Jede E-Mail ist aus einem Header und einem Body aufgebaut. Wenn Sie eine neue Nachricht öffnen, die in Ihrem Postfach gelandet ist, sind Sie normalerweise nur an den Standard-Angaben wie dem Absender und dem Betreff interessiert, bevor Sie den eigentlichen Inhalt der elektronischen Nachricht einsehen.
Die Kopfzeile der E-Mail enthält jedoch noch einige weitere Informationen, die für Sie von Interesse sein könnten – immerhin helfen sie Ihnen dabei, die Echtheit der Mail zu verifizieren. Allerdings werden diese Zusatzangaben von den gängigen E-Mail-Programmen ausgeblendet und nur auf Wunsch hin angezeigt.
Im folgenden Artikel möchten wir darüber aufklären, welche Pflichtangaben und welche versteckten Angaben Sie im E-Mail-Header vorfinden – und wie das Verständnis jener Ihre eigene Cyber-Sicherheit erhöhen kann.
Wie ist der E-Mail-Header aufgebaut?
Die Kopfzeile jeder elektronischen Nachricht umfasst einerseits Message-Header, die direkt vom Absender generiert werden, und andererseits Envelope-Header. Die Envelope-Header werden von den Mailservern erzeugt, während die E-Mail “unterwegs” ist. Diese nachträglich hinzugefügten Informationen sind für die Rückverfolgung der Mail bedeutsam.
Die Pflichtangaben des Headers in der Übersicht
From / Von: Der Absender bzw. Autor der E-Mail in Form von Namen und E-Mail-Adresse.
Bsp: Von: Marion Schreiner <marion.h.schreiner78@gmail.com>
To / An: Der Empfänger in Form von Namen und E-Mail-Adresse. Falls es mehrere Empfänger gibt, sind diese durch Kommata getrennt.
Bsp: An: Hans <hans.wilder67@gmx.de>
Cc: Optionale weitere Empfänger, die eine Kopie der E-Mail erhalten haben.
Bsp: Cc: Linda Tschaun <linda.tsch82@mail.de>
Subject / Betreff: Der Betreff der Nachricht wird vom Absender verfasst und sollte die Relevanz für den Leser deutlich machen.
Bsp: Betreff: Terminanfrage für Mai
Date / Datum: Der Zeitpunkt der Nachrichten-Erstellung.
Bsp: 05.02.2021 um 16:03 Uhr
Die versteckten Angaben des Headers in der Übersicht
Diese Angaben werden nur auf Anfrage vollständig angezeigt. Die Vorgehensweise ist bei jedem E-Mail-Programm und jeder Web-Anwendung unterschiedlich – manchmal müssen Sie im Menü die Komplettansicht der Kopfzeile aktivieren (unter Eigenschaften / Ansicht), manchmal reicht ein Klick auf einen Button (“Details” / “Info”) innerhalb der Nachricht. Eine kurze Google-Suche wird Ihnen schnell verraten, wie Sie auf die Komplettansicht bei Ihrem E-Mail-Client zugreifen können.
Die wichtigsten versteckten Angaben im E-Mail-Header sind folgende:
Return-Path: Falls die Mail unzustellbar ist, sendet der Mailserver eine Fehlerbenachrichtigung an die angegebene Rücksendeadresse aus. Diese stimmt im Regelfall mit der Absender-Adresse überein.
Bsp: Return-Path: <marion.h.schreiner78@gmail.com>
Received: Pro E-Mail-Header gibt es mindestens zwei Received-Einträge: Der untere wird von dem für den Versand zuständigen Mailserver und der obere von dem für den Empfang zuständigen Mailserver generiert. Der Inhalt jener Zeilen stellt den Übertragungsweg der Mail inklusive Datum, Uhrzeit und Adresse des involvierten Mailservers dar.
Bsp: Received: from mail-ot1-f43.google.com ([209.85.210.43]) by
mx.ha.gmx.net (mxgmx117 [212.227.17.5]) with ESMTPS (Nemesis) for
<hans-wilder67@gmx.de>; Fri, 05 Feb 2021 11:03:40 +0100
Received: by mail-ot1-f43.google.com with SMTP for <hans-wilder67@gmx.de>; Fri, 05 Feb 2021 02:03:40 -0800 (PST)
Message-ID: Mit dieser eindeutigen Zeichenfolge, die von dem Mailserver oder von dem E-Mail-Client des Absenders generiert wird, lässt sich jede E-Mail identifizieren. Die ID setzt sich aus einem Zeichencode, einem mittigen @-Zeichen und einem Domainnamen zusammen.
Bsp: Message-ID: <CADt6GBXqzOc+Taq6owUM8jvSMQDbi71-_bE6hgx7
_EFwL=wPTA@mail.gmail.com>
Content-Type: Dies bezieht sich auf die Art der Nachricht und des E-Mail-Bodys – am häufigsten sind reine Textnachrichten “text/plain” und Textnachrichten mit Anhängen “multipart/mixed”.
Bsp: multipart/mixed; boundary=“0000000000002e25b005ba93ef28″
Decken Sie Phishing-Mails auf: So analysieren Sie den E-Mail-Header
Absender von Spam möchten im Regelfall anonym bleiben, da sie kein Interesse daran haben, Antwortmails zu erhalten. Deshalb nehmen sie ebenso wie Absender von Phishing-Mails falsche Identitäten an. Dies hat zur Folge, dass die Angaben in den “From”- und “Return-Path”-Zeilen des E-Mail-Headers keine realen E-Mail-Adressen widerspiegeln. Oftmals nutzen Cyber-Kriminelle scheinbar seriöse Fake-Adressen, die denen von Bundesbehörden oder großen Organisationen (DHL, PayPal, Amazon… ) ähnlich sind. Diese Adressen sind mittels der E-Mail-Header-Analyse schnell als fälschlich zu enttarnen.
Denn: Mithilfe der Informationen im E-Mail-Header können Sie die Authentizität einer Mail überprüfen und sicherstellen, dass der angegebene Absender auch der tatsächliche Absender der jeweiligen Nachricht ist.
Durchsuchen Sie hierfür die Komplettansicht der Kopfzeile nach der IP-Adresse und dem Namen des ersten Servers, der an der Nachrichtenübertragung beteiligt gewesen ist. Die IP-Adresse des Absenders finden Sie in dem Received-Eintrag “Received: from (Absender-Server) by (Empfänger-Server) with…” – sie ist in eine eckige Klammer gesetzt.
Received: from mail-ot1-f43.google.com ([209.85.210.43]) by
mx.ha.gmx.net (mxgmx117 [212.227.17.5]) with ESMTPS (Nemesis) for
<hans-wilder67@gmx.de>; Fri, 05 Feb 2021 11:03:40 +0100
Über ein beliebiges Webtool zur IP-Adressen-Analyse, wie z.B. www.whatismyip.com, können Sie nun den Serverstandort einsehen. Sie können weiterhin überprüfen, ob die IP-Adresse und der Name des Servers übereinstimmen und ob diese Daten zur angegebenen Absender-Adresse passen (im obigen Beispiel sollte die Absender-Adresse eine zu Google gehörige Gmail-Adresse sein; der Serverstandort sollte sich in den USA befinden).
Bei der Suche nach Ungereimtheiten im E-Mail-Header kann Ihnen das kostenfreie Programm eToolz helfen – dieses stellt alle Informationen auf übersichtliche Weise dar und lässt Sie schnell auf die gesuchten Details zugreifen.
Indem Spam-Absender fehlkonfigurierte Mailserver oder vireninfizierte Rechner für den Versand ihrer Mails verwenden, können sie die E-Mail-Header manipulieren und eine eindeutige Identifizierung ausschließen.
Deshalb ist der oberste (zuletzt erstellte) Received-Eintrag so wichtig: Dieser wird stets vom Mailserver des Empfängers erzeugt, weshalb die hier dargestellte IP-Adresse fälschungssicher ist.
Spammer haben in diesem Fall nur eine einzige Möglichkeit, um eine falsche Fährte zu legen: Sie fügen dem E-Mail-Header weitere Received-Einträge hinzu, um den Übertragungsweg künstlich zu verlängern und den tatsächlichen Absender-Server als Zwischenstations-Server zu tarnen. Auf derartige Täuschungsversuche müssen Sie gefasst sein.
Noch einmal zusammengefasst…
- Jeder E-Mail-Header besitzt neben Absender, Empfänger, Betreff und Datum detaillierte Angaben zum Übertragungsweg einer Mail.
- Die zusätzlichen Informationen werden erst auf Anfrage angezeigt.
- Mithilfe einer Analyse des E-Mail-Headers können Sie Spam-Mails und Phishing-Mails enttarnen.
Der Received-Eintrag im Header gibt Aufschluss darüber, woher die Mail wirklich kommt bzw. ob eine Fake-Absenderadresse genutzt wurde. Denn: Die IP-Adresse des Absenders kann nicht verfälscht werden.