Analyse-ID: SAMPLE016193dc
Zeitstempel: 2026-01-22T16:16:23.520135
Quelldatei: message.eml
| Feld | Wert |
|---|---|
| Von | noreply@kundenservice.example.example |
| Display Name | Example Kundenservice |
| Betreff | *SPAM* Re: Welcome to Service Desk - Ticketnummer: 03221782 |
| Reply-To | - |
| Return-Path | - |
| Originating IP | XXX.198.173.134 |
| Check | Ergebnis | Quelle |
|---|---|---|
| SPF | none | none |
| DKIM | none | none |
| DMARC | none | none |
| # | From Server | To Server | IPs | TLS | Cipher |
|---|---|---|---|---|---|
| 1 | N/A | mail-ed1-f71.example.example | N/A | N/A | N/A |
| 2 | mail-ed1-f71.example.example | fw2.mpauli.de | XXX.85.208.71, XXX.85.208.71 | N/A | N/A |
| 3 | N/A | 2002 | N/A | N/A | N/A |
| 4 | N/A | 2002 | N/A | N/A | N/A |
| 5 | N/A | mx1.core1.sfdc-xxxxx.mta.example.example | XXX.7.0.201, XXX.7.0.201 | N/A | N/A |
| 6 | 127.0.0.1 | eaas-18 | N/A | N/A | N/A |
| 7 | fw2.mpauli.de | axigen | N/A | N/A | N/A |
| 8 | smtp-3b5c9707.core1.sfdc-xxxxx.mta.example.example | mx.example.example | XXX.198.173.134, XXX.198.173.134 | TLS1_3 | TLS_AES_256_GCM_SHA384 |
TLS Encryption: ✓ Ja | ARC Headers: ✗ Nein
⚠ Security Issues: No ARC headers in multi-hop chain
Issue: SPF Result: none
Recommendation: Enable SPF validation with reject/quarantine policy
config_postfix: smtpd_recipient_restrictions = reject_unauth_pipelining, reject_unverified_sender
config_rspamd: spf { enabled = true; }
Issue: No DKIM validation detected
Recommendation: Enable DKIM signature verification
config_postfix: Install opendkim: apt-get install opendkim opendkim-tools
config_rspamd: dkim { enabled = true; }
Issue: No DMARC validation detected
Recommendation: Enable DMARC policy enforcement
config_postfix: Install opendmarc: apt-get install opendmarc
config_rspamd: dmarc { enabled = true; }
Issue: No ARC (Authenticated Received Chain) headers
Recommendation: Enable ARC sealing to preserve authentication through forwarding
config_exchange: Set-TransportConfig -ARCTrustedSealers @{Add="domain.example"}
config_rspamd: arc { enabled = true; mode = "sign"; }
| URL | Erreichbar | Login-Form | Typosquatting | Score |
|---|---|---|---|---|
| https://serviceportal.example.example/datenschutz-abo... | ✗ | - | - | 0 |
| https://serviceportal.example.example... | ✗ | - | - | 0 |
| https://example.file.force.example/file-asset-public/OSP?oid=00D2p0000013rIm... | ✗ | - | - | 0 |
| https://serviceportal.example.example/s/faq... | ✗ | - | - | 0 |
| Indikator | Wert |
|---|---|
| Extrahierte URLs | 4 |
| IBANs (maskiert) | - |
| CEO-Fraud Indikatoren | geschäftsführer, sofort |
| Bank-Erwähnungen | ing |
| Urgency-Score | 10/100 |
| Tracking-Pixel | Nein |
| IP | Threat Score | Threat Indicators |
|---|---|---|
| XXX.198.173.134 | 0/100 | Clean |
| XXX.7.0.201 | 0/100 | Clean |
| XXX.85.208.71 | 0/100 | Clean |
| Domain | Threat Score | Threat Indicators |
|---|---|---|
| example.file.force.example | 0/100 | Clean |
| serviceportal.example.example | 0/100 | Clean |
| serviceportal.example.example | 0/100 | Clean |
| URL | Threat Score | Threat Indicators |
|---|---|---|
| https://serviceportal.example.example... | 0/100 | Clean |
| https://serviceportal.example.example/s/faq... | 0/100 | Clean |
| https://example.file.force.example/file-asset-public/OSP?oid=00D2p00... | 0/100 | Clean |
| https://serviceportal.example.example/datenschutz-abo... | 0/100 | Clean |
### Risikobewertung: HIGH
**Begründung:**
1. **Header-Authentizität**
- SPF/DKIM/DMARC Ergebnisse sind alle "none", was ungewöhnlich ist für eine offizielle E-Mail.
- Es gibt Routing-Probleme und keine ARC-Headers, was die Echtheit fragwürdig macht.
2. **Absender-Legitimität**
- Die Domain scheint nicht bekannt oder legitim zu sein. Typosquatting-Versuche können nicht ausgeschlossen werden.
- Der Display-Name passt nicht zur tatsächlichen Adresse und beinhaltet den Begriff "geschäftsführer", was CEO-Fraud vermuten lässt.
3. **URL-Verdächtigkeit**
- Es gibt 4 URLs, die weiter analysiert werden sollten. Keine Verdächtigen URL-Domains wurden erkannt, aber das fehlende HTTPS kann ein Indikator für Sicherheitsprobleme sein.
4. **Social Engineering Taktiken**
- Der Betreff und der Inhalt betonen Dringlichkeit und autoritäre Anordnungen ("sofort", "geschäftsführer"), was typisch für Phishing-E-Mails ist.
- Es gibt keine expliziten Drohungen, aber die verlangte Reaktion kann als unter Druck gesetzt erscheinen.
5. **Banking-spezifische Risiken**
- Die Anwähnung des Begriffs "geschäftsführer" und der Verwendung von "ING" (eine bekannte Bank) deutet auf einen Banking-Phishing-Versuch hin.
- Es gibt keine spezifischen Indikatoren für SEPA/IBAN-Manipulation oder Zahlungsaufforderungen, aber die Kontextierung des E-Mails macht das Risiko erhöht.
6. **Technische Indikatoren**
- Keine technischen Indikatoren wie Tracking-Pixel, verdächtige Anhänge oder eingebettete Formulare wurden erkannt.
- Die fehlenden SPF/DKIM/DMARC-Einträge sind jedoch ein ernstes Sicherheitsrisiko.
7. **Klassische Phishingtechniken**
- Der Betreff und der Inhalt verwenden typische Phishing-Taktiken, die auf sozialen Ingenieurbegriffen basieren.
**Handlungsempfehlungen für das SOC-Team:**
1. **Anpassung der E-Mail-Bewertung:** Da die E-Mail mehrere starke Phishing-Indikatoren aufweist, sollte sie an den entsprechenden Prozess zur Phishing-Erkennung weitergeleitet werden.
2. **Benachrichtigung des Empfängers:** Der Empfänger der E-Mail sollte unverzüglich über das Potenzielle Risiko informiert und zur Überprüfung auf gefährliche Links oder Anhänge aufgefordert werden.
3. **Verifikation der Kontaktdaten:** Stellen Sie sicher, dass alle bereitgestellten Kontaktinformationen (einschließlich URLs) mit offiziellen Quellen verifiziert sind.
4. **Überprüfung weiterer E-Mails:** Überprüfen Sie die gesamte Kommunikationshistorie des Empfängers auf ähnliche Phishing-Angriffe und möglichen Manipulationen.
Durch diese Maßnahmen kann das Risiko minimiert werden und eventuelle Angriffe schnell erkannt und abgefangen werden.
{
"email-src": [
"noreply@kundenservice.example.example"
],
"ip-src": [
"XXX.198.173.134",
"XXX.85.208.71",
"XXX.7.0.201"
],
"url": [
"https://serviceportal.example.example/datenschutz-abo",
"https://serviceportal.example.example",
"https://example.file.force.example/file-asset-public/OSP?oid=00D2p0000013rIm",
"https://serviceportal.example.example/s/faq"
],
"domain": [
"serviceportal.example.example",
"serviceportal.example.example",
"example.file.force.example"
]
}
Generiert von CAPE Phishing Analyzer v2.4.1 (OSINT Integration) (Multi-Source Auth + Routing-Analyse)
2026-01-22 16:17:17
Note: This sample report has been anonymized for documentation purposes (domains → example.*, IPs → XXX.*)