Kurzer Hinweis für Nutzer, die irgend einen Vertrag bei IONOS / 1&1 haben. Der Anbieter hat ein Problem: In den letzten Wochen nimmt Phishing rund um "IONOS-Rechnungen" zu. Und es hat den Anschein, dass der Anbieter bei den von ihm verwalteten Postfächern nichts tut bzw. das Problem nicht im Griff hat.
Ein kurzer Rückblick auf die letzten Monate
Ich habe mal nachgeschaut, bereits im Mai 202t gab es den Blog-Beitrag Mal wieder IONOS E-Mail-Konten-Phishing, der sich mit einer Pishing-Welle befasste. Mir war eine Phishing-Welle, die auf IONOS-Kunden abzielte, aufgefallen, weil diese Meldungen zuverlässig im Postfach vom SPAM-Filter in den betreffenden SPAM-Ordner einsortiert werden. Da ich ein E-Mail-Postfach bei 1&1 führe, lautete mein Schluss "die haben das im Griff". Aber nun scheint das nicht mehr im Griff zu sein, weshalb ich es aufgreife.
Phishing-Welle seit April 2026?
Aber seit April / Mai 2026 läuft wohl eine Phishing-Welle nach der anderen und die Mails schlagen durch den SPAM-Filter durch – so mein Eindruck. Ich hatte zum 7. Mai 2026 den Beitrag Warnung vor IONOS/1&1 Rechnungs-Phishing hier im Blog, weil mir bereits zum zweiten Monat eine Phishing-Mail von 1&1 in meinem Postfach zugestellt wurde, die Rechnungs-Phishing bei IONOS versucht.
Hintergrund ist, dass Kunden von IONOS / 1&1monatlich eine Abrechnung für den DSL-Vertrag und andere Leistungen per Mail zugestellt bekommen. Auf den ersten schnellen Blick sieht es in der obigen Mail so aus, als ob eine zusätzliche Gebühr für E-Mails in der Abrechnung erhoben wird (ist bei mir aber im DSL-Vertrag enthalten). Die Domain und meine E-Mail-Adresse, die angegeben sind, stimmen (aber diese Informationen sind öffentlich einsehbar),
Ein Blick auf die URL, die beim Zeigen auf "Abrechnung herunterladen" im E-Mail-Client angezeigt wird, zeigt bereits, dass es Phishing ist. Denn bookingbear.co.za gehört nicht unbedingt zum IONOS-Kosmos und klingt auch nicht so vertrauenswürdig.
Versagt die IONOS-Phishing-Erkennung?
Bei Postfächern, die von IONOS gehostet werden, bieten IONOS \ 1&1 einen SPAM-Filter an, der nach meinem Dafürhalten in den letzten Jahren auch gut funktionierte (ich nutze sogar nur den abgespeckten SPAM-Filter, der bei Postfächern, die im DSL-Vertrag inkludiert sind, der nur begrenzte Konfigurationsoptionen hat).
Aber seit April 2026 schlagen wieder vereinzelt "IONOS-Phishing-Mails" durch. Blog-Leser Gregor S. hatte mich darauf hingewiesen, dass es bei denen zum 8. Juni 2026 eine massive Phishing-Welle gab, die bei deren E-Mail-Postfächern eingeschlagen sei. Es wurde in einer Meldung an die Buchhaltung behauptet, dass eine SEPA-Lastschrift fehlgeschlagen sei. Ist natürlich Phishing. Ich hatte dieses Thema in mehreren Blog-Beiträgen, die am Artikelende verlinkt sind, aufgegriffen.
IONOS-Problem: Meldung über neuen Rechnungs-SPAM
Die letzten Tage hat mich der Betreiber der kleinen Seite zoopresseschau.info mehrfach kontaktiert, und schrieb, dass er jeden Tag zahlreiche neue, ernste Phishing-/ Betrugsmails erhält, die IONOS-Kunden angreifen. Alle Mails würden über IONOS/1&1 ohne Filter und ohne Spam-Markierung über deren Server an die eigenen Kunden in vorgeblich geschützte Kundenpostfächer verteilt!
Eine Phishing-Mail als Beispiel
Mir liegt eine dieser E-Mail als Beispiel vor, die einen Rechnungsbeitrag ankündigt. Ich habe die Mail nachfolgend mal abgebildet. Alleine die bei mir im Thunderbird abgebildete Absender-Adresse für diese Mail zeigt, dass es sich um Phishing handelt.
IONOS-Phishing-Mail; Zum Vergrößern klicken
Die Rechnungen von IONOS sehen zudem anders aus und enthalten eine Vertragsnummer etc. Weiterhin lässt sich beim Zeigen auf den Button "Rechnung ansehen" die zugehörige URL zum Abrufen der Rechnung in der Fußzeile des E-Mail-Clients anzeigen. Es ist sofort erkennbar, dass die URL auf irgend einer gekaperten / missbrauchten Seite liegt. Die Mail gehört also gelöscht.
Phishing-Mails bei IONOS prüfen und melden
IONOS bietet eine Möglichkeit, Phishing-Mails auf Gültigkeit zu prüfen und auch zur weiteren Veranlassung einzureichen.
- Dazu ist die Phishing-Mail im E-Mail-Client auf einem Gerät lokal zu speichern (geht im Thunderbird unter Windows mit dem Kontextmenübefehl Speichern unter.
- Anschließend ruft man die IONOS-Seite Echtheit einer E-Mail überprüfen zum Validieren auf und zieht die .eml-Datei der gespeicherten E-Mail in das angezeigte Feld des Validators.
Wer aus Gründen der Vertraulichkeit nicht die gesamte E-Mail in den Validator hochladen möchte, kann im E-Mail-Client auch den E-Mail-Header im Quelltext markieren, in die Zwischenablage kopieren und im Feld Optional: Echtheit anhand des E-Mail Headers prüfen des Validators einfügen. Die Schaltfläche Prüfen leitet eine Validierung ein.
In der Ergebnisseite des Validators wird angezeigt, ob die E-Mail legitim ist. Diese Seite enthält noch einige Ratschläge, die Opfer, die auf Phishing hereingefallen sind, berücksichtigen und ausführen sollten. Zudem besteht die Möglichkeit, die Phishing-E-Mail zur Prüfung an IONOS zu schicken.
Anmerkungen: Aus naheliegenden Gründen sollte man keine Mails mit vertraulichen Informationen vollständig in den Validator hochladen. Bei der Meldung einer E-Mail zur Prüfung an IONOS ist es zwar naheliegend, dass damit auch die SPAM-Filter trainiert werden. Ich bin aber nicht sicher, ob das dann auch Eingang in die SPAM-Filter aller Postfächer findet. Ich habe noch eine .de-Domain aus einem sehr alten 1&1 DSL-Vertrag, die inkludiert ist. Die E-Mail-Postfächer laufen dort nicht unter den üblichen IONOS E-Mail-Systemen – sehe ich daran, dass die Optionen für SPAM-Filter nicht dem entsprechen, was mir von der Leserschaft berichtet wird.
Diese Prüfung / Meldung ist nutzlos
Der Betreiber der obigen Zoo-Seite scheint seit Wochen mit dem IONOS-Support bezüglich des Themas im Austausch, ohne das etwas passiert. Er schreibt, dass das Problem seit Monaten bekannt sei, es passiere nichts. Vielfache Hinweise an IONOS würden ignoriert oder mit Standardtexten wie "dieses Mail stammt nicht von uns" abgewimmelt.
Als neueste Masche würde bei IONOS nur noch eine "KI" antworten, die aber nur ein Automat sei. Sobald das Wort "Phishing" in einer Anfragt auftaucht, käme eine völlig unpassende Automatikantwort, die nichts hilft und selbst reiner Spam sei. Niemand bei IONOS scheine Beschwerden noch zu lesen, geschweige denn seriös und fachlich korrekt antworten zu können. Mir liegen Mails, die ausgetauscht wurden vor und der Betreiber merkt an:
Es ist einfach unglaublich, wie sorglos IONOS mit der Sicherheit seiner eigenen Kunden umgeht. Jeden Tag kommen immer besser gefälschte ernste Phishing-/Betrugsmails wie dieses, die IONOS-Kunden angreifen, und die IONOS/1&1 ohne Filter und ohne Spam-Markierung über seine eigenen Server an seine eigenen Kunden in vorgeblich geschützte Kundenpostfächer verteilt!
Und damit spricht der Betreiber der obigen Zoo-Seite das Kernproblem an: Die Leute buchen E-Mail-Postfächer bei IONOS / 1&1, in der Hoffnung, dass der Betreiber dort auch für Sicherheit sorgt. Bei den Postfächern ist ein SPAM-Schutz enthalten, der eigentlich solche offensichtlichen Phishing-Versuche erkennen müsste.
- Die Mail dreht sich inhaltlich offensichtlich um "Rechnungs-/Finanzthemen", die IONOS-Kunden betreffen
- Der Absender ist nicht IONOS selbst – wodurch sofort ein Trigger anschlagen müsste.
Die Mails sind zwar encodiert, aber diese obigen Trigger müssten eigentlich dafür sorgen, dass die Nachrichten in den SPAM-Ordner einsortiert oder zumindest im Betreff als "SPAM" markiert werden sollten. Passiert aber offenbar nicht. Wie ist eure Erfahrung diesbezüglich?
Ähnliche Artikel:
Warnung vor neuer IONOS-Phishing-Mail
IONOS-Phishing-Welle: "SEPA-Lastschrift fehlgeschlagen"
Warnung vor IONOS/1&1 Rechnungs-Phishing
Mal wieder IONOS E-Mail-Konten-Phishing
MVP: 2013 – 2016
Habe auch gerade eine entsprechende Mail im Buchhaltungspostfach gefunden, vielen Dank.
Zitat: "Als neueste Masche würde bei IONOS nur noch eine "KI" antworten, die aber nur ein Automat sei. Sobald das Wort "Phishing" in einer Anfragt auftaucht, käme eine völlig unpassende Automatikantwort, die nichts hilft und selbst reiner Spam sei. Niemand bei IONOS scheine Beschwerden noch zu lesen, geschweige denn seriös und fachlich korrekt antworten zu können."
Willkommen in der kafkaesken KI-Supporthölle. Das wird nicht mehr besser werden, und ist mir ebenfalls schon bei einigen großen deutschen Unternehmen aus dem IT-Umfeld begegnet. Gruselig. Ich werde meinen Kunden zukünftig Empfehlungen aussprechen, die sich noch stärker daran orienteren, wie gut (und wie gut erreichbar) der Support eines Herstellers ist.
Ich bin davon nicht direkt betroffen, da ich keine Mailadresse bei 1&1 / IONOS habe, aber ich bekomme seit dem Wochenende massiv Spam-Mails auf meine GMX-Mailadresse. Da GMX wie IONOS zu United Internet gehört, könnte es hier evtl. ein generelles Problem mit dem Mailfilter geben.
Stimmt denn die Kundennummer, die auf der Beispielrechnung zu sehen ist?
Die Kundennummer ist i.d.R. nicht öffentlich zugänglich.
Fehlt die Kundennummer oder ist falsch, handelt es sich zu 100% um Spam/Phishing.
Stimmt der Aufbau der Rechnungsnummer?
Wenn nicht, ist es zu 100% Spam/Phishing.
etc. etc.
Und schon die Ansprache mit "Sehr geehrter Kundin, sehr geehrter Kunde" und "Guten Tag mail@tld.de" zeigt, das es Spam/Phishing ist, denn der Versender einer echten Rechnung kennt den Namen des Kunden und nennt ihn auch.
Auf einer echten Rechnung würde also z.B. "Sehr geehrter Herr Born" stehen.
Es gibt noch mehr solche Dinge, anhand denen man eine Mail als Spam/Phishing erkennen kann.
Da können die Spammer/Phisher noch so sehr eine Rechnung optisch und sprachlich perfekt machen, an bestimmte Daten, die auf einer echten rechnung stehen, kommen die nicht dran, ohne das echte Unternehmen zu hacken.
meine eigenen Domains und ein paar von andern Kunden sicher ich mit Proxmox Mail Gateway ab und habe dafür viel Zeit investiert, die sicherlich so nicht jeder aufbringen kann und will.
ich habe im Proxmox Forum hierzu Anleitungen hinterlassen, mit denen man diese Ergebnisse (Filtererfolg > 95%) reproduzieren kann.
bei meinem GMX Postfach funktioniert das mangels eigener Domain nicht, meine Erfahrung dort ist aber: seit ca. einem Jahr hat GMX das Thema eingehenden Spam unglaublich gut im Griff. es kommen nur noch einzelne spams im Monat durch. früher waren es mehrere am Tag
"Früher" (also bis vor ein paar Wochen) wurde man täglich benachrichtigt, wenn die Spam-Erkennung Nachrichten in den Spam-Ordner umsortierte. Seit Mai (?) funktionierte das dann plötzlich nicht mehr, obwohl sich diese Benachrichtigung in den Einstellungen des Postfachs immer noch aktivieren/deaktivieren ließ. Mittlerweile gibt es diese Option nicht mehr und man ist gezwungen, täglich "händisch" in den Spam-Ordner zu schauen (oder einen IMAP-Mail-Client zu benutzen), falls doch eine fehlerkannte Nachricht dort gelandet ist.
Ich könnte hier jetzt einen langen Aufsatz hinterlassen. Die Essenz wäre diese:
Glaubt tatsächlich nach über einem viertel Jahrhundert E-Mail-Nutzung noch irgendjemand, dass man das Spam-Problem bei E-Mail irgendwann in den Griff bekommt? Alle technischen Maßnahmen sind komplett betriebsblind und die wesentliche Schwachstelle wird immer mangelnde Erfahrung, Wissen und Verständnis auf Seiten der Empfänger sein. Wenn wir 90% des Spams vor dem Empfänger verstecken, kann man nicht erwarten, dass auf die wenigen Mails, die dann durchrutschen niemand reinfällt.
Insgesamt wird das Problem damit auch nur unter den Teppich gekehrt. Im Sinne von Löschen statt Sperren, müssten viel mehr Ressourcen darauf verwendet werden, die Verursacher zu erwischen. Bislang ist die Spam-Bekämpfung in etwas so erfolgreich wie der "War on Drugs".