
Über den SMTP-Befehl RCPT TO lassen sich gültige von ungültigen Empfängern unterscheiden, sobald ein Mailserver mit 250 statt 550 antwortet. Dieser Beitrag erklärt die SMTP-Enumeration aus Admin-Sicht, den Zusammenhang mit dem Directory Harvest Attack und wie Conbool MailGuard den Mailserver ohne Umbau härtet.
Die neuesten Beiträge aus unserem Blog.

Die BSI Technische Richtlinie TR-03108 definiert den Maßstab für sicheren E-Mail-Transport und verlangt DANE, MTA-STS und TLS-RPT. Dieser Beitrag erklärt, was die Richtlinie fordert, an wen sie sich…

MTA-STS oder DANE? Beide Standards machen die Transportverschlüsselung verbindlich, setzen aber auf unterschiedliche Vertrauensanker. Dieser Vergleich erklärt die Unterschiede bei DNSSEC, Trust on…
Wer regelmäßig in die Logs seines Mailservers schaut, kennt das Muster: Aus einer einzelnen IP-Adresse trudeln in wenigen Sekunden hunderte Zustellversuche ein, fast alle für Empfänger, die es im Unternehmen gar nicht gibt. Mal info.buchhaltung@, mal m.mueller@, mal support2@. Kaum eine Nachricht wird je angenommen, und doch hört der Strom nicht auf. Was hier passiert, ist selten ein verirrter Spam-Bot. Es ist eine gezielte SMTP-Enumeration, bei der jemand über den Befehl RCPT TO systematisch herausfindet, welche Adressen Ihrer Domäne tatsächlich existieren.
Dieser Beitrag erklärt aus Admin-Sicht, warum eine harmlose Serverantwort wie 250 oder 550 genügt, um echte Postfächer von ungültigen Empfängern zu unterscheiden, wie daraus ein Directory Harvest Attack wird und wie sich ein Mailserver härten lässt, ohne ihn umzubauen.
TL;DR: Beim Zustellen einer E-Mail nennt der sendende Server jeden Empfänger einzeln mit dem Befehl
RCPT TO. Der empfangende Server antwortet pro Empfänger mit einem Statuscode:250für ein gültiges Postfach, oft550für eine unbekannte Adresse. Genau diese unterschiedliche Antwort macht es Angreifern möglich, ohne Versand einer einzigen Nachricht ganze Adresslisten durchzuprobieren und gültige Adressen einzusammeln. Das ist die Grundlage der SMTP-Enumeration und des Directory Harvest Attack.
Jede E-Mail-Zustellung im Internet folgt einem festen Dialog des Simple Mail Transfer Protocol. Der sendende Server meldet sich an, nennt den Absender und anschließend für jeden Empfänger getrennt eine Adresse. Erst danach folgt der eigentliche Nachrichteninhalt. Der entscheidende Punkt für Angreifer: Schon der Empfängerschritt, der RCPT TO-Befehl, wird vom Zielserver einzeln beantwortet, lange bevor überhaupt Inhalt übertragen wird.
Wenn ein Mailserver einen Empfänger sofort als gültig oder ungültig bewertet, gibt er damit unfreiwillig Auskunft über sein Adressverzeichnis. Ein Angreifer braucht keine Zugangsdaten, keine Schwachstelle und keinen Exploit. Er nutzt das Protokoll exakt so, wie es vorgesehen ist.
Der SMTP-Standard kennt eine Reihe von Statuscodes. Für die Empfängerprüfung sind zwei besonders relevant:
| Antwort | Bedeutung | Was der Angreifer daraus ableitet |
|---|---|---|
| 250 OK | Empfänger akzeptiert | Das Postfach existiert, die Adresse ist gültig |
| 550 User unknown | Empfänger sofort abgelehnt | Die Adresse existiert nicht, gehört nicht in die Liste |
| 451 / 421 (temporär) | Vorübergehende Verzögerung | Unklar, später erneut versuchen |
| 252 (kann nicht prüfen) | Annahme ohne Bestätigung | Keine eindeutige Aussage, weniger nützlich |
Solange ein Server zwischen 250 und 550 klar unterscheidet, ist jede Antwort ein verlässliches Signal. Der Angreifer probiert eine erratene Adresse, liest die Antwort und weiß sofort, ob sich der Treffer lohnt. Das Problem liegt also nicht in einem Fehler des Servers, sondern in seiner Hilfsbereitschaft: Er sagt früh und eindeutig, was er kennt und was nicht.
Wie unauffällig das aussieht, zeigt ein vereinfachter Mitschnitt einer einzigen Verbindung. Die Zeilen mit S: stammen vom Server, die mit C: vom verbindenden Client, hier dem Angreifer.
S: 220 mail.ihre-domain.de ESMTP bereit C: EHLO probe.example S: 250-mail.ihre-domain.de S: 250 OK C: MAIL FROM:<scan@probe.example> S: 250 2.1.0 Absender OK C: RCPT TO:<karl.huber@ihre-domain.de> S: 250 2.1.5 Empfänger OK C: RCPT TO:<gibtsnicht@ihre-domain.de> S: 550 5.1.1 User unknown C: RCPT TO:<m.schmidt@ihre-domain.de> S: 250 2.1.5 Empfänger OK C: QUIT S: 221 Auf Wiedersehen
Es wird nie ein DATA-Kommando gesendet, also nie eine Nachricht zugestellt. Trotzdem hat der Angreifer in Sekunden gelernt: karl.huber und m.schmidt existieren, gibtsnicht nicht. Multipliziert mit tausenden Namen pro Minute ergibt das ein präzises Adressbuch Ihres Unternehmens.
Was im Einzelfall harmlos wirkt, wird in der Masse zum Werkzeug. Ein Directory Harvest Attack ist nichts anderes als die systematische, automatisierte Anwendung dieses Prinzips. Der Angreifer füttert ein Skript mit Vornamen, Nachnamen und gängigen Mustern wie vorname.nachname, v.nachname oder Funktionsadressen wie info, buchhaltung, vertrieb. Das Skript testet diese Kombinationen gegen RCPT TO und protokolliert jeden Treffer mit 250.
Am Ende steht ein verifiziertes Verzeichnis echter Postfächer. Dieses Verzeichnis ist aus zwei Gründen wertvoll:
buchhaltung@ und geschaeftsfuehrung@ existieren, kann eine glaubwürdige CEO-Fraud-Nachricht an genau die richtige Person richten. Aus einer technischen Adressliste wird so die Vorbereitung eines Phishing-Angriffs.Die Enumeration ist damit oft der erste, leise Schritt einer Angriffskette. Sie hinterlässt keine Zustellung und löst klassische Spam-Filter nicht aus, weil nie eine Nachricht ankommt.
Die gute Nachricht: Ein Directory Harvest Attack ist im Log gut sichtbar, wenn man weiß, wonach man sucht. Drei Muster sind typisch:
550-Antworten und kaum echte Zustellungen. Ein gesunder Versender hat ein umgekehrtes Verhältnis.RCPT TO folgt direkt ein QUIT oder ein Abbruch, ohne dass jemals Inhalt übertragen wurde. Das ist das deutlichste Indiz, weil legitime Versender Nachrichten auch tatsächlich zustellen.Wer diese drei Signale gegen die Quell-IP korreliert, erkennt eine laufende Enumeration meist innerhalb weniger Minuten.
Der Kern der Schwäche ist die unterschiedliche Behandlung gültiger und ungültiger Empfänger. Vier Maßnahmen entziehen dem Angreifer genau dieses Signal, und keine davon erfordert einen Neuaufbau der Infrastruktur:
| Maßnahme | Wirkung | Warum sie ohne Umbau funktioniert |
|---|---|---|
| Einheitliche Antworten | Gültige und ungültige Empfänger werden gleich behandelt, der Unterschied 250 zu 550 verschwindet | Greift als Regel vor oder im Gateway, nicht in der Postfachlogik |
| Drosselung und Tarpit | Nach mehreren fehlgeschlagenen Empfängern wird absichtlich langsam geantwortet | Begrenzt die Versuche pro Zeit, ohne legitime Mail zu bremsen |
| Limit pro Verbindung | Maximale Zahl an RCPT TO und an Fehlversuchen je Sitzung | Reine Zähler-Regel auf Verbindungsebene |
| Empfängervalidierung am Rand | Unbekannte Adressen werden zentral und einheitlich abgewiesen | Lässt sich vorgelagert durchsetzen, der Zielserver bleibt unberührt |
Im Kern geht es darum, pro Empfänger keine unterscheidbare Antwort mehr zu liefern und die Geschwindigkeit zu begrenzen, mit der überhaupt geraten werden kann. Ein Angreifer, der für jede getestete Adresse dieselbe verzögerte Antwort erhält, kann gültige nicht mehr von ungültigen Adressen trennen. Damit verliert die gesamte Enumeration ihren Wert.
Genau hier setzt ein vorgeschaltetes E-Mail-Gateway an. Conbool MailGuard wird per MX-Eintrag vor Ihren bestehenden Mailserver oder vor Microsoft 365 geschaltet und nimmt den eingehenden SMTP-Dialog zuerst entgegen. Auf dieser Ebene lassen sich die genannten Maßnahmen durchsetzen, ohne dass an Exchange Online oder dem internen Server etwas geändert werden muss: einheitliche Empfängerbehandlung, Drosselung verdächtiger Quellen, Limits pro Verbindung und eine zentrale, einheitliche Abweisung unbekannter Adressen.
Weil der gesamte Mailfluss ohnehin über diese Stelle läuft, fließt der Schutz vor Directory Harvesting nahtlos mit dem übrigen Bedrohungsschutz, der Spam-Filterung und der Transportabsicherung wie MTA-STS zusammen. Wer den aktuellen Stand seiner Domäne prüfen möchte, kann das vorab mit dem kostenlosen Transportsicherheits-Check tun.
SMTP-Enumeration ist ein Verfahren, mit dem ein Angreifer gültige von ungültigen E-Mail-Adressen einer Domäne unterscheidet. Dafür baut er eine SMTP-Verbindung zum Mailserver auf und sendet für viele erratene Adressen jeweils einen RCPT TO-Befehl. Aus der Antwort des Servers leitet er ab, ob ein Postfach existiert, ohne dass jemals eine Nachricht zugestellt wird.
Nimmt der Server einen Empfänger an, antwortet er mit dem Statuscode 250 und signalisiert damit ein existierendes Postfach. Kennt er die Adresse nicht, lehnt er sie häufig sofort mit 550 ab, etwa mit dem Hinweis User unknown. Diese unterschiedliche Behandlung pro Empfänger macht jede einzelne RCPT TO-Antwort zu einem verlässlichen Hinweis darauf, ob eine Adresse echt ist.
Ein Directory Harvest Attack ist die systematische Anwendung der SMTP-Enumeration. Der Angreifer testet automatisiert ganze Namenslisten und gängige Muster wie vorname.nachname gegen RCPT TO und sammelt alle Adressen ein, die mit 250 beantwortet werden. Das Ergebnis ist ein verlässliches Verzeichnis echter Postfächer, das anschließend für Spam und gezieltes Spear-Phishing genutzt wird.
Typische Merkmale sind viele RCPT TO-Versuche aus einer einzelnen IP-Adresse in kurzer Zeit, eine auffällig hohe Quote an 550-Antworten gegenüber sehr wenigen echten Zustellungen sowie Verbindungen, die nach dem RCPT TO ohne ein DATA-Kommando wieder getrennt werden. Eine Häufung abgewiesener Empfänger pro Quelle ist das deutlichste Signal.
Ohne Eingriff in die bestehende Infrastruktur helfen vier Bausteine: einheitliche Antworten pro Empfänger, sodass gültige und ungültige Adressen nicht mehr unterscheidbar sind, eine Begrenzung der erlaubten RCPT TO-Befehle und fehlgeschlagenen Empfänger je Verbindung, ein verzögertes Antworten nach mehreren Fehlversuchen sowie ein vorgeschaltetes Gateway wie Conbool MailGuard, das diese Maßnahmen vor dem eigentlichen Server durchsetzt.
Die SMTP-Enumeration nutzt keine Lücke, sondern die normale Höflichkeit eines Mailservers: Er sagt zu früh und zu eindeutig, welche Empfänger er kennt. Aus dem schlichten Unterschied zwischen 250 und 550 baut ein Angreifer per Directory Harvest Attack ein verifiziertes Adressbuch, das die Grundlage für Spam und gezieltes Spear-Phishing bildet. Die Abwehr ist konzeptionell einfach: Empfänger einheitlich behandeln, das Raten drosseln und die Prüfung an den Rand verlagern.
Der nächste Schritt liegt bei Ihnen: Prüfen Sie Ihre Domäne mit dem kostenlosen Transportsicherheits-Check und sehen Sie, wie Conbool MailGuard den Schutz vor Directory Harvesting vor Ihrem bestehenden Mailserver durchsetzt.
Weiterführende Artikel: