Was ist ein Directory Harvest Attack? DHA einfach erklärt
Bevor eine große Spam- oder Phishing-Welle startet, brauchen Angreifer ein Ziel: gültige E-Mail-Adressen. Eine der ältesten und zugleich unauffälligsten Methoden, an diese Adressen zu kommen, ist der Directory Harvest Attack, im Deutschen auch Verzeichnisangriff genannt. Das Tückische daran: Der Angriff verschickt oft gar keine Nachricht, sondern fragt den Mailserver nur aus. Klassische Schutzmaßnahmen, die auf Inhalte schauen, sehen ihn deshalb nicht.
Dieser Guide erklärt verständlich, was ein Directory Harvest Attack ist, wie er sich vom verwandten Adress-Harvesting unterscheidet, warum Spamfilter ihn übersehen und wie Unternehmen ihre Adressen schützen.
Was ist ein Directory Harvest Attack?
TL;DR: Ein Directory Harvest Attack, kurz DHA, ist der systematische Versuch, gültige E-Mail-Adressen einer Domäne zu erraten. Der Angreifer probiert über das SMTP-Protokoll zahlreiche mögliche Adressen durch und liest aus den Antworten des Mailservers heraus, welche existieren. Das Ergebnis ist eine geprüfte Adressliste, die für Spam, Phishing und gezielte Angriffe weiterverwendet wird.
Ein Verzeichnisangriff nutzt eine Eigenschaft des E-Mail-Protokolls aus: Beim Zustellversuch verrät ein Mailserver häufig, ob eine Adresse existiert oder nicht. Genau das macht sich der Angreifer zunutze. Er baut eine Verbindung auf und meldet im Dialog mit dem Server für jede zu prüfende Adresse einen Empfänger an. Aus der Reaktion des Servers, Annahme oder Ablehnung, schließt er auf die Gültigkeit der Adresse.
Massenhaft durchgeführt entsteht so aus erratenen Namen wie vorname.nachname oder Funktionsadressen wie info und buchhaltung eine wertvolle Liste echter Postfächer.
Directory Harvesting oder Adress-Harvesting? Ein wichtiger Unterschied
Die Begriffe werden oft vermischt, meinen aber unterschiedliche Angriffswege:
- Adress-Harvesting bezeichnet im deutschen Sprachgebrauch meist das Abgrasen öffentlich zugänglicher Quellen. Programme durchsuchen Webseiten, Impressen, soziale Netzwerke und Verzeichnisse nach E-Mail-Adressen, die dort sichtbar veröffentlicht sind.
- Directory Harvesting greift dagegen direkt den Mailserver an. Es findet auch Adressen, die nirgendwo öffentlich stehen, weil sie schlicht erraten und am Server überprüft werden.
Für die Abwehr ist die Unterscheidung entscheidend. Gegen Adress-Harvesting helfen Verschleierung und Zurückhaltung bei der Veröffentlichung. Gegen einen Directory Harvest Attack hilft nur ein Schutz direkt am E-Mail-Eingang.
Wie läuft ein Directory Harvest Attack ab?
Der Ablauf folgt fast immer demselben Muster:
Schritt 1, Adressen erzeugen: Der Angreifer erstellt eine große Liste vermuteter Adressen, etwa aus Vornamen, Nachnamen und gängigen Funktionsbezeichnungen.
Schritt 2, Server abtasten: Über viele SMTP-Verbindungen meldet er diese Adressen als Empfänger an. Pro Verbindung lassen sich zahlreiche Adressen testen.
Schritt 3, Antworten auswerten: Akzeptiert der Server eine Adresse, gilt sie als gültig. Lehnt er sie als unbekannt ab, wird sie verworfen. Auch indirekte Hinweise wie unterschiedliche Antwortzeiten oder spätere Unzustellbarkeitsmeldungen können verraten, welche Adressen existieren.
Schritt 4, Liste verwerten: Die bestätigten Adressen werden für Spam, Phishing und gezielte Angriffe genutzt oder als Datensatz weiterverkauft.
Warum reicht ein klassischer Spamfilter nicht aus?
Ein klassischer Spamfilter ist ein Inhaltsfilter. Er bewertet Betreff, Text, Links und Anhänge einer eingegangenen Nachricht. Ein Directory Harvest Attack umgeht diese Logik, weil er oft gar keine Nachricht zustellt. Der schädliche Teil passiert früher, im technischen Dialog mit dem Server, noch bevor überhaupt ein Inhalt übertragen wird. Für einen reinen Inhaltsfilter ist dieser Vorgang unsichtbar. Schutz entsteht erst, wenn das Verhalten der Verbindung selbst bewertet wird, also Häufigkeit, Quelle und der Anteil ungültiger Empfänger.
Warum ist Directory Harvesting gefährlich?
Ein erfolgreicher Verzeichnisangriff hat mehrere unangenehme Folgen:
| Folge | Auswirkung |
|---|
| Zielliste für Angriffe | Bestätigte Adressen werden für Spam, Phishing und CEO-Fraud genutzt |
| Last auf dem Mailserver | Tausende Zustellversuche belasten die Infrastruktur |
| Reputationsrisiko | Viele Abweisungen können die Server-Reputation verschlechtern |
| Datenschutz | Personenbezogene Adressen werden ohne Erlaubnis erfasst |
Besonders kritisch ist die Rolle als Vorstufe. Wer weiß, dass vorname.nachname einer Geschäftsführung existiert, kann eine gezielte Spear-Phishing-Mail viel glaubwürdiger aufsetzen. Der Verzeichnisangriff ist damit oft die Aufklärungsphase eines größeren Angriffs.
So schützt Conbool MailGuard
Wirksamer Schutz vor Directory Harvesting setzt am Verhalten der Verbindung an, nicht am Inhalt. Conbool MailGuard kombiniert dafür mehrere Verfahren:
- Mustererkennung: Auffällige Folgen von Zustellversuchen an unbekannte Empfänger werden als Angriff erkannt.
- Drosselung: Verdächtige Quellen werden ausgebremst, sodass massenhaftes Abtasten unwirtschaftlich wird.
- Einheitliche Antworten: Der Server gibt keine verwertbaren Hinweise mehr darauf, welche Adresse existiert und welche nicht.
- Empfängerprüfung und Reputation: Bekannte schädliche Quellen und ungültige Empfänger werden früh abgewiesen.
Diese Maßnahmen greifen vor dem eigentlichen Posteingang und schützen vorhandene Mailserver, ohne dass diese umgebaut werden müssen. Als Teil eines Mailgateways zahlt der Schutz zugleich auf die Sorgfaltspflichten aus der NIS2-Richtlinie und auf den Schutz personenbezogener Daten nach DSGVO ein.
Den passenden Schutz im Überblick zeigt die Seite zum Directory-Harvesting-Schutz.
Häufig gestellte Fragen zu Directory Harvesting
Was ist ein Directory Harvest Attack?
Ein Directory Harvest Attack, kurz DHA, ist der Versuch, gültige E-Mail-Adressen einer Domäne systematisch zu erraten. Der Angreifer probiert über SMTP viele Adressen durch und wertet die Antworten des Mailservers aus. Existierende Adressen landen auf einer Liste für spätere Angriffe.
Ist Directory Harvesting dasselbe wie Adress-Harvesting?
Nein. Adress-Harvesting bezeichnet meist das Abgrasen von Webseiten und öffentlichen Quellen. Ein Directory Harvest Attack greift den Mailserver direkt an und errät auch Adressen, die nirgendwo veröffentlicht sind.
Warum reicht ein klassischer Spamfilter gegen DHA nicht aus?
Ein Spamfilter bewertet Inhalte. Ein DHA testet jedoch oft nur, ob eine Adresse existiert, ohne Inhalt zuzustellen. Der schädliche Vorgang findet im Dialog mit dem Mailserver statt und bleibt für reine Inhaltsfilter unsichtbar.
Wie erkennt man einen Directory Harvest Attack?
Typisch sind viele SMTP-Verbindungen von wenigen Quellen mit auffällig vielen Zustellversuchen an nicht existierende Empfänger. In den Protokollen häufen sich Ablehnungen unbekannter Adressen. Ein Schutzsystem erkennt dieses Muster und drosselt die Quelle.
Wie schützt man sich vor Directory Harvesting?
Wirksam ist eine Kombination aus Mustererkennung, Drosselung, einheitlichen Serverantworten sowie Empfängerprüfung und Reputationsverfahren. Conbool MailGuard bündelt diese Maßnahmen und schützt vorhandene Mailserver ohne Umbau.
Fazit
Der Directory Harvest Attack ist ein leiser Angriff mit großer Wirkung. Er erstellt die Zielliste, auf der spätere Spam- und Phishing-Wellen aufsetzen, und entzieht sich dabei reinen Inhaltsfiltern. Schutz entsteht erst, wenn das Verhalten der eingehenden Verbindungen bewertet wird: Mustererkennung, Drosselung und einheitliche Antworten nehmen dem Angreifer die Grundlage.
Sehen Sie auf der Seite zum Directory-Harvesting-Schutz, wie Conbool MailGuard Ihre Adressen schützt, bevor die Welle kommt.
Weiterführende Artikel:
