Wie ich (fast) neuer Parteivorsitzender wurde

und was DMARC damit zu tun hat

Avatar

Rick Grassmann

08. September 2025

Vor kurzem erhielt ich eine ganz besondere E-Mail:

Bild einer Phishing E-Mail im Posteingang (Strato), der Absender ist scheinbar csu.de

Natürlich habe ich mich nicht heimlich in die CSU-Spitze geschlichen. Die Mail habe ich mir selbst geschickt, und zwar, indem ich die schwache DMARC-Konfiguration der Domain csu.de ausgenutzt habe.

Die Mail wurde ganz einfach mit dem Komandozeilentool Ncat verschickt. Wichtig dabei ist, dass im "mail from"-Header eine Domain steht, bei der kein SPF konfiguriert ist. Diese Domain wird in den meisten E-Mail-Clients leider nicht angezeigt, dient aber der Prüfung von SPF (ohne DMARC gibt es hier keine Abgleichung mit dem "from"-Header). Die eingegebenen Befehle sind die folgenden:

ncat -C -4 mymailserver.example 25
ehlo rickgrassmann.com
mail from: test@domainwithoutspf.com
rcpt to: rick@rickgrassmann.com
data 
subject: Herzlichen Glückwunsch!
from: Markus Soeder <markus.soeder@csu.de> 
Hey Rick, 
herzlichen Glückwunsch, du bist der neue Parteivorsitzende der
CSU! 
VG Markus 
.

Was ist DMARC eigentlich?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist ein Mechanismus, der E-Mail-Absender vor Missbrauch schützt. Mit einem korrekt gesetzten DMARC-Eintrag können Angreifer nicht mehr so einfach Mails im Namen einer Domain verschicken.

Fehlt DMARC oder ist es schwach konfiguriert, kann jeder (wie in meinem Beispiel) täuschend echt wirkende E-Mails im Namen einer bekannten Organisation verschicken.

Untersuchung der deutschen Parteien

Wir haben die DMARC-Konfigurationen der großen deutschen Parteien überprüft. Das Ergebnis war ernüchternd: Nur die CDU hatte ihre Domains wirklich sauber abgesichert, bei allen anderen Parteien fanden wir deutliche Schwachstellen.

DMARC-Konfiguration der deutschen Parteien

Das bedeutet: Jede dieser Domains kann potenziell missbraucht werden, um Fake-Mails an Bürgerinnen und Bürger, Medien oder eventuell sogar Parteimitglieder zu verschicken.

Gerade im politischen Umfeld ist E-Mail-Sicherheit entscheidend. Im Wahlkampf kann so etwas enorme Wirkung entfalten und Vertrauen nachhaltig schädigen.

Wir haben die betroffenen Parteien bereits vor rund einem halben Jahr über die bestehenden Schwachstellen informiert. Leider haben wir bis heute keine Rückmeldung erhalten und an den DMARC-Einträgen hat sich ebenfalls nichts geändert.

Fazit

Der Schutz der eigenen E-Mail-Domains sollte für politische Parteien eine Selbstverständlichkeit sein. Ein sauber gesetzter DMARC-Eintrag ist technisch nicht kompliziert, aber ein zentraler Baustein, um das Vertrauen in digitale Kommunikation zu sichern.

Solange hier nicht nachgebessert wird, können sich Cyberkriminelle weiterhin leicht als Parteivorsitzender, Generalsekretärin oder Kandidat ausgeben. Das ist weit gefährlicher als mein kleiner Test mit Markus Söder.