Das Wichtigste in Kürze:
- Neben dem eigentlichen Nachrichtentext besteht eine E-Mail auch aus einem sogenannten Header, also einer Kopfzeile.
- Dem Header können Sie Informationen zum Empfänger, Absender sowie der IP-Adresse des Absenders entnehmen, die sonst nicht sichtbar wären.
- Mithilfe der IP-Adresse des Absenders, die sich nicht manipulieren lässt, können Sie den Server identifizieren, über den die E-Mail verschickt wurde. Stimmt dieser Mail-Server nicht mit der E-Mail-Adresse überein, dann könnte es eine bösartige Phishing-Mail sein.
- Cyberkriminelle können zwar grundsätzlich auch Fälschungen in den Header einbauen, beispielsweise falsche Zeilen. Aber bestimmte Bereiche des Headers sind vertrauenswürdig und können einen Betrugsversuch aufdecken.
- Achtung: Falls die Phishing-E-Mails über einen echten Account versendet werden, der von Kriminellen gehackt wurde, kann der E-Mail-Header passen, obwohl es sich um eine betrügerische E-Mail handelt.
Diese Informationen verbergen sich im E-Mail-Header
Mit dem E-Mail Header, der Kopfzeile, können Sie herausfinden, wer der tatsächliche Absender einer E-Mail ist. Dadurch schützen Sie sich etwa vor sogenannten Phishing-Mails und gefälschten Absender-Adressen, mit denen Kriminelle Verbraucher:innen immer wieder in die Falle locken.
Sie können im E-Mail-Header folgende Informationen ermitteln:
- die E-Mail-Adresse des Absenders
- die IP-Adresse des Absenders (und damit den tatsächlichen Absender!)
- die Empfänger der E-Mail
- das Datum des Versands
- den Betreff der E-Mail
E-Mail-Header auslesen – so geht’s
Sie sollten sich zunächst den Mail-Header vollständig anzeigen lassen. Wie das technisch funktioniert, hängt allerdings vom Programm ab, mit dem Sie auf Ihre E-Mails zugreifen. Beispielsweise müssten Sie bei Outlook nach einem Doppelklick auf die betreffende E-Mail oben links auf Datei klicken, dann auf Informationen und dort auf Eigenschaften.
Bei GMX würden Sie in einer bereits ausgewählten E-Mail auf das Symbol mit den 3 Punkten und dann auf >Mehr Informationen gehen.
Weitere Clients haben wieder andere Wege, um zum E-Mail-Header zu gelangen. Manchmal wird dieser auch als Quelltext bezeichnet. Wie genau die Funktion benannt ist, mit der Sie den Mail-Header einsehen können, hängt also von dem Mail-Programm ab, das Sie nutzen. Im Zweifel fragen Sie bei Ihrem Anbieter nach, wie Sie dorthin gelangen.
Was Sie dann sehen, sieht wahrscheinlich in etwa wie folgt aus:
Wir wollen hier nicht zu tief ins Detail gehen. Alles, was für Sie wichtig ist, haben wir farbig hinterlegt. Im Folgenden erklären wir die einzelnen, farblich markierten Bereiche und zeigen Ihnen, welche Informationen Sie hieraus ableiten können.
E-Mail-Adresse des Absenders
Unter der Angabe "Return-Path" finden Sie den Absender der E-Mail, bzw. dessen E-Mail-Adresse. Steht hier eine kryptische E-Mail-Adresse, ist das schon ein Hinweis auf eine Phishing-Mail. Diese Adresse muss aber nicht stimmen, sie ist leicht manipulierbar, da sie vom Mailserver nicht auf Richtigkeit überprüft wird. Deswegen kann hier auch eine seriös aussehende Adresse stehen, und es kann sich trotzdem um Phishing handeln.
Empfänger
Die E-Mail-Adresse und den Mailserver des Empfängers finden Sie unter "Delivered-To" oder auch "Envelope-To" und unter dem ersten "Received"-Eintrag.
Die Received-Einträge sind von unten nach oben zu lesen, deswegen ist der letzte Eintrag mit dem Namen "Received" derjenige, den der Mailserver des Empfängers beim Erhalt der Mail in den Header einträgt. Der Mailserver meldet sich mit HELO. In unserem Fall ist das der Eintrag "helo=astaro.vz-nrw.de".
Auch wenn Cyberkriminelle grundsätzlich falsche Zeilen in den E-Mail-Header einbauen könnten, ist dieser letzte Eintrag bei den "Received-Zeilen" in jedem Fall vertrauenswürdig, denn er kommt schlicht und einfach vom eigenen Server. Sollte der eigene Server mehrere "Received-Zeilen" aufweisen, sind diese alle vertrauenswürdig.
IP-Adresse des Absenders (der tatsächliche Absender!)
Die IP-Adresse, also die tatsächliche physikalische Adresse des Absenders, finden Sie weiter unten, innerhalb einer der nächsten "Received from"-Angaben. Das ist der Received-Eintrag, der die Übergabe der E-Mail vom Absender-Server an den Empfänger-Server dokumentiert. Dort steht "Received from (hier steht der Absender-Server) by (hier steht der Empfänger-Server)".
Der Absender-Server ist eindeutig kenntlich gemacht durch die so genannte IP-Adresse. Diese ist nicht fälschbar, steht in einer eckigen Klammer und lautet in diesem Fall 62.128.158.4. Davor steht der Name des Mail-Servers. Der muss aber nicht unbedingt stimmen.
Sie können sich allerdings die Mühe machen und überprüfen, ob die IP-Adresse und der Name des Servers übereinstimmen. Damit finden Sie über die IP-Adresse auch heraus, woher die E-Mail wirklich kommt.
Dabei gehen Sie so vor:
- Rufen Sie (falls Sie einen Windows-Rechner besitzen) die Kommandozeile über Startknopf auf. Tragen Sie "cmd" ein und klicken Sie auf den Eintrag "Eingabeaufforderung".
- Es öffnet sich ein Kommandofenster. Dort tippen Sie ein "nslookup" ein, dann ein Leerzeichen und dann die IP-Adresse, die als Absender-Adresse angegeben ist. Es gibt auch webbasierte Tools, die eine nslookup-Abfrage machen. Sie finden solche Dienste über Suchmaschinen. Die Abfrage spuckt Ihnen aus, ob es sich um den Mailserver handelt, der auch im Mailheader angegeben ist. Für den Befehl "nslookup 62.128.158.4" sieht die Ausgabe ungefähr so aus:
Server: srv-d.vz-nrw.de
Address: 172.16.3.9
Name: lws01.netbenefit.co.uk
Address: 62.128.158.4 - Zuerst wird der Name des Servers genannt, der auf Ihre Frage antwortet. Name und IP-Adresse des angefragten Servers sehen Sie direkt darunter. Sie können auch die Gegenprobe machen und anschließend "nslookup" mit dem Namen (hier: lws01.netbenefit.co.uk) eingeben. Es müsste dann wiederum die zugehörige IP-Adresse angezeigt werden.
Allerdings ergibt es in der Sache letztlich für technische Laien wenig Sinn, herausfinden zu wollen, wer der tatsächliche Absender ist. Entscheidend ist, ob der E-Mail-Header mindestens eine Unstimmigkeit aufweist und damit die Phishing-Mail als Betrug entlarvt. Hier ist es letztlich wie bei den „weichen“ Kriterien wie Tippfehler oder fremde Sprache ausreichend, ein einziges Indiz für Betrug zu finden.
Umgekehrt wäre es deutlich schwieriger zu bewerten, dass eine E-Mail definitiv echt bzw. legitim ist. Bei dieser Zielsetzung müssen nämlich selbst erfahrene Analysten mehrfach genau hinschauen.
Nicht jede Phishing-Mail ist so raffiniert gemacht, dass sie mit gefälschten Absender-Adressen oder Mail-Servernamen arbeitet. Wenn Sie aber Zweifel an der Echtheit der E-Mail haben, können Sie darüber letzte Zweifel ausräumen – oder sich bestätigen lassen.
An welchen Merkmalen Sie Phishing-Mails erkennen können, haben wir hier in einem separaten Beitrag zusammengefasst. Aktuelle Phishing-Warnungen finden Sie zudem hier.
E-Mail-Header auf dem Smartphone
Auf Smartphones ist es leider oft nicht möglich, den E-Mail-Header auszulesen. Ob und wie es am Smartphone funktioniert, hängt von Ihrem Betriebssystem sowie vom E-Mail-Programm ab, das Sie nutzen. Fragen Sie auch hier im Zweifel bei Ihrem Anbieter nach, wie Sie zum Header gelangen.
Einige Mail-Anbieter haben zudem eine eigene App, die es eventuell ermöglicht, auf den Header zuzugreifen. Falls das mit Ihrem Smartphone oder Ihrem Mail-Programm nicht funktioniert, öffnen Sie Ihr Mail-Programm an einem Desktop-PC.