Der Mail-Header oder die E-Mail-Kopfzeile verrät viele Details einer E-Mail, die sonst nicht sichtbar sind. So kann unter anderem der tatsächliche Absender einer E-Mail ermittelt werden. Doch der E-Mail-Header ist nicht gerade intuitiv zu lesen. Nachfolgend erklären wir Ihnen, wie Sie an diese Informationen kommen.
Das Wichtigste auf einen Blick:
- Eine E-Mail setzt sich nicht nur aus dem Nachrichtentext zusammen, sondern enthält auch einen sogenannten Header, also eine Kopfzeile.
- Im Header finden Sie Informationen zum Empfänger, Absender und zur IP-Adresse des Absenders, die normalerweise nicht direkt sichtbar sind.
- Anhand der IP-Adresse, die nicht manipuliert werden kann, lässt sich der Server bestimmen, über den die E-Mail versendet wurde. Weicht dieser Mail-Server von der angegebenen E-Mail-Adresse ab, könnte es sich um eine Phishing-Mail handeln.
- Obwohl Cyberkriminelle auch falsche Informationen in den Header einfügen können, sind bestimmte Teile des Headers verlässlich und können Hinweise auf Betrug geben.
- Vorsicht: Wenn Phishing-E-Mails über einen echten, gehackten Account verschickt werden, kann der E-Mail-Header korrekt erscheinen, obwohl es sich um eine betrügerische Nachricht handelt.
Diese Informationen verstecken sich im E-Mail-Header
Der E-Mail-Header, also die Kopfzeile, ermöglicht es Ihnen, den tatsächlichen Absender einer E-Mail zu identifizieren. Damit können Sie sich vor Phishing-Mails und gefälschten Absender-Adressen schützen, die Kriminelle nutzen, um Verbraucher in Fallen zu locken.
Im E-Mail-Header können Sie folgende Informationen einsehen:
- Die E-Mail-Adresse des Absenders
- Die IP-Adresse des Absenders (wodurch der wahre Absender ermittelt werden kann)
- Die Empfänger der E-Mail
- Das Versanddatum
- Den Betreff der E-Mail
So lesen Sie den E-Mail-Header aus – so funktioniert es
Um den vollständigen E-Mail-Header einzusehen, müssen Sie diesen zunächst in Ihrem E-Mail-Programm anzeigen lassen. Die Vorgehensweise unterscheidet sich je nach verwendetem Programm. In Outlook klicken Sie beispielsweise doppelt auf die betreffende E-Mail und navigieren dann über die Befehlsfolge >Datei>Informationen>Eigenschaften>Internetkopfzeilen> zum Header.
Bei GMX öffnen Sie eine ausgewählte E-Mail, klicken auf das Symbol mit den drei Punkten und wählen anschließend >Mehr Informationen> aus.
Andere E-Mail-Clients haben wiederum eigene Methoden, um den Header anzuzeigen. In manchen Fällen wird dieser auch als Quelltext bezeichnet. Wie die entsprechende Funktion genau benannt ist, hängt von dem von Ihnen verwendeten E-Mail-Programm ab. Falls Sie Schwierigkeiten haben, hilft Ihnen Ihr E-Mail-Anbieter weiter.
Der angezeigte E-Mail-Header könnte etwa wie folgt aussehen:
Wir wollen hier nicht zu tief in die technischen Details einsteigen. Alles Wichtige haben wir farblich hervorgehoben. Im Folgenden erläutern wir die einzelnen markierten Bereiche und erklären, welche Informationen daraus entnommen werden können.
Absender-E-Mail-Adresse
Die E-Mail-Adresse des Absenders finden Sie unter dem Eintrag "Return-Path". Sollte hier eine ungewöhnlich kryptische E-Mail-Adresse erscheinen, könnte dies ein Anzeichen für eine Phishing-Mail sein. Allerdings muss die angegebene Adresse nicht korrekt sein, da sie leicht manipuliert werden kann. Mailserver prüfen diese Adresse nicht auf ihre Richtigkeit. Daher kann es vorkommen, dass eine E-Mail eine vertrauenswürdig aussehende Adresse anzeigt und dennoch Teil eines Phishing-Angriffs ist.
Empfänger
Die E-Mail-Adresse und der Mailserver des Empfängers sind unter den Einträgen "Delivered-To" oder "Envelope-To" sowie im ersten "Received"-Eintrag zu finden.
Die "Received"-Einträge müssen von unten nach oben gelesen werden, da der letzte "Received"-Eintrag den Zeitpunkt angibt, an dem der Mailserver des Empfängers die Nachricht in den Header einträgt. Der Mailserver stellt sich dabei mit einem HELO-Befehl vor.
Obwohl Cyberkriminelle theoretisch falsche Einträge in den E-Mail-Header einfügen könnten, ist der letzte "Received"-Eintrag immer vertrauenswürdig, da er direkt vom eigenen Mailserver stammt. Falls mehrere "Received"-Einträge von Ihrem Server vorhanden sind, können Sie diesen ebenfalls vertrauen.
IP-Adresse des tatsächlichen Absenders
Die tatsächliche IP-Adresse des Absenders, also seine physische Adresse, finden Sie weiter unten in einem der folgenden "Received from"-Einträge. Dieser Eintrag dokumentiert den Übergang der E-Mail vom Absender-Server zum Empfänger-Server. Hier wird festgehalten: "Received from (Absender-Server) by (Empfänger-Server)".
Der Absender-Server wird eindeutig durch seine IP-Adresse identifiziert, die in eckigen Klammern steht. Diese IP-Adresse ist nicht manipulierbar. In unserem Beispiel lautet sie 62.128.158.4. Vor der IP-Adresse steht der Name des Mailservers, der allerdings nicht immer korrekt sein muss.
Es besteht die Möglichkeit, die IP-Adresse und den Namen des Servers zu überprüfen, um weitere Informationen zu erhalten. Damit finden Sie über die IP-Adresse auch heraus, woher die E-Mail wirklich kommt.
So gehen Sie vor
Öffnen Sie die Kommandozeile auf einem Windows-Rechner, indem Sie auf den Startknopf klicken und "cmd" in die Suchleiste eingeben. Wählen Sie anschließend den Eintrag "Eingabeaufforderung" aus.
Im erscheinenden Fenster geben Sie den Befehl "nslookup" gefolgt von einem Leerzeichen und der IP-Adresse des Absenders ein. Alternativ können Sie auch webbasierte Tools nutzen, die eine nslookup-Abfrage durchführen. Solche Dienste finden Sie über Suchmaschinen. Das Ergebnis zeigt Ihnen, ob der Mailserver, der im E-Mail-Header angegeben ist, tatsächlich derjenige ist, der die E-Mail versendet hat.
Ein Beispiel für den Befehl "nslookup 62.128.158.4" könnte folgende Ausgabe liefern:
Server: srv-d.vz-nrw.de
Address: 172.16.3.9
Name: lws01.netbenefit.co.uk
Address: 62.128.158.4
Zunächst wird der Name des Servers angezeigt, der auf Ihre Abfrage antwortet. Darunter sehen Sie den Namen und die IP-Adresse des Servers, den Sie abgefragt haben. Sie können auch eine Gegenprobe machen, indem Sie "nslookup" mit dem Servernamen (z. B. lws01.netbenefit.co.uk) ausführen. Die zugehörige IP-Adresse sollte dann ebenfalls angezeigt werden.
Für technische Laien macht es letztlich wenig Sinn, den tatsächlichen Absender einer E-Mail ermitteln zu wollen. Wichtiger ist es, den E-Mail-Header auf Unstimmigkeiten zu überprüfen, um eine mögliche Phishing-Mail als Betrugsversuch zu entlarven. Ähnlich wie bei „weichen“ Indizien, wie etwa Tippfehlern oder einer ungewöhnlichen Sprache, genügt oft schon ein einziges Anzeichen, um den Betrug zu erkennen.
Im Gegensatz dazu ist es deutlich schwieriger festzustellen, ob eine E-Mail tatsächlich echt und legitim ist. Selbst erfahrene Analysten müssen in solchen Fällen sehr genau hinsehen und mehrfach prüfen.
Nicht jede Phishing-Mail verwendet gefälschte Absenderadressen oder manipulierte Mail-Servernamen. Wenn Sie jedoch Zweifel an der Echtheit einer E-Mail haben, kann eine genaue Überprüfung letzte Klarheit bringen – oder den Verdacht bestätigen.
E-Mail-Header auf dem Smartphone anzeigen
Auf Smartphones ist es häufig nicht möglich, den E-Mail-Header direkt auszulesen. Ob und wie dies funktioniert, hängt sowohl vom verwendeten Betriebssystem als auch von der E-Mail-App ab, die Sie nutzen. Im Zweifelsfall empfiehlt es sich, bei Ihrem E-Mail-Anbieter nachzufragen, wie Sie den Header anzeigen lassen können.
Einige E-Mail-Dienste bieten auch eigene Apps an, die möglicherweise den Zugriff auf den Header ermöglichen. Sollte dies mit Ihrem Smartphone oder Ihrer App nicht klappen, können Sie Ihr E-Mail-Programm auf einem Desktop-PC öffnen.
Kommentare
0 Kommentare
Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.