Ein Ticket einreichen Meine Tickets
Willkommen
Anmeldung  Registrieren Sie sich
  1. PowerDMARC
  2. Lösung home
  3. PowerDMARC-Funktionen Benutzerhandbuch
  4. Looklike-Domain-Prüfer

Wie ähnliche Domains bewertet werden

PowerDMARC-Unterstützung
Letzte Änderung: Montag, 30. März 2026 um 15:00 Uhr

Übersicht

Der PowerDMARC Lookalike Domain Checker weist jeder erkannten Lookalike-Domain einen Risikowert zwischen 0 und 100 % zu . Dieser Wert gibt die Wahrscheinlichkeit an, dass eine Domain eine Bedrohung durch Phishing, Identitätsdiebstahl oder Markenmissbrauch für Ihr Unternehmen darstellt.

Jeder Wert entspricht einer eindeutigen Risikobezeichnung:

  • Niedriges Risiko: 0–29 %

  • Mittleres Risiko: 30–69 %

  • Hohes Risiko: 70–100 %

Was fließt in die Wertung ein?

Die Risikobewertung wird aus vier Attributen berechnet, von denen jedes ein bestimmtes Gewicht hat:

Attribut

Gewicht

Was es misst

Domänenstatus

20%

Ob die ähnliche Domain registriert, geparkt oder nicht registriert (zum Kauf verfügbar) ist

Angriffsart

20%

Die Mutationstechnik, die zur Erzeugung der Lookalike-Domäne verwendet wurde

DNS-Einträge

35%

Welche DNS-Einträge (A, MX, NS) sind für die Domain vorhanden?

SSL-Status

25%

Der Status des SSL-Zertifikats der Domain


Wie jedes Attribut bewertet wird

Domänenstatus (20%)

Der Registrierungsstatus einer ähnlichen Domain ist ein starkes Indiz für betrügerische Absichten. Eine aktiv registrierte Domain wird mit größerer Wahrscheinlichkeit für schädliche Zwecke missbraucht als eine, die lediglich existieren könnte .

  • Registriert – Die Domain verfügt über aktive DNS-Einträge und ist im Besitz einer Person. Dies erhält die volle Gewichtung (100 % von 20 %).

  • Geparkt – Die Domain ist registriert, weist aber keine sinnvolle E-Mail-Infrastruktur auf (kein MX-Eintrag, und SPF ist auf v=spf1 -all gesetzt ). Dieser Wert erhält die halbe Gewichtung (50 % von 20 %).

  • Nicht registriert – Die Domain kann nicht aufgelöst werden und ist nicht im DNS vorhanden. Dies hat keinen Einfluss auf die Bewertung (0 %).

Angriffsart (20 %)

Unterschiedliche Mutationstechniken bergen unterschiedliche Risiken, je nachdem, wie irreführend sie sind und wie häufig sie in realen Phishing-Kampagnen auftreten.

  • Homograph (IDN) – Verwendet visuell identische Unicode-Zeichen (z. B. das kyrillische „а“ anstelle des lateinischen „a“). Dies ist die trügerischste Angriffsart und wird mit der vollen Gewichtung (100 % von 20 %) bewertet.

  • Typosquatting – Nutzt häufige Tippfehler in der Nähe der Tastatur aus (z. B. „gogle.com“). Erhält 70 % der Gewichtung.

  • Alle anderen Arten – Löschung, Einfügung, Substitution, Transposition, Wiederholung und TLD-Variation – erhalten jeweils 50 % der Gewichtung. Obwohl sie weiterhin relevante Bedrohungen darstellen, sind diese Techniken für ein geschultes Auge in der Regel leichter zu erkennen.

DNS-Einträge (35 %)

Das Vorhandensein von DNS-Einträgen deutet darauf hin, dass eine Domain aktiv konfiguriert und möglicherweise in Gebrauch ist. Dieses Attribut ist von höchster Bedeutung, da eine Domain mit E-Mail- und Webinfrastruktur deutlich häufiger Ziel eines Angriffs ist.

Der DNS-Score ist die Summe der Beiträge der einzelnen Datensätze:

  • Ein Eintrag ist vorhanden — Trägt zu 30 % zum DNS-Gewicht bei (die Domain wird zu einer IP-Adresse aufgelöst und kann eine Website hosten).

  • MX-Eintrag vorhanden — Trägt zu 40 % zur DNS-Gewichtung bei (die Domain kann E-Mails senden und empfangen — ein wichtiges Signal für das Phishing-Risiko).

  • NS-Eintrag vorhanden — Trägt 30 % zum DNS-Gewicht bei (der Domain sind Nameserver zugewiesen).

Sind alle drei Datensatztypen vorhanden, erhält die Domäne den vollen Beitrag von 35 %. Sind keine vorhanden, trägt dieses Attribut mit 0 % bei.

SSL-Status (25 %)

Ein SSL-Zertifikat signalisiert, dass jemand Aufwand betrieben hat, um eine Domain als seriös erscheinen zu lassen. Browser zeigen für Websites mit gültigen Zertifikaten ein Schlosssymbol an, was das Vertrauen der Nutzer stärkt – ein Umstand, den Angreifer ausnutzen.

  • Gültig – Ein vertrauenswürdiges Zertifikat ist vorhanden, die Domain stimmt überein und das Zertifikat ist aktuell. Volle Gewichtung (100 % von 25 %).

  • Abgelaufen, ungültig oder nicht vertrauenswürdig – Das Zertifikat existiert zwar, weist aber Probleme auf (abgelaufen, nicht übereinstimmende Domain, selbstsigniert oder unterbrochene Vertrauenskette). Jedes dieser Probleme wird mit 80 % gewichtet, da das Vorhandensein eines Zertifikats immer noch auf eine bewusste Manipulation hindeutet.

  • Fehlend – Es wird kein Zertifikat vorgelegt oder HTTPS ist nicht verfügbar. Dies trägt mit 0 % bei, da es lediglich darauf hindeuten kann, dass die Domain nicht aktiv gepflegt wird.

Bewertungsbeispiele

Beispiel 1 – Geringes Risiko (20 %)

Eine geparkte Domain ohne DNS-Infrastruktur und ohne SSL-Zertifikat:

  • Domainstatus: Geparkt → 20 % × 0,5 = 10

  • Angriffsart: Wiederholung → 20 % × 0,5 = 10

  • DNS-Einträge: Keine → 35 % × 0 = 0

  • SSL-Status: Fehlend → 25 % × 0 = 0

  • Gesamt: 20 % – Geringes Risiko

Beispiel 2 – Mittleres Risiko (51 %)

Eine registrierte Domain mit teilweisen DNS-Einträgen, aber ohne SSL:

  • Domainstatus: Registriert → 20 % × 1,0 = 20

  • Angriffsart: Wiederholung → 20 % × 0,5 = 10

  • DNS-Einträge: A + NS vorhanden, MX fehlt → 35 % × 0,6 = 21

  • SSL-Status: Fehlend → 25 % × 0 = 0

  • Gesamt: 51 % — Mittleres Risiko

Beispiel 3 – Hohes Risiko (100 %)

Eine registrierte Domain, die einen Homographenangriff mit vollständigen DNS-Einträgen und einem gültigen SSL-Zertifikat nutzt:

  • Domainstatus: Registriert → 20 % × 1,0 = 20

  • Angriffsart: Homograph → 20 % × 1,0 = 20

  • DNS-Einträge: A + MX + NS alle vorhanden → 35 % × 1,0 = 35

  • SSL-Status: Gültig → 25 % × 1,0 = 25

  • Gesamt: 100 % — Hohes Risiko


P
PowerDMARC ist der Autor dieses Lösungsartikels.

Fanden Sie es hilfreich? Ja Nein

Feedback senden
Tut uns leid, dass wir nicht hilfreich sein konnten. Helfen Sie uns, diesen Artikel mit Ihrem Feedback zu verbessern.