E-Mail-Header – welche Informationen enthält er?

Jede E-Mail, die in Ihrem Postfach landet, besteht aus einem Header und einem Body, die durch eine Leerzeile getrennt werden. Der Body (dt. Rumpf) enthält in der Regel das, was für Sie von Interesse ist: den eigentlichen Inhalt der Nachricht. Vom E-Mail-Header, der Kopfzeile der elektronischen Nachrichten, sehen Sie standardmäßig nur ein paar Pflichtangaben wie den Absender, den Betreff oder das Versanddatum. Er enthält jedoch noch weitere Informationen – vor allem zum Absender und zum Weg der Nachricht – die von den gängigen Mail-Anwendungen ausgeblendet werden, aber auf Wunsch angezeigt werden können. Wenn Sie z. B. Zweifel an der Echtheit einer Mail haben, sollten Sie von dieser Möglichkeit Gebrauch machen und sich den kompletten Mail-Header anzeigen lassen.

Der Aufbau des Mail-Headers

Die Kopfzeile einer E-Mail wird grob in zwei Kategorien unterteilt: Message-Header werden direkt vom jeweiligen Absender generiert und anschließend auf die Reise zum Empfänger geschickt. Unterwegs wird die elektronische Nachricht um sogenannte Envelope-Header erweitert, die von den an der Übertragung beteiligten Mailservern erzeugt werden. Diese nachträglich hinzugefügten „Briefumschlag“-Informationen, die sogenannten Received-Zeilen, sind von elementarer Bedeutung für die Rückverfolgung der Mails. Jede Zeile eines E-Mail-Headers beginnt mit einem Schlüsselwort (dem Namen), gefolgt von einem Doppelpunkt und dem Inhalt.

Die E-Mail-Header-Pflichtangaben in der Übersicht

From: Die Angabe des Absenders bzw. Autors in Form der Mail-Adresse. Es gibt auch E-Mail-Clients, die mehrere Absender zulassen. Ist der technische Sender nicht der Autor der Mail, wird dies in der zusätzlichen Zeile „Sender“ vermerkt.

Beispiel: From: Absender <absender-adresse@mail.de>

To: In dieser Mail-Header-Zeile sind der oder die Empfänger, durch Kommata getrennt, angegeben. Die Angabe muss nicht der „Envelope-To“-Angabe entsprechen, welche dem Übertragungsprotokoll übermittelt wird. Dadurch kann es dazu kommen, dass Ihre Mail-Adresse in dieser Zeile gar nicht auftaucht.

Beispiel: To: Adressat <adressat-adresse@mail.de>, Adressat 2 <adressat2-adresse@mail.de>

Cc: Diese optionale Angabe enthält die Adresse(n) eines oder mehrerer Empfänger, die eine Kopie der E-Mail erhalten sollen.

Beispiel: Kopie-Empfänger <cc-adresse@mail.de>, Kopie-Empfänger 2 <cc2-adresse@mail.de>

Subject: Das Subject bzw. der Betreff geben dem Empfänger der Mail eine Kurzinformation darüber, was für eine Art von Inhalt ihn erwartet. Der Absender sollte vor allem die Relevanz des Inhalts für den Leser deutlich machen.

Beispiel: Cc: Re: Ihre Terminanfrage für kommendes Jahr

Versteckte Mail-Header-Angaben

Return-Path: Diese Zeile steht fast immer zu Beginn – soweit vorhanden – und gibt die Rücksende-Option für den Mailserver an, falls eine Zustellung nicht möglich ist. Die hier gelieferte E-Mail-Adresse ist identisch mit der, die der Server über die „Envelope-From“-Angabe erhält.

Beispiel: Return-Path: <return-adresse@mail.de>

Received: Die Received-Zeilen werden von den Mailservern, die an der Übertragung beteiligt sind, generiert. Logischerweise existieren pro E-Mail-Header mindestens zwei dieser Zeilen, da ein Server für den Versand und einer für den Empfang benötigt werden. Inhaltlich verraten die Zeilen den Übertragungsweg der Mail inklusive Datum sowie die Adressen der involvierten Mailserver (in der Regel in eckigen Klammern).

Beispiel: Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])

                by mailserver.adressat.de with SMTP

                for <adressat@mail.de>; Thu, 24 Dez 2015 17:36:20

                +0200 (MET DST)

Message-ID: Diese eindeutige Kennung erhält jede E-Mail, zumeist von den Mailservern oder bereits vom Mail-Programm des Absenders. Die ID besteht aus einem Zeichencode vor und einem Domainnamen hinter dem mittig platzierten Sonderzeichen „@“.

Beispiel: Message-ID: <434571BC.8070702@mail.de>

Content-Type: In dieser Zeile des Mail-Headers stehen Informationen über die Art und den Zeichensatz des Body-Textes. Die einzelnen Parameter werden durch Semikola getrennt.

Beispiel: Content-Type: text/plain; charset=UTF-8

Der Nutzen des E-Mail-Headers

Mithilfe einer eingehenden Analyse der zumeist versteckten Informationen des E-Mail-Headers können Sie den Übertragungsweg Ihrer elektronischen Post zurückverfolgen und überprüfen, ob der angegebene auch der tatsächliche Absender der jeweiligen Nachricht ist. Gerade, wenn Sie eine E-Mail erhalten haben, deren Authentizität Sie anzweifeln, sollten Sie die Kopfzeile also unbedingt zu Rate ziehen. Im Folgenden wird erklärt, wie Sie sich den Mail-Header anzeigen lassen können und mit welchen Tricks die Absender von Spam-Mails zu Werke gehen. 

Mail-Header-Analyse: so funktioniert’s

Bevor Sie mit der Studie der Kopfzeile beginnen können, benötigen Sie zunächst einmal den vollständigen Auszug. Da die gängigen E-Mail-Programme die für die Übertragung relevanten Inhalte verbergen, ist es notwendig, diese zunächst aufzudecken. In Microsoft Outlook beispielsweise öffnen Sie dafür die jeweilige Nachricht und anschließend die komplette Adresszeile über „Datei -> Informationen -> Eigenschaften“. In Mozilla Thunderbird aktivieren Sie die Anzeige im Anwendungsmenü über „Ansicht -> Kopfzeilen -> Alle“. Andere Anwendungen wie der GMX Webmailer öffnen die gesamte Adresszeile über einen einzelnen Button innerhalb der aufgerufenen Nachricht. Im Fall von GMX ist es ein kleines „i“ direkt neben Datum und Uhrzeit.

Um nun den Absender zu ermitteln, durchsuchen Sie den gesamten Kopfzeileninhalt nach der IP-Adresse und dem Namen des ersten Servers, der an der Übertragung der Nachricht beteiligt gewesen ist. Gehen Sie dafür einfach die verschiedenen Received-Einträge von oben (der von Ihnen verwendete Mailserver) bis zur Angabe des Ausgangsserver durch. Dieser bildet im Regelfall den untersten Received-Eintrag. Wurden weitere Einträge darunter hinzugefügt, handelt es sich dabei wahrscheinlich um einen Täuschungsversuch. In diesem Fall sollten Sie davon ausgehen, dass Sie den Ausgangsserverbereitsgefunden haben. Anschließend kopieren Sie die IP-Adresse, die im Received-Eintrag angegeben ist, in ein beliebiges IP-Webtool, wie es z. B. die Seite Network-Tools.com bietet. Sie erhalten dadurch Auskunft über den Serverstandort. Das Ergebnis sollte ebenso zum Namen des Servers passen wie die in der Zeile ausgewiesene Zeitzone.

Anstatt sich selbst auf die Suche nach Ungereimtheiten in den Received-Angaben des E-Mail-Headers zu begeben, können Sie auch auf Programme wie das kostenfreie eToolz zurückgreifen. Dort können Sie den vollständigen Header-Auszug unter „Header Analyzer“ in das Feld „Kopfzeilen“ einfügen und die Suche starten. Die Anwendung listet anschließend alle beteiligten Mailserver in chronologischer Reihenfolge auf. Hinter „Gesendet von:“ finden Sie die IP-Adresse des ersten Servers, die Sie wie schon bei der manuellen Suche über Network-Tools.com überprüfen können.

So werden E-Mail-Header manipuliert

In den meisten Fällen haben die Absender von Spam kein Interesse daran, Textmails als Antwort auf ihren Spam zu erhalten. In der Regel gilt daher: Wer Spam versendet, möchte dabei auch anonym bleiben. Das hat zur Folge, dass „From“- und „Return-Path“-Zeilen elektronischer Nachrichten, die Spam enthalten, eher selten der Realität entsprechen. Die eigentlichen Verfasser schmücken sich zu diesem Zweck mit falschen Identitäten. In der jüngeren Vergangenheit erhielten viele E-Mail-Empfänger z. B. angebliche Mails von der DHL, der Post, PayPal oder gar von Bundesbehörden. Abgesehen von der Tatsache, dass in solchen Nachrichten immer das Öffnen eines externen Links verlangt wurde, hatten die verwendeten Fake-Adressen größtenteils nur Ähnlichkeit mit den Original-Adressen und waren durch eine Mail-Header-Analyse schnell als Spam zu enttarnen. Es ist jedoch schwierig, die tatsächlichen Urheber solcher Spam-Mails zu ermitteln. Denn mithilfe fehlkonfigurierter Mailserver oder durch den Versand über vireninfizierte Rechner, die als Zwischenstation beim Versand dienen, umgehen viele Spam-Absender eine eindeutige Identifizierung durch die E-Mail-Header.

Die Received-Einträge sind die einzigen Elemente des Mail-Headers, die nicht gänzlich gefälscht werden können. Das liegt daran, dass Spammer keinen Zugriff auf den letzten Received-Eintrag haben, der normalerweise auch die Ausgangs-IP enthält. Denn dieser wird vom Mailserver des Empfängers selbst erzeugt. Eine Manipulation der Zeilen hilft den Absendern von Spam nur insofern, dass sie damit Verwirrung stiften und falsche Fährten legen können, indem sie den eigenen Server beispielsweise nicht an den Beginn der Kette setzen, sondern als Teil des Weges präsentieren.


Auf dem Laufenden bleiben?

Jetzt für unseren Newsletter anmelden und gratis Online-Marketing Whitepaper für lokale Anbieter sichern!