Jede E-Mail, die in Ihrem Postfach landet, besteht aus einem Header und einem Body, die durch eine Leerzeile getrennt werden. Der Body (dt. Rumpf) enthält in der Regel das, was für Sie von Interesse ist: den ei­gent­li­chen Inhalt der Nachricht. Vom E-Mail-Header, der Kopfzeile der elek­tro­ni­schen Nach­rich­ten, sehen Sie stan­dard­mä­ßig nur ein paar Pflicht­an­ga­ben wie den Absender, den Betreff oder das Ver­sand­da­tum. Er enthält jedoch noch weitere In­for­ma­tio­nen – vor allem zum Absender und zum Weg der Nachricht – die von den gängigen Mail-An­wen­dun­gen aus­ge­blen­det werden, aber auf Wunsch angezeigt werden können. Wenn Sie z. B. Zweifel an der Echtheit einer Mail haben, sollten Sie von dieser Mög­lich­keit Gebrauch machen und sich den kom­plet­ten Mail-Header anzeigen lassen.

KI-Assistent kostenlos – Ihr smarter All­tags­hel­fer
  • DSGVO-konform & sicher gehostet in Deutsch­land
  • Pro­duk­ti­vi­tät steigern – weniger Aufwand, mehr Output
  • Direkt im Browser starten – ohne In­stal­la­ti­on

Der Aufbau des Mail-Headers

Die Kopfzeile einer E-Mail wird grob in zwei Ka­te­go­rien un­ter­teilt: Message-Header werden direkt vom je­wei­li­gen Absender generiert und an­schlie­ßend auf die Reise zum Empfänger geschickt. Unterwegs wird die elek­tro­ni­sche Nachricht um so­ge­nann­te Envelope-Header erweitert, die von den an der Über­tra­gung be­tei­lig­ten Mail-Servern erzeugt werden. Diese nach­träg­lich hin­zu­ge­füg­ten „Brief­um­schlag“-In­for­ma­tio­nen, die so­ge­nann­ten Received-Zeilen, sind von ele­men­ta­rer Bedeutung für die Rück­ver­fol­gung der Mails. Jede Zeile eines E-Mail-Headers beginnt mit einem Schlüs­sel­wort (dem Namen), gefolgt von einem Dop­pel­punkt und dem Inhalt.

Die E-Mail-Header-Pflicht­an­ga­ben in der Übersicht

From: Die Angabe des Absenders bzw. Autors in Form der Mail-Adresse. Es gibt auch E-Mail-Clients, die mehrere Absender zulassen. Ist der tech­ni­sche Sender nicht der Autor der Mail, wird dies in der zu­sätz­li­chen Zeile „Sender“ vermerkt.

Beispiel: From: Absender <absender-adresse@mail.de>

To: In dieser Mail-Header-Zeile sind der oder die Empfänger, durch Kommata getrennt, angegeben. Die Angabe muss nicht der „Envelope-To“-Angabe ent­spre­chen, welche dem Über­tra­gungs­pro­to­koll über­mit­telt wird. Dadurch kann es dazu kommen, dass Ihre Mail-Adresse in dieser Zeile gar nicht auftaucht.

Beispiel: To: Adressat <adressat-adresse@mail.de>, Adressat 2 <adressat2-adresse@mail.de>

Cc: Diese optionale Angabe enthält die Adresse(n) eines oder mehrerer Empfänger, die eine Kopie der E-Mail erhalten sollen.

Beispiel: Kopie-Empfänger <cc-adresse@mail.de>, Kopie-Empfänger 2 <cc2-adresse@mail.de>

Subject: Das Subject bzw. der Betreff geben dem Empfänger der Mail eine Kurz­in­for­ma­ti­on darüber, was für eine Art von Inhalt ihn erwartet. Der Absender sollte vor allem die Relevanz des Inhalts für den Leser deutlich machen.

Beispiel: Cc: Re: Ihre Ter­min­an­fra­ge für kommendes Jahr

Ver­steck­te Mail-Header-Angaben

Return-Path: Diese Zeile steht fast immer zu Beginn – soweit vorhanden – und gibt die Rücksende-Option für den Mail­ser­ver an, falls eine Zu­stel­lung nicht möglich ist. Die hier ge­lie­fer­te E-Mail-Adresse ist identisch mit der, die der Server über die „Envelope-From“-Angabe erhält.

Beispiel: Return-Path: <return-adresse@mail.de>

Received: Die Received-Zeilen werden von den Mail­ser­vern, die an der Über­tra­gung beteiligt sind, generiert. Lo­gi­scher­wei­se exis­tie­ren pro E-Mail-Header min­des­tens zwei dieser Zeilen, da ein Server für den Versand und einer für den Empfang benötigt werden. In­halt­lich verraten die Zeilen den Über­tra­gungs­weg der Mail inklusive Datum sowie die Adressen der in­vol­vier­ten Mail­ser­ver (in der Regel in eckigen Klammern).

Beispiel: Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])

                by mail­ser­ver.adressat.de with SMTP

                for <adressat@mail.de>; Thu, 24 Dez 2015 17:36:20

                +0200 (MET DST)

Message-ID: Diese ein­deu­ti­ge Kennung erhält jede E-Mail, zumeist von den Mail­ser­vern oder bereits vom Mail-Programm des Absenders. Die ID besteht aus einem Zei­chen­code vor und einem Do­main­na­men hinter dem mittig plat­zier­ten Son­der­zei­chen „@“.

Beispiel: Message-ID: <434571BC.8070702@mail.de>

Content-Type: In dieser Zeile des Mail-Headers stehen In­for­ma­tio­nen über die Art und den Zei­chen­satz des Body-Textes. Die einzelnen Parameter werden durch Semikola getrennt.

Beispiel: Content-Type: text/plain; charset=UTF-8

Der Nutzen des E-Mail-Headers

Mithilfe einer ein­ge­hen­den Analyse der zumeist ver­steck­ten In­for­ma­tio­nen des E-Mail-Headers können Sie den Über­tra­gungs­weg Ihrer elek­tro­ni­schen Post zu­rück­ver­fol­gen und über­prü­fen, ob der an­ge­ge­be­ne auch der tat­säch­li­che Absender der je­wei­li­gen Nachricht ist. Gerade, wenn Sie eine E-Mail erhalten haben, deren Au­then­ti­zi­tät Sie an­zwei­feln, sollten Sie die Kopfzeile also unbedingt zu Rate ziehen. Im Folgenden wird erklärt, wie Sie sich den Mail-Header anzeigen lassen können und mit welchen Tricks die Absender von Spam-Mails zu Werke gehen. 

Mail-Header-Analyse: so funk­tio­niert’s

Bevor Sie mit der Studie der Kopfzeile beginnen können, benötigen Sie zunächst einmal den voll­stän­di­gen Auszug. Da die gängigen E-Mail-Programme die für die Über­tra­gung re­le­van­ten Inhalte verbergen, ist es notwendig, diese zunächst auf­zu­de­cken. In Microsoft Outlook bei­spiels­wei­se öffnen Sie dafür die jeweilige Nachricht und an­schlie­ßend die komplette Adress­zei­le über „Datei -> In­for­ma­tio­nen -> Ei­gen­schaf­ten“. In Mozilla Thun­der­bird ak­ti­vie­ren Sie die Anzeige im An­wen­dungs­me­nü über „Ansicht -> Kopf­zei­len -> Alle“. Andere An­wen­dun­gen wie der GMX Webmailer öffnen die gesamte Adress­zei­le über einen einzelnen Button innerhalb der auf­ge­ru­fe­nen Nachricht. Im Fall von GMX ist es ein kleines „i“ direkt neben Datum und Uhrzeit.

Um nun den Absender zu ermitteln, durch­su­chen Sie den gesamten Kopf­zei­len­in­halt nach der IP-Adresse und dem Namen des ersten Servers, der an der Über­tra­gung der Nachricht beteiligt gewesen ist. Gehen Sie dafür einfach die ver­schie­de­nen Received-Einträge von oben (der von Ihnen ver­wen­de­te Mail­ser­ver) bis zur Angabe des Aus­gangs­ser­ver durch. Dieser bildet im Regelfall den untersten Received-Eintrag. Wurden weitere Einträge darunter hin­zu­ge­fügt, handelt es sich dabei wahr­schein­lich um einen Täu­schungs­ver­such. In diesem Fall sollten Sie davon ausgehen, dass Sie den Aus­gangs­ser­ver bereits gefunden haben. An­schlie­ßend kopieren Sie die IP-Adresse, die im Received-Eintrag angegeben ist, in ein be­lie­bi­ges IP-Webtool, wie es z. B. die Seite Network-Tools.com bietet. Sie erhalten dadurch Auskunft über den Ser­ver­stand­ort. Das Ergebnis sollte ebenso zum Namen des Servers passen wie die in der Zeile aus­ge­wie­se­ne Zeitzone.

Anstatt sich selbst auf die Suche nach Un­ge­reimt­hei­ten in den Received-Angaben des E-Mail-Headers zu begeben, können Sie auch auf Programme wie das kos­ten­freie eToolz zu­rück­grei­fen. Dort können Sie den voll­stän­di­gen Header-Auszug unter „Header Analyzer“ in das Feld „Kopf­zei­len“ einfügen und die Suche starten. Die Anwendung listet an­schlie­ßend alle be­tei­lig­ten Mail­ser­ver in chro­no­lo­gi­scher Rei­hen­fol­ge auf. Hinter „Gesendet von:“ finden Sie die IP-Adresse des ersten Servers, die Sie wie schon bei der manuellen Suche über Network-Tools.com über­prü­fen können.

Eigene E-Mail-Adresse erstellen
E-Mail-Kom­plett­pa­ke­te vom deutschen Markt­füh­rer
  • Mit KI schneller zur perfekten E-Mail: schreiben, über­set­zen, um­for­mu­lie­ren
  • Aus Deutsch­land – DSGVO-konform & sicher
  • Nur bei IONOS: Eigene Domain inklusive

So werden E-Mail-Header ma­ni­pu­liert

In den meisten Fällen haben die Absender von Spam kein Interesse daran, Textmails als Antwort auf ihren Spam zu erhalten. In der Regel gilt daher: Wer Spam versendet, möchte dabei auch anonym bleiben. Das hat zur Folge, dass „From“- und „Return-Path“-Zeilen elek­tro­ni­scher Nach­rich­ten, die Spam enthalten, eher selten der Realität ent­spre­chen. Die ei­gent­li­chen Verfasser schmücken sich zu diesem Zweck mit falschen Iden­ti­tä­ten. In der jüngeren Ver­gan­gen­heit erhielten viele E-Mail-Empfänger z. B. an­geb­li­che Mails von der DHL, der Post, PayPal oder gar von Bun­des­be­hör­den. Abgesehen von der Tatsache, dass in solchen Nach­rich­ten immer das Öffnen eines externen Links verlangt wurde, hatten die ver­wen­de­ten Fake-Adressen größ­ten­teils nur Ähn­lich­keit mit den Original-Adressen und waren durch eine Mail-Header-Analyse schnell als Spam zu enttarnen. Es ist jedoch schwierig, die tat­säch­li­chen Urheber solcher Spam-Mails zu ermitteln. Denn mithilfe fehl­kon­fi­gu­rier­ter Mail­ser­ver oder durch den Versand über vi­ren­in­fi­zier­te Rechner, die als Zwi­schen­sta­ti­on beim Versand dienen, umgehen viele Spam-Absender eine ein­deu­ti­ge Iden­ti­fi­zie­rung durch die E-Mail-Header.

Die Received-Einträge sind die einzigen Elemente des Mail-Headers, die nicht gänzlich gefälscht werden können. Das liegt daran, dass Spammer keinen Zugriff auf den letzten Received-Eintrag haben, der nor­ma­ler­wei­se auch die Ausgangs-IP enthält. Denn dieser wird vom Mail­ser­ver des Emp­fän­gers selbst erzeugt. Eine Ma­ni­pu­la­ti­on der Zeilen hilft den Absendern von Spam nur insofern, dass sie damit Ver­wir­rung stiften und falsche Fährten legen können, indem sie den eigenen Server bei­spiels­wei­se nicht an den Beginn der Kette setzen, sondern als Teil des Weges prä­sen­tie­ren.

Zum Hauptmenü