Phishing-Mails „aus Apples Servern“ – so funktioniert die neue Masche und wie Sie sich wehren

Phishing-Betrüger nutzen derzeit eine wenig beachtete Funktion von iCloud-Kalender, um täuschend echte E-Mails über Apples eigene Mail-Infrastruktur zu verschicken. Diese Nachrichten geben sich als Zahlungsbelege oder Kaufbestätigungen aus und enthalten eine Rückrufnummer („Callback-Phishing“). Das Perfide: Die Mails passieren klassische Sicherheitsprüfungen wie SPF, DKIM und DMARC, weil sie tatsächlich von Apple-Servern kommen – und landen dadurch eher im Posteingang als im Spam. Ein aktueller Fall zeigt, wie ein angeblicher PayPal-Beleg über 599 US-Dollar Empfänger zum Anruf bei Betrügern verleiten sollte.

Die Anatomie des Angriffs: Vom Kalender-Eintrag zur „echten“ Apple-Mail

Der Trick beginnt nicht im Mail-Client, sondern im Kalender: Angreifer legen in iCloud einen Kalendereintrag an, schreiben ihren Betrugstext in das Notizfeld („Notes“) und laden eine externe E-Mail-Adresse als Teilnehmer ein. Wird eine Person außerhalb des Apple-Ökosystems eingeladen, verschickt iCloud automatisch eine Einladungs-E-Mail mit ICS-Anhang – und zwar von Apples Infrastruktur und mit der Absenderadresse noreply@email.apple.com. Genau dadurch erscheinen die Mails im Header als authentisch signiert (SPF/DKIM/DMARC pass) und gewinnen scheinbare Legitimität.

Im dokumentierten Fall zielten die Täter nicht auf eine einzelne Person, sondern auf eine Microsoft-365-Adresse, die wie eine Verteilerliste fungierte. Solche Verteiler leiten eingehende E-Mails an zahlreiche interne Empfänger weiter. Damit bei dieser Weiterleitung die SPF-Prüfung nicht fehlschlägt, setzt Microsoft 365 die sogenannte Sender Rewriting Scheme (SRS) ein: Der Umschlag-Absender wird so umgeschrieben, dass die Nachricht trotz Weiterleitung SPF bestehen kann – der im Mail-Client sichtbare From-Header bleibt dabei unverändert. Ergebnis: Eine von Apples Servern gestartete Einladung wird an viele Postfächer durchgereicht und sieht in jedem einzelnen so aus, als sei sie „echt“.

Warum gerade iCloud-Kalender? Apples Einladungslogik als Einfallstor

Dass Einladungen über iCloud als E-Mail verschickt werden, ist grundsätzlich beabsichtigt: Für Empfänger außerhalb des Apple-Kosmos oder je nach persönlicher Einstellung kommen Termineinladungen als Mail/ICS an. Apple dokumentiert, dass Nutzer steuern können, ob sie Einladungen als In-App-Hinweis oder als E-Mail erhalten; außerdem lässt sich konfigurieren, von welcher Adresse Einladungen verschickt werden. Fachforen und Hilfedokumente zeigen seit Jahren, dass iCloud-Kalendereinladungen häufig mit der Absenderkennung noreply@email.apple.com versendet werden – ein legitimer Mechanismus, den Kriminelle hier missbrauchen.

Der Köder: Schein-Belege und Rückrufnummern

Inhaltlich handelt es sich um eine Spielart des Callback-Phishings: Die Nachricht behauptet, es sei soeben eine Zahlung erfolgt, liefert eine Hotline zum „Stornieren“ gleich mit und will den Empfänger zum Anruf bewegen. Ruft man an, beginnt das eigentliche Social Engineering – von Panikmache über angebliche Konto-Hacks bis hin zur Aufforderung, Fernwartungssoftware zu starten. Diese Gesprächsführung mündete in ähnlichen Kampagnen nachweislich in Datendiebstahl, Schadsoftware oder direkten Kontoplünderungen.

Header-Beweis: So sieht „echt“ signierte Phishing-Post aus

Die betroffene Nachricht trug u. a. folgende (verkürzt dargestellte) Authentifizierungszeilen – typisch für eine auf Apples Infrastruktur erzeugte Einladung:

Authentication-Results: spf=pass (sender IP is 17.23.6.69) dkim=pass (signature was verified) dmarc=pass action=none header.from=email.apple.com From: noreply@email.apple.com Content-Type: text/calendar; method=REQUEST; name="invite.ics"

Für Filter sieht das sauber aus – und genau darauf spekulieren die Täter.

Warum E-Mail-Authentifizierung hier nicht reicht

SPF, DKIM und DMARC prüfen, ob eine Mail vom berechtigten Server eines Absenders kommt und ob Inhalte unterwegs unverändert blieben. Sie sagen aber nichts darüber aus, wer die Nachricht inhaltlich verfasst hat und warum. Wenn Kriminelle einen legitimen Versandweg wie iCloud-Kalendereinladungen nutzen, sind diese Checks per Definition grün – der Inhalt kann dennoch betrügerisch sein. Die zusätzliche SRS-Umschreibung bei Weiterleitungen (etwa über Microsoft-365-Verteiler) verstärkt den Effekt, weil dabei die technische Authentizität erhalten bleibt, selbst wenn die Mail mehrfach weitergereicht wird.

Historie: iCloud-Kalenderspam ist kein neues Phänomen – die Methode ist neu verpackt

Kalenderspam begleitet Apple-Nutzer seit Jahren – 2016 musste Apple sich öffentlich entschuldigen und versprach Gegenmaßnahmen, auch 2021 berichteten Medien über anhaltende Wellen. Die aktuelle Variante kombiniert diesen bekannten Vektor (Kalendereinladung) mit dem psychologischen Druckmittel „sofort anrufen, sonst…“ und der technischen Verstärkung über Mail-Authentifizierung.

Sofort-Check für Betroffene: Erkennen, Reagieren, Abhärten

Wer eine vermeintliche Apple-Beleg-E-Mail erhält, sollte zuerst auf Details achten: Ist die Nachricht eine Termineinladung mit ICS-Anhang? Steht im Text eine Rückrufnummer statt eines üblichen Händler- oder Zahlungsdetails? Stammt der sichtbare Absender von noreply@email.apple.com – und passt das überhaupt zum Anlass? Ganz wichtig: Niemals Nummern aus solchen Mails anrufen oder Links anklicken. Apple selbst rät, verdächtige Nachrichten an reportphishing@apple.com weiterzuleiten und Kalender-Spam direkt als „Junk“ zu melden bzw. zu löschen.

Konkrete Schritte auf iPhone, iPad, Mac und iCloud.com

Kalendereinladungen als Junk melden: Auf iCloud.com → Kalender den betreffenden Termin öffnen und „Als Werbung melden“ wählen; der Eintrag wird auf allen Geräten gelöscht.
Einladungsmodus prüfen: In den iCloud-Kalendereinstellungen festlegen, ob Einladungen als In-App-Hinweis oder E-Mail zugestellt werden; je nach Workflow kann der reine In-App-Modus helfen, Mail-Angriffsfläche zu reduzieren.
Allgemeine Anti-Phishing-Regeln befolgen: Keine Rückrufnummern aus Mails anrufen, sensible Daten nie telefonisch herausgeben, keine Fernwartungssoftware auf Zuruf installieren; Verdachtsmails an Apple melden.

Für Admins und SOC-Teams: Erkennung & Gegenmaßnahmen in Unternehmen

Die Angriffe sind für Unternehmen besonders heikel, wenn Verteilerlisten in Microsoft 365 automatisch Einladungen an viele Nutzer weiterreichen. Folgende Maßnahmen helfen, ohne legitime Kalenderprozesse zu zerlegen:

Transport-Regeln feinjustieren: Nachrichten mit Content-Type: text/calendar aus externen Quellen können für Verteilerlisten gesondert behandelt werden (Moderation, Quarantäne, „Nicht an Gruppen zustellen“). Ausnahmen für Partner-Domains verhindern Kollateralschäden.
Inhalts-Heuristiken ergänzen: RegEx-Scanner auf ICS-„DESCRIPTION“/„SUMMARY“ mit verdächtigen Mustern (Telefonnummern, „Purchase Receipt“, „Payment Confirmation“, „Call Support“ etc.).
Benutzerschulung: Kurzleitfäden für „Kalendereinladung ≠ Kaufbeleg“. Simulierte Phishing-Kampagnen sollten explizit ICS-Szenarien enthalten.
Verteilerhygiene: Prüfen, welche externen Absender überhaupt an Gruppen senden dürfen. Falls notwendig, Einladungen aus externen Quellen für Gruppen grundsätzlich blockieren.
SRS verstehen: Die SRS-Umschreibung in Microsoft 365 sorgt dafür, dass weitergeleitete Mails SPF bestehen – ein Feature, das Erkennung erschwert und beim Tuning berücksichtigt werden muss.

Wie Apple gegensteuern könnte – technische Stellschrauben

Weil der Versandweg an sich legitim ist, liegt die Lösung nicht allein bei Filtern am Ziel, sondern auch beim Ursprung. Apple könnte die Notizfelder von Kalendereinladungen stärker validieren (z. B. Nummern/Call-to-Action-Muster blockieren), Rate-Limits pro Account verschärfen, Einladungen mit großen Empfängerpools drosseln, prominent kennzeichnen, dass es sich um Kalendereinladungen handelt, und eine klar sichtbare Warnung ergänzen, wenn ungewöhnliche Inhalte (Hotlines, Zahlungsbehauptungen) im ICS stehen. Parallel sollte Apple in den Support-Dokumentationen den Missbrauchsfall explizit beschreiben und Meldewege hervorheben. (Apple wurde zum aktuellen Fall angefragt; laut Bericht liegt bislang keine Antwort vor.)

Fazit: Echtheit der Leitung ist nicht Echtheit der Aussage

Die Kampagne zeigt einmal mehr: E-Mail-Authentifizierung schützt vor Spoofing, nicht vor Missbrauch legitimer Kanäle. Wer eine „Apple-Mail“ als Kalendereinladung mit Rückrufnummer erhält, sollte sie als das behandeln, was sie ist: Social Engineering im Apple-Look. Unternehmen härten Verteiler, Nutzer melden Kalender-Spam als Junk und folgen Apples Phishing-Richtlinien. So wird aus einer geschickten Kombination aus ICS, DMARC-Grün und SRS-Weiterleitung wieder das, was es sein sollte: ein toter Winkel für Betrüger.

Weiterführende Hinweise: So erkennen Sie Apple-Phishing und Kalender-Missbrauch

Apple bündelt allgemeine Hinweise zum Erkennen von Social-Engineering-Angriffen und zur Meldung verdächtiger Nachrichten in eigenen Support-Artikeln; zusätzlich dokumentiert Microsoft detailliert die SRS-Funktionsweise. Wer sich historisch einliest, findet Berichte über wiederkehrenden iCloud-Kalenderspam – hilfreich, um Team-Awareness mit realen Beispielen zu schärfen.

Praktische Merkposten (zum Ausdrucken)

Nie anrufen: Telefonnummern aus Mails (auch „Apple-Mails“) nicht wählen; offizielle Kontaktwege stets selbst recherchieren.
Kalendereinladung prüfen: ICS-Anhang + Kaufbehauptung = rote Flagge.
Melden statt interagieren: In iCloud als „Junk“ melden; verdächtige E-Mails an reportphishing@apple.com weiterleiten.
Admin-Seite nicht vergessen: Verteiler härten, Transport-Regeln für ICS definieren, Awareness trainieren.

VALVE Steam Deck 256GB SSD + 16GB RAM, 7″ inch,…

VALVE Steam Deck – 1tb Console – OLED (PC)

Angebot

JSAUX Steam Deck Dock 6-in-1-Dockingstation…

Letzte Aktualisierung am 1.09.2025 / Affiliate Links / Bilder von der Amazon Product Advertising API. Alle hier angezeigten Preise und Verfügbarkeiten gelten zum angegebenen Zeitpunkt der Einbindung und können sich jederzeit ändern. Der Preis und die Verfügbarkeit, die zum Kaufzeitpunkt auf Amazon.de angezeigt werden, sind maßgeblich. Als Amazon-Partner verdienen wir an qualifizierten Verkäufen.