detection
Postmark DMARC / Easydmarc / Valimail

Wolf-Agents-USP für SubdoMailing

Wolf-Agents prüft im Email Security Check explizit den `sp=`-Tag der DMARC-Policy — fehlt der Subdomain-Override oder ist er auf p=none gesetzt, wird das als Risiko-Punkt markiert. Das CT-Log-Monitoring (Certstream) erkennt neue TLS-Zertifikate für Subdomains, die nicht im offiziellen Service-Inventar stehen. Stack Detection erkennt Provider-Wechsel — beides sind SubdoMailing-Frühwarn-Signale.

Schutzmaßnahmen

Wie schütze ich mich vor Echospoofing und SubdoMailing?

Der wichtigste Schutz ist DMARC mit `sp=reject` für die Subdomain-Policy. Damit werden alle nicht-authentifizierten Subdomain-Mails geblockt — auch übernommene Subdomains liefern dann nicht mehr. SPF-Hardening (enge Includes statt weiter Cloud-Pools, strict alignment via `adkim=s` und `aspf=s`) reduziert Echospoofing. DNS-Hygiene mit regelmäßigem Subdomain-Audit verhindert Dangling-CNAMEs.

DMARC sp=reject

Subdomain-Policy auf `sp=reject` setzen. Verhindert, dass übernommene Subdomains DMARC-pass erreichen können.

SPF-Hardening

Enge SPF-Includes statt weiter Cloud-Pools. Strict Alignment im DMARC (`adkim=s`, `aspf=s`) reduziert Echospoofing-Erfolg.

DNS-Hygiene

Quartalsweises Subdomain-Audit. Dangling-CNAMEs identifizieren und entfernen. Cloud-Service-Inventar pflegen.

CT-Log-Monitoring

Wolf-Agents Stack Detection mit Certstream-Integration. Alarm bei neuen TLS-Zertifikaten für eigene Subdomains.

DMARC-Enforcement

p=reject auf Hauptdomain + sp=reject auf Subdomain. Vollständige DMARC-Härtung als Voraussetzung.

Defensiv-Registrierungen

Typo-Squatting- und IDN-Varianten Ihrer Marke selbst registrieren. Reduziert die Echospoofing-Look-Alike-Angriffsoberfläche.

Incident-Response

Was tun bei einem Echospoofing- oder SubdoMailing-Vorfall?

Bei Erkennung einer übernommenen Subdomain: DNS-Eintrag sofort entfernen (CNAME löschen), DMARC sp=reject prüfen/setzen, betroffene Empfänger informieren, ggf. Strafanzeige. Bei Echospoofing: SPF-Include enger fassen, alignment auf strict, DMARC-Reports forensisch auswerten.

Dangling-CNAME entfernen — sofortige DNS-Korrektur. Subdomain kann danach nicht mehr von Angreifer kontrolliert werden.
DMARC sp=reject setzen — falls noch nicht aktiv. Wirkt als sofortiger Block für nicht-authentifizierte Subdomain-Mails.
DMARC-Reports forensisch auswerten — Aggregat-Reports zeigen alle IPs, die für Ihre Domain gesendet haben. Verdächtige Pattern identifizieren.
Empfänger informieren — bei breit gestreuter Kampagne: Pressemitteilung oder Kunden-Email mit Warn-Hinweis.
Strafanzeige — bei deutschem Tatort: ZAC der Bundesländer. Hosting-Provider-Take-Down-Request.
NIS2 Art. 23 + DSGVO Art. 33 — bei erheblichem Vorfall oder Datenpanne entsprechende Meldepflichten.

Compliance

SubdoMailing-Schutz nach NIS2 lit. a + h

Echospoofing und SubdoMailing fallen unter NIS2 Art. 21 Abs. 2 lit. a (Risikoanalyse-Konzepte — DNS-Hygiene als Risiko-Inventar) und lit. h (Kryptografie + Verschlüsselung — DKIM-Signatur als Schutz). Bei BSI-pflichtigen Branchen sind regelmäßige DNS-Audits Pflicht. BSI TR-03108 fordert DKIM/SPF/DMARC als sicheren Email-Transport.

NIS2 lit. a (Risikoanalyse)

DNS-Hygiene als Risiko-Inventar. Subdomain-Audit, Dangling-CNAMEs identifizieren und entfernen. Cloud-Service-Inventar.

NIS2 lit. h (Kryptografie)

DKIM-Signatur als kryptografischer Schutz. DMARC sp=reject als Policy-Erzwingung der DKIM/SPF-Validierung auch für Subdomains.

BSI TR-03108

Sicherer Email-Transport mit SPF/DKIM/DMARC. sp=reject ist Teil der vollständigen DMARC-Konformität nach Stand der Technik.

Der Wolf-Agents Email Security Check prüft sp= explizit. Das Monitoring mit CT-Log-Integration erkennt neue Zertifikate auf eigenen Subdomains als SubdoMailing-Frühwarn-Signal.

Wie steht Ihre Domain bei Echospoofing & SubdoMailing?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten

Häufig gestellte Fragen

Was ist Echospoofing?

Echospoofing ist eine Spoofing-Variante, die fehlkonfigurierte SPF-Records von Cloud-Tenants ausnutzt. Wenn Ihr SPF-Record einen weiten Cloud-Provider-Include enthält (z.B. _spf.google.com mit Sub-Domains), kann jeder Tenant innerhalb dieses Pools im Namen Ihrer Domain senden — und SPF-Pass-Status erreichen. Proofpoint hat 2024 eine Multi-Mio-Mails-pro-Tag-Kampagne dokumentiert, die Top-Marken über Echospoofing imitierte.

Was ist SubdoMailing?

SubdoMailing ist die Übernahme verwaister Subdomains oder Dangling-CNAMEs zur Versendung von Emails im Namen der Hauptdomain. Guardio Labs deckte 2024 eine breite Kampagne auf, bei der Tausende Subdomains bekannter Marken (Medien, Handel, Industrie) übernommen wurden — Angreifer registrierten die DNS-referenzierten Dienste neu und nutzten die geerbten DMARC/SPF-Trust-Anker für eine massive Spam- und Phishing-Welle. Quelle: <a href="https://labs.guard.io/subdomailing-thousands-of-hijacked-major-brand-subdomains-found-bombarding-users-with-millions-a5e5fb892935" rel="noopener">Guardio Labs, Februar 2024</a>.

Wie entstehen Dangling-CNAMEs?

Wenn ein Marketing-Tool, ein Cloud-Service oder ein Drittanbieter-Dienst gekündigt wird, bleibt häufig der CNAME-Record im DNS bestehen — er zeigt auf einen Hostnamen, den der ursprüngliche Anbieter nicht mehr verwaltet. Wenn der Anbieter den Hostnamen freigibt, kann ein Angreifer ihn neu registrieren und damit auch den CNAME-Eintrag „erben“. Subdomain-Takeover-Listen (Hackerone, Detectify) dokumentieren betroffene Cloud-Anbieter.

Warum hilft DMARC mit sp=reject?

DMARC kennt eine Subdomain-Policy (`sp=`-Tag), die für alle Subdomains gilt, die keine eigene DMARC-Policy haben. Mit `sp=reject` werden alle nicht-authentifizierten Emails aus übernommenen Subdomains abgelehnt — auch wenn die Hauptdomain selbst nur p=quarantine oder p=none hat. sp=reject ist deshalb der wichtigste technische Schutz gegen SubdoMailing. Die R2-Konvergenz-Audit-Lessons zeigen, dass viele Setups sp= vergessen.

Wie helfen CT-Logs gegen SubdoMailing?

Wenn ein Angreifer eine übernommene Subdomain mit TLS ausstattet, taucht das Zertifikat in den CT-Logs auf. Wolf-Agents CT-Log-Monitoring (Certstream-Integration) erkennt neue Zertifikate für eigene Subdomains und alarmiert — auch wenn die Subdomain seit Jahren nicht mehr aktiv genutzt wurde. Stack Detection erkennt zudem „neue“ Hosting-Provider für vermeintliche eigene Domains.

Was bietet Wolf-Agents speziell gegen Echospoofing und SubdoMailing?

Drei Schichten: (1) Email Security Check bewertet DMARC inklusive Subdomain-Policy-Check (`sp=`-Tag) und SPF-Lookup-Auflösung — wenn ein weiter Cloud-Include drin steht, wird das markiert. (2) CT-Log-Monitoring erkennt neue TLS-Zertifikate für eigene Subdomains. (3) Stack Detection erkennt Provider-Wechsel, die auf SubdoMailing-Übernahme hinweisen könnten. Diese Kombination ist Wolf-Agents-spezifisch.