So lesen Sie den Mail-Header

Stand:

Der Mail-Header verrät viele Informationen zu einer E-Mail, die sonst nicht sichtbar sind. Er ist jedoch nicht intuitiv zu lesen. Wir zeigen Ihnen, was der E-Mail-Header verrät.

Das Wichtigste in Kürze:

  • Neben dem eigentlichen Nachrichtentext besteht eine E-Mail auch aus einem sogenannten Header (deutsch: Kopfzeile).
  • Dem Header können Sie Informationen zum Empfänger, Absender sowie der IP-Adresse des Absenders entnehmen , die sonst nicht sichtbar wären.
  • Mithilfe der IP-Adresse des Absenders, die sich nicht manipulieren lässt, können Sie den Server identifizieren über den die E-Mail verschickt wurde. Stimmt dieser Mailserver nicht mit der E-Mailadresse überein, dann könnte es eine bösartige Phishing-Mail sein.
De-Mail
On

Mithilfe des sogenannten E-Mail Headers, der Kopfzeile, können Sie einige Informationen über eine empfangene E-Mail ermitteln, die sonst nicht sichtbar sind. So können Sie beispielsweise den tatsächlichen Absender einer E-Mail ermitteln und betrügerische E-Mails entlarven. Denn mit sogenannten Phishing-Mails und gefälschten Absender-Adressen locken Betrüger immer wieder in die Falle.

Sie können im Mail-Header folgende Informationen ermitteln:

  • die E-Mail-Adresse des Absenders
  • die IP-Adresse des Absenders (und damit den tatsächlichen Absender!)
  • die Empfänger der E-Mail
  • das Datum des Versands
  • den Betreff der E-Mail

E-Mail-Header auslesen – so geht’s

Sie sollten sich zunächst den Mail-Header vollständig anzeigen lassen. In Ihrem Mail-Programm am Desktop-PC ist das vermutlich über "Ansicht" oder "Optionen" möglich. Manchmal wird der Mail-Header auch als Quelltext bezeichnet. Wie genau die Funktion benannt ist, mit der Sie den Mail-Header einsehen können, hängt von Ihrem genutzten Mail-Programm ab.

Was Sie dann sehen, sieht wahrscheinlich in etwa wie folgt aus:

Screenshot eines E-Mail-Headers

Wir wollen hier nicht zu tief ins Detail gehen. Alles, was für Sie wichtig ist, haben wir farbig hinterlegt. Im Folgenden erklären wir die einzelnen, farblich markierten Bereiche und zeigen Ihnen, welche Informationen Sie hieraus ableiten können.

E-Mail-Header am Smartphone

Auf Smartphones ist es leider  oft nicht möglich, den E-Mail-Header auszulesen.  Ob und wie es am Smartphone funktioniert, hängt von Ihrem Betriebssystem sowie Ihren genutzten E-Mail-Programm  ab.  Sie können versuchen, Ihre E-Mails mit einem Webbrowser aufzurufen und sich dort die Desktop-Seite anzeigen zu lassen. Einige Mail-Anbieter bieten zudem eine eigene App an, die Sie installieren können und so auf den Header zugreifen können. Falls das mit Ihrem Smartphone bzw. Ihrem Mail-Programm nicht funktioniert, öffnen Sie Ihr Mail-Programm an einem Desktop-PC.

E-Mail-Adresse des Absenders

Unter der Angabe "Return-Path" finden Sie den Absender der E-Mail, bzw. dessen E-Mail-Adresse. Steht hier eine kryptische E-Mail-Adresse, ist das schon ein Hinweis auf eine Phishing-Mail. Diese Adresse muss aber nicht stimmen, sie ist leicht manipulierbar, da sie vom Mailserver nicht auf Richtigkeit überprüft wird. Deswegen kann hier auch eine seriös aussehende Adresse stehen, und es kann sich trotzdem um Phishing handeln.

Empfänger

Die E-Mail-Adresse und den Mailserver des Empfängers finden Sie unter "Delivered-To" oder auch "Envelope-To" und unter dem ersten "Received"-Eintrag. 

Die Received-Einträge sind von unten nach oben zu lesen, deswegen ist der letzte Eintrag mit dem Namen "Received" derjenige, den der Mailserver des Empfängers beim Erhalt der Mail in den Header einträgt. Der Mailserver meldet sich mit HELO. In unserem Fall ist das der Eintrag "helo=astaro.vz-nrw.de".

IP-Adresse des Absenders (der tatsächliche Absender!)

Die IP-Adresse, also die tatsächliche physikalische Adresse des Absenders, finden Sie weiter unten, innerhalb einer der nächsten "Received from"-Angaben. Das ist der Received-Eintrag, der die Übergabe der E-Mail vom Absender-Server an den Empfänger-Server dokumentiert. Es steht dort "Received from (hier steht der Absender-Server) by (hier steht der Empfänger-Server)".

Der Absender-Server ist eindeutig kenntlich gemacht durch die so genannte IP-Adresse. Diese ist nicht fälschbar, steht in einer eckigen Klammer und lautet in diesem Fall 62.128.158.4. Davor steht der Name des Mailservers. Der muss aber nicht unbedingt stimmen. 

Sie können sich allerdings die Mühe machen und überprüfen, ob die IP-Adresse und der Name des Servers übereinstimmen. Damit finden Sie über die IP-Adresse auch heraus, woher die E-Mail wirklich kommt.

Dabei gehen Sie so vor:

  1. Rufen Sie (falls Sie einen Windows-Rechner besitzen) die Kommandozeile über Start → Ausführen auf. Tragen Sie "cmd" ein und klicken auf OK.
     
  2. Es öffnet sich ein Kommandofenster. Dort tippen Sie ein "nslookup", dann ein Leerzeichen und dann die IP-Adresse, die als Absender-Adresse angegeben ist. Es gibt auch webbasierte Tools, die eine nslookup-Abfrage machen. Sie finden solche Dienste über Suchmaschinen. Die Abfrage spuckt Ihnen aus, ob es sich um den Mailserver handelt, der auch im Mailheader angegeben ist.
    Die Ausgabe sieht ungefähr so aus:

    Server: srv-d.vz-nrw.de
    Address: 172.16.3.9
    Name: lws01.netbenefit.co.uk
    Address: 62.128.158.4
     
  3. Es wird der Server und dessen IP-Adresse angezeigt, von dem aus sie die Anfrage starten. Name und die IP-Adresse des angefragten Servers sehen Sie darunter. Sie können auch die Gegenprobe machen und anschließend "nslookup" mit dem Namen (hier: lws01.netbenefit.co.uk) eingeben. Es müsste dann wiederum die zugehörige IP-Adresse angezeigt werden.

     

Nicht jede Phishing-Mail ist so raffiniert gemacht, dass sie mit gefälschten Absender-Adressen oder Mail-Servernamen arbeitet. Wenn Sie aber Zweifel an der Echtheit der E-Mail haben, können Sie darüber letzte Zweifel ausräumen – oder sich bestätigen lassen.

An welchen Merkmalen Sie Phishing-Mails erkennen können, haben wir hier in einem separaten Beitrag zusammengefasst. Aktuelle Phishing-Warnungen finden Sie zudem hier.

Mail-Header lesen auf dem Smartphone?

Wichtig: Bei den meisten Smartphones ist es nicht möglich, den Mail-Header einzusehen. Öffnen Sie Ihr Mail-Programm hierfür im Zweifel an einem Desktop-PC.