Phishing-Welle: "Ihre lΟNΟS R‌echnung … ist da"; keine Reaktion von IONOS?

Kurzer Hinweis für Nutzer, die irgend einen Vertrag bei IONOS / 1&1 haben. Der Anbieter hat ein Problem: In den letzten Wochen nimmt Phishing rund um "IONOS-Rechnungen" zu. Und es hat den Anschein, dass der Anbieter bei den von ihm verwalteten Postfächern nichts tut bzw. das Problem nicht im Griff hat.

Ein kurzer Rückblick auf die letzten Monate

Ich habe mal nachgeschaut, bereits im Mai 202t gab es den Blog-Beitrag Mal wieder IONOS E-Mail-Konten-Phishing, der sich mit einer Pishing-Welle befasste. Mir war eine Phishing-Welle, die auf IONOS-Kunden abzielte, aufgefallen, weil diese Meldungen zuverlässig im Postfach vom SPAM-Filter in den betreffenden SPAM-Ordner einsortiert werden. Da ich ein E-Mail-Postfach bei 1&1 führe, lautete mein Schluss "die haben das im Griff".  Aber nun scheint das nicht mehr im Griff zu sein, weshalb ich es aufgreife.

Phishing-Welle seit April 2026?

Aber seit April / Mai 2026 läuft wohl eine Phishing-Welle nach der anderen und die Mails schlagen durch den SPAM-Filter durch – so mein Eindruck. Ich hatte zum 7. Mai 2026 den Beitrag Warnung vor IONOS/1&1 Rechnungs-Phishing hier im Blog, weil mir bereits zum zweiten Monat eine Phishing-Mail von 1&1 in meinem Postfach zugestellt wurde, die Rechnungs-Phishing bei IONOS versucht.

Hintergrund ist, dass Kunden von IONOS / 1&1monatlich eine Abrechnung für den DSL-Vertrag und andere Leistungen per Mail zugestellt bekommen. Auf den ersten schnellen Blick sieht es in der obigen Mail so aus, als ob eine zusätzliche Gebühr für E-Mails in der Abrechnung erhoben wird (ist bei mir aber im DSL-Vertrag enthalten). Die Domain und meine E-Mail-Adresse, die angegeben sind, stimmen (aber diese Informationen sind öffentlich einsehbar),

Ein Blick auf die URL, die beim Zeigen auf "Abrechnung herunterladen" im E-Mail-Client angezeigt wird, zeigt bereits, dass es Phishing ist. Denn bookingbear.co.za gehört nicht unbedingt zum IONOS-Kosmos und klingt auch nicht so vertrauenswürdig.

Versagt die IONOS-Phishing-Erkennung?

Bei Postfächern, die von IONOS gehostet werden, bieten IONOS \ 1&1 einen SPAM-Filter an, der nach meinem Dafürhalten in den letzten Jahren auch gut funktionierte (ich nutze sogar nur den abgespeckten SPAM-Filter, der bei Postfächern, die im DSL-Vertrag inkludiert sind, der nur begrenzte Konfigurationsoptionen hat).

Aber seit April 2026 schlagen wieder vereinzelt "IONOS-Phishing-Mails" durch. Blog-Leser Gregor S. hatte mich darauf hingewiesen, dass es bei denen zum 8. Juni 2026 eine massive Phishing-Welle gab, die bei deren E-Mail-Postfächern eingeschlagen sei. Es wurde in einer Meldung an die Buchhaltung behauptet, dass eine SEPA-Lastschrift fehlgeschlagen sei. Ist natürlich Phishing. Ich hatte dieses Thema in mehreren Blog-Beiträgen, die am Artikelende verlinkt sind, aufgegriffen.

IONOS-Problem: Meldung über neuen Rechnungs-SPAM

Die letzten Tage hat mich der Betreiber der kleinen Seite zoopresseschau.info mehrfach kontaktiert, und schrieb, dass er jeden Tag zahlreiche neue, ernste Phishing-/ Betrugsmails erhält, die IONOS-Kunden angreifen. Alle Mails würden über IONOS/1&1 ohne Filter und ohne Spam-Markierung über deren Server an die eigenen Kunden in vorgeblich geschützte Kundenpostfächer verteilt!

Eine Phishing-Mail als Beispiel

Mir liegt eine dieser E-Mail als Beispiel vor, die einen Rechnungsbeitrag ankündigt. Ich habe die Mail nachfolgend mal abgebildet. Alleine die bei mir im Thunderbird abgebildete Absender-Adresse für diese Mail zeigt, dass es sich um Phishing handelt.

IONOS-Phishing-Mail; Zum Vergrößern klicken

Die Rechnungen von IONOS sehen zudem anders aus und enthalten eine Vertragsnummer etc. Weiterhin lässt sich beim Zeigen auf den Button "Rechnung ansehen" die zugehörige URL zum Abrufen der Rechnung in der Fußzeile des E-Mail-Clients anzeigen. Es ist sofort erkennbar, dass die URL auf irgend einer gekaperten / missbrauchten Seite liegt. Die Mail gehört also gelöscht.

Phishing-Mails bei IONOS prüfen und melden

IONOS bietet eine Möglichkeit, Phishing-Mails auf Gültigkeit zu prüfen und auch zur weiteren Veranlassung einzureichen.

• Dazu ist die Phishing-Mail im E-Mail-Client auf einem Gerät lokal zu speichern (geht im Thunderbird unter Windows mit dem Kontextmenübefehl Speichern unter.
• Anschließend ruft man die IONOS-Seite Echtheit einer E-Mail überprüfen zum Validieren auf und zieht die .eml-Datei der gespeicherten E-Mail in das angezeigte Feld des Validators.

Wer aus Gründen der Vertraulichkeit nicht die gesamte E-Mail in den Validator hochladen möchte, kann im E-Mail-Client auch den E-Mail-Header im Quelltext markieren, in die Zwischenablage kopieren und im Feld Optional: Echtheit anhand des E-Mail Headers prüfen des Validators einfügen. Die Schaltfläche Prüfen leitet eine Validierung ein.

In der Ergebnisseite des Validators wird angezeigt, ob die E-Mail legitim ist. Diese Seite enthält noch einige Ratschläge, die Opfer, die auf Phishing hereingefallen sind, berücksichtigen und ausführen sollten. Zudem besteht die Möglichkeit, die Phishing-E-Mail zur Prüfung an IONOS zu schicken.

Anmerkungen: Aus naheliegenden Gründen sollte man keine Mails mit vertraulichen Informationen vollständig in den Validator hochladen. Bei der Meldung einer E-Mail zur Prüfung an IONOS ist es zwar naheliegend, dass damit auch die SPAM-Filter trainiert werden. Ich bin aber nicht sicher, ob das dann auch Eingang in die SPAM-Filter aller Postfächer findet. Ich habe noch eine .de-Domain aus einem sehr alten 1&1 DSL-Vertrag, die inkludiert ist. Die E-Mail-Postfächer laufen dort nicht unter den üblichen IONOS E-Mail-Systemen – sehe ich daran, dass die Optionen für SPAM-Filter nicht dem entsprechen, was mir von der Leserschaft berichtet wird.

Diese Prüfung / Meldung ist nutzlos

Der Betreiber der obigen Zoo-Seite scheint seit Wochen mit dem IONOS-Support bezüglich des Themas im Austausch, ohne das etwas passiert. Er schreibt, dass das Problem seit Monaten bekannt sei, es passiere nichts. Vielfache Hinweise an IONOS würden ignoriert oder mit Standardtexten wie "dieses Mail stammt nicht von uns" abgewimmelt.

Als neueste Masche würde bei IONOS nur noch eine "KI" antworten, die aber nur ein Automat sei. Sobald das Wort "Phishing" in einer Anfragt auftaucht, käme eine völlig unpassende Automatikantwort, die nichts hilft und selbst reiner Spam sei. Niemand bei IONOS scheine Beschwerden noch zu lesen, geschweige denn seriös und fachlich korrekt antworten zu können. Mir liegen Mails, die ausgetauscht wurden vor und der Betreiber merkt an:

Es ist einfach unglaublich, wie sorglos IONOS mit der Sicherheit seiner eigenen Kunden umgeht. Jeden Tag kommen immer besser gefälschte ernste Phishing-/Betrugsmails wie dieses, die IONOS-Kunden angreifen, und die IONOS/1&1 ohne Filter und ohne Spam-Markierung über seine eigenen Server an seine eigenen Kunden in vorgeblich geschützte Kundenpostfächer verteilt!

Und damit spricht der Betreiber der obigen Zoo-Seite das Kernproblem an: Die Leute buchen E-Mail-Postfächer bei IONOS / 1&1, in der Hoffnung, dass der Betreiber dort auch für Sicherheit sorgt. Bei den Postfächern ist ein SPAM-Schutz enthalten, der eigentlich solche offensichtlichen Phishing-Versuche erkennen müsste.

• Die Mail dreht sich inhaltlich offensichtlich um "Rechnungs-/Finanzthemen", die IONOS-Kunden betreffen
• Der Absender ist nicht IONOS selbst – wodurch sofort ein Trigger anschlagen müsste.

Die Mails sind zwar encodiert, aber diese obigen Trigger müssten eigentlich dafür sorgen, dass die Nachrichten in den SPAM-Ordner einsortiert oder zumindest im Betreff als "SPAM" markiert werden sollten. Passiert aber offenbar nicht. Wie ist eure Erfahrung diesbezüglich?

Ähnliche Artikel:
Warnung vor neuer IONOS-Phishing-Mail
IONOS-Phishing-Welle: "SEPA-Lastschrift fehlgeschlagen"
Warnung vor IONOS/1&1 Rechnungs-Phishing
Mal wieder IONOS E-Mail-Konten-Phishing