Ihr gemeinnütziger Verein für Information, Beratung, Bildung und Interessenvertretung.

 

So lesen Sie den E-Mail-Header

Stand:
Der Mail-Header verrät viel über eine E-Mail, was sonst nicht sichtbar ist. So können Sie etwa den tatsächlichen Absender einer E-Mail ermitteln und betrügerische E-Mails entlarven. Doch der E-Mail-Header ist nicht gerade intuitiv zu lesen. Wir zeigen Ihnen, was er verrät.
De-Mail

Das Wichtigste in Kürze:

  • Neben dem eigentlichen Nachrichtentext besteht eine E-Mail auch aus einem sogenannten Header, also einer Kopfzeile.
  • Dem Header können Sie Informationen zum Empfänger, Absender sowie der IP-Adresse des Absenders entnehmen, die sonst nicht sichtbar wären.
  • Mithilfe der IP-Adresse des Absenders, die sich nicht manipulieren lässt, können Sie den Server identifizieren, über den die E-Mail verschickt wurde. Stimmt dieser Mail-Server nicht mit der E-Mail-Adresse überein, dann könnte es eine bösartige Phishing-Mail sein.
  • Cyberkriminelle können zwar grundsätzlich auch Fälschungen in den Header einbauen, beispielsweise falsche Zeilen. Aber bestimmte Bereiche des Headers sind vertrauenswürdig und können einen Betrugsversuch aufdecken.
  • Achtung: Falls die Phishing-E-Mails über einen echten Account versendet werden, der von Kriminellen gehackt wurde, kann der E-Mail-Header passen, obwohl es sich um eine betrügerische E-Mail handelt.
On

Diese Informationen verbergen sich im E-Mail-Header

Mit dem E-Mail Header, der Kopfzeile, können Sie herausfinden, wer der tatsächliche Absender einer E-Mail ist. Dadurch schützen Sie sich etwa vor  sogenannten Phishing-Mails und gefälschten Absender-Adressen, mit denen Kriminelle Verbraucher:innen immer wieder in die Falle locken.

Sie können im E-Mail-Header folgende Informationen ermitteln:

  • die E-Mail-Adresse des Absenders
  • die IP-Adresse des Absenders (und damit den tatsächlichen Absender!)
  • die Empfänger der E-Mail
  • das Datum des Versands
  • den Betreff der E-Mail

E-Mail-Header auslesen – so geht’s

Sie sollten sich zunächst den Mail-Header vollständig anzeigen lassen. Wie das technisch funktioniert, hängt allerdings vom Programm ab, mit dem Sie auf Ihre E-Mails zugreifen. Beispielsweise müsste man bei Outlook nach einem Doppelklick auf die betreffende E-Mail die Befehlsfolge >Datei>Informationen >Eigenschaften>Internetkopfzeilen> angeben. 

Bei GMX würde man in einer bereits ausgewählten E-Mail auf das Symbol mit den 3 Punkten und dann auf >Mehr Informationen gehen. 

Weitere Clients haben wieder andere Wege, um zum E-Mail-Header zu gelangen. Manchmal wird dieser auch als Quelltext bezeichnet. Wie genau die Funktion benannt ist, mit der Sie den Mail-Header einsehen können, hängt also von dem Mail-Programm ab, das Sie nutzen. Im Zweifel fragen Sie bei Ihrem Anbieter nach, wie Sie dorthin gelangen.

Was Sie dann sehen, sieht wahrscheinlich in etwa wie folgt aus:

Screenshot eines E-Mail-Headers

Wir wollen hier nicht zu tief ins Detail gehen. Alles, was für Sie wichtig ist, haben wir farbig hinterlegt. Im Folgenden erklären wir die einzelnen, farblich markierten Bereiche und zeigen Ihnen, welche Informationen Sie hieraus ableiten können.

E-Mail-Adresse des Absenders

Unter der Angabe "Return-Path" finden Sie den Absender der E-Mail, bzw. dessen E-Mail-Adresse. Steht hier eine kryptische E-Mail-Adresse, ist das schon ein Hinweis auf eine Phishing-Mail. Diese Adresse muss aber nicht stimmen, sie ist leicht manipulierbar, da sie vom Mailserver nicht auf Richtigkeit überprüft wird. Deswegen kann hier auch eine seriös aussehende Adresse stehen, und es kann sich trotzdem um Phishing handeln.

Empfänger

Die E-Mail-Adresse und den Mailserver des Empfängers finden Sie unter "Delivered-To" oder auch "Envelope-To" und unter dem ersten "Received"-Eintrag. 

Die Received-Einträge sind von unten nach oben zu lesen, deswegen ist der letzte Eintrag mit dem Namen "Received" derjenige, den der Mailserver des Empfängers beim Erhalt der Mail in den Header einträgt. Der Mailserver meldet sich mit HELO. In unserem Fall ist das der Eintrag "helo=astaro.vz-nrw.de".

Auch wenn Cyberkriminelle grundsätzlich falsche Zeilen in den E-Mail-Header einbauen könnten, ist dieser letzte Eintrag bei den "Received-Zeilen" in jedem Fall vertrauenswürdig, denn er kommt schlicht und einfach vom eigenen Server. Sollte der eigene Server mehrere "Received-Zeilen" aufweisen, sind diese alle vertrauenswürdig.

IP-Adresse des Absenders (der tatsächliche Absender!)

Die IP-Adresse, also die tatsächliche physikalische Adresse des Absenders, finden Sie weiter unten, innerhalb einer der nächsten "Received from"-Angaben. Das ist der Received-Eintrag, der die Übergabe der E-Mail vom Absender-Server an den Empfänger-Server dokumentiert. Dort steht  "Received from (hier steht der Absender-Server) by (hier steht der Empfänger-Server)".

Der Absender-Server ist eindeutig kenntlich gemacht durch die so genannte IP-Adresse. Diese ist nicht fälschbar, steht in einer eckigen Klammer und lautet in diesem Fall 62.128.158.4. Davor steht der Name des Mail-Servers. Der muss aber nicht unbedingt stimmen. 

Sie können sich allerdings die Mühe machen und überprüfen, ob die IP-Adresse und der Name des Servers übereinstimmen. Damit finden Sie über die IP-Adresse auch heraus, woher die E-Mail wirklich kommt.

Dabei gehen Sie so vor:

  1. Rufen Sie (falls Sie einen Windows-Rechner besitzen) die Kommandozeile über Startknopf auf. Tragen Sie "cmd" ein und klicken Sie auf den Eintrag "Eingabeaufforderung".
  2. Es öffnet sich ein Kommandofenster. Dort tippen Sie ein "nslookup" ein, dann ein Leerzeichen und dann die IP-Adresse, die als Absender-Adresse angegeben ist. Es gibt auch webbasierte Tools, die eine nslookup-Abfrage machen. Sie finden solche Dienste über Suchmaschinen. Die Abfrage spuckt Ihnen aus, ob es sich um den Mailserver handelt, der auch im Mailheader angegeben ist. Für den Befehl "nslookup 62.128.158.4" sieht die Ausgabe ungefähr so aus:

    Server: srv-d.vz-nrw.de
    Address: 172.16.3.9
    Name: lws01.netbenefit.co.uk
    Address: 62.128.158.4
  3. Zuerst wird der Name des Servers genannt, der auf Ihre Frage antwortet. Name und IP-Adresse des angefragten Servers sehen Sie direkt darunter. Sie können auch die Gegenprobe machen und anschließend "nslookup" mit dem Namen (hier: lws01.netbenefit.co.uk) eingeben. Es müsste dann wiederum die zugehörige IP-Adresse angezeigt werden.
     

Allerdings ergibt es in der Sache letztlich für technische Laien wenig Sinn, herausfinden zu wollen, wer der tatsächliche Absender ist. Entscheidend ist, ob der E-Mail-Header mindestens eine Unstimmigkeit aufweist und damit die Phishing-Mail als Betrug entlarvt. Hier ist es letztlich wie bei den „weichen“ Kriterien wie Tippfehler oder fremde Sprache ausreichend, ein einziges Indiz für Betrug zu finden.

Umgekehrt wäre es deutlich schwieriger zu bewerten, dass eine E-Mail definitiv echt bzw. legitim ist. Bei dieser Zielsetzung müssen nämlich selbst erfahrene Analysten mehrfach genau hinschauen.

Nicht jede Phishing-Mail ist so raffiniert gemacht, dass sie mit gefälschten Absender-Adressen oder Mail-Servernamen arbeitet. Wenn Sie aber Zweifel an der Echtheit der E-Mail haben, können Sie darüber letzte Zweifel ausräumen – oder sich bestätigen lassen.

An welchen Merkmalen Sie Phishing-Mails erkennen können, haben wir hier in einem separaten Beitrag zusammengefasst. Aktuelle Phishing-Warnungen finden Sie zudem hier.

E-Mail-Header auf dem Smartphone

Auf Smartphones ist es leider oft nicht möglich, den E-Mail-Header auszulesen. Ob und wie es am Smartphone funktioniert, hängt von Ihrem Betriebssystem sowie vom E-Mail-Programm ab, das Sie nutzen. Fragen Sie auch hier im Zweifel bei Ihrem Anbieter nach, wie Sie zum Header gelangen.

Einige Mail-Anbieter haben zudem eine eigene App, die es eventuell ermöglicht, auf den Header zuzugreifen. Falls das mit Ihrem Smartphone oder Ihrem Mail-Programm nicht funktioniert, öffnen Sie Ihr Mail-Programm an einem Desktop-PC.

Ratgeber-Tipps

Ratgeber Photovoltaik
Wer ein Stück weit unabhängig von den Preiskapriolen der Energieversorger werden will, kümmert sich um die Anschaffung…
Handbuch Pflege
Als pflegebedürftig gelten Menschen, die wegen einer Krankheit oder Behinderung für mindestens sechs Monate Hilfe im…
Ein Handydisplay, auf dem Prime Video steht

Sammelklage gegen Amazon Prime: Klageregister geöffnet

Im Januar 2024 kündigte Amazon an, ab Februar Werbung auf seinem Video-Streaming-Angebot zu schalten. Nur gegen einen Aufpreis von 2,99 Euro pro Monat blieb Amazon Prime werbefrei. Die Verbraucherzentralen hielten das für unzulässig. Nun ist das Klageregister für eine Sammelklage geöffnet.
Kopf aus Glas mit Tabletten und Pillen

Endlich Höchstmengen für Vitamine und Mineralstoffe?

Es ist eine langjährige Forderung der Verbraucherzentralen: Einheitliche europäische Höchstmengen für Vitamine und Mineralstoffe in Nahrungsergänzungsmitteln.
Hausfront mit mehreren Balkonen mit Steckersolarmodulen

Neue Gesetze und Normen für Steckersolar: Was gilt heute, was gilt (noch) nicht?

Für Balkonkraftwerke gelten zahlreiche Vorgaben, die politisch oder technisch definiert sind. Was ist heute erlaubt und was nicht? Verschaffen Sie sich einen Überblick über Änderungen und Vereinfachungen.