Im E-Mail-Header sehen Sie stan­dard­mä­ßig nur ein paar Pflicht­in­for­ma­tio­nen wie die Ab­sen­der­adres­se, den Betreff oder das Ver­sand­da­tum. Ei­gent­lich enthält er aber noch weitere In­for­ma­tio­nen zur ab­sen­den­den Person und zu den Über­tra­gungs­we­gen der Nachricht, die bei­spiels­wei­se bei der Analyse von Spam, Phishing-Versuchen oder Zu­stell­pro­ble­men wichtige Hinweise liefern.

KI-Assistent kostenlos – Ihr smarter All­tags­hel­fer
  • DSGVO-konform & sicher gehostet in Deutsch­land
  • Pro­duk­ti­vi­tät steigern – weniger Aufwand, mehr Output
  • Direkt im Browser starten – ohne In­stal­la­ti­on

Wie ist ein E-Mail-Header aufgebaut?

Die Kopfzeile einer E-Mail, der so­ge­nann­te E-Mail-Header, enthält ver­schie­de­ne tech­ni­sche In­for­ma­tio­nen und zeigt unter anderem auch den Über­tra­gungs­weg der Nachricht. Jede Zeile eines E-Mail-Headers beginnt mit einem Schlüs­sel­wort (dem Feldnamen), gefolgt von einem Dop­pel­punkt und dem Inhalt. Die Rei­hen­fol­ge der Einträge folgt dabei einem klaren tech­ni­schen Prinzip: Neu hin­zu­ge­füg­te In­for­ma­tio­nen stehen oben, während ältere – also frühere Über­tra­gungs­sta­tio­nen – weiter unten im Header er­schei­nen.

Die E-Mail-Header-Pflicht­an­ga­ben in der Übersicht

  • From: Die Angabe der ab­sen­den­den Person in Form der E-Mail-Adresse. Es gibt auch Clients, die mehrere Ab­sen­de­rin­nen und Absender zulassen. Stimmen tech­ni­sche Sen­der­adres­se und Ver­fas­ser­adres­se nicht überein, wird dies in der zu­sätz­li­chen Zeile „Sender“ vermerkt. Die an­ge­zeig­te Adresse muss nicht zwingend mit der tat­säch­lich ver­sen­den­den Server-Domain über­ein­stim­men. Beispiel: From: Absender <absender-adresse@mail.de>
  • To: In dieser Mail-Header-Zeile sind der oder die Empfänger, durch Kommata getrennt, angegeben. Die Angabe muss nicht der Envelope-To-Angabe ent­spre­chen, die dem Über­tra­gungs­pro­to­koll über­mit­telt wird. Dadurch kann es dazu kommen, dass Ihre Mail­adres­se in dieser Zeile gar nicht auftaucht. Beispiel: To: Adressat <adressat-adresse@mail.de>, Adressat 2 <adressat2-adresse@mail.de>
  • Cc: Die optionale Cc-Angabe enthält die Adresse(n) eines oder mehrerer Emp­fän­ge­rin­nen und Empfänger, die eine Kopie der E-Mail erhalten sollen. Beispiel: Cc: <cc-adresse@mail.de>, Kopie-Empfänger 2 <cc2-adresse@mail.de>
  • Subject: Das Subject bzw. der Betreff gibt eine Kurz­in­for­ma­ti­on darüber, welche Art von Inhalt in der Mail zu erwarten ist. Beispiel: Subject: Re: Ihre Terminanfrage für kommendes Jahr

Ver­steck­te Mail-Header-Angaben

  • Return-Path: Diese Zeile enthält die Rück­sen­de­adres­se einer E-Mail. Sie wird vom emp­fan­gen­den Mail­ser­ver gesetzt und legt fest, wohin Un­zu­stell­bar­keits­mel­dun­gen (Bounce-Nach­rich­ten) gesendet werden. Die Adresse ent­spricht in der Regel der Ab­sen­der­adres­se, die beim Versand über das E-Mail-Über­tra­gungs­pro­to­koll über­mit­telt wurde, und spielt daher eine wichtige Rolle für die Zu­stell­bar­keits­prü­fung. Beispiel: Return-Path: <return-adresse@mail.de>
  • Received: Während der Über­tra­gung ergänzen die be­tei­lig­ten Mail­ser­ver zu­sätz­lich so­ge­nann­te Received-Zeilen im Header. Jeder Server fügt dabei einen eigenen Eintrag am Anfang der Liste hinzu. Dadurch steht der zuletzt be­tei­lig­te Server – meist der Mail­ser­ver Ihres Providers – im obersten Received-Eintrag. Dieser markiert die erste ver­läss­li­che Station im Über­tra­gungs­weg der Nachricht. Beispiel: Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])
  • Message-ID: Diese ein­deu­ti­ge Kennung erhält jede E-Mail, zumeist von den Mail­ser­vern oder bereits vom Mail-Programm des Absenders. Die ID besteht aus einem Zei­chen­code vor und einem Do­main­na­men hinter dem mittig plat­zier­ten Son­der­zei­chen „@“. Sie er­mög­licht eine ein­deu­ti­ge tech­ni­sche Iden­ti­fi­ka­ti­on einer Nachricht und ist ins­be­son­de­re bei der Feh­ler­ana­ly­se oder beim Threading von Kon­ver­sa­tio­nen relevant. Beispiel: Message-ID: <434571BC.8070702@mail.de>
  • Content-Type: In dieser Zeile des Mail-Headers stehen In­for­ma­tio­nen über die Art und den Zei­chen­satz des Nach­rich­ten­tex­tes. Die einzelnen Parameter werden durch Semikola getrennt. Neben text/plain oder text/html können hier auch Angaben zu Anhängen (multipart/mixed) oder al­ter­na­ti­ven Dar­stel­lungs­for­men (multipart/alternative) enthalten sein. Beispiel: Content-Type: text/plain; charset=UTF-8
  • Authentication-Results: In modernen E-Mail-Systemen findet sich häufig zu­sätz­lich eine Zeile mit dem Namen Authentication-Results. Sie do­ku­men­tiert die Er­geb­nis­se von Si­cher­heits­prü­fun­gen wie SPF, DKIM und DMARC und gibt an, ob eine E-Mail technisch au­to­ri­siert im Namen der an­ge­ge­be­nen Absender-Domain versendet wurde. Beispiel: Authentication-Results: spf=pass; dkim=pass; dmarc=pass
  • ARC (Authenticated Received Chain): Bei wei­ter­ge­lei­te­ten E-Mails können zu­sätz­lich ARC-Header wie ARC-Authentication-Results, ARC-Seal oder ARC-Message-Signature er­schei­nen. Sie kommen vor allem dann zum Einsatz, wenn eine Nachricht über Zwi­schen­sta­tio­nen wie Mai­ling­lis­ten oder au­to­ma­ti­sche Wei­ter­lei­tun­gen wei­ter­ge­lei­tet wird.
  • BIMI (Brand Indicators for Message Identification): Bei manchen E-Mails finden sich Hinweise auf BIMI. Dieses Verfahren er­mög­licht es Un­ter­neh­men, ihr ve­ri­fi­zier­tes Mar­ken­lo­go im Post­ein­gang anzeigen zu lassen, etwa neben der Ab­sen­der­adres­se. Damit Mail-Anbieter das Logo anzeigen, muss die Absender-Domain bestimmte Si­cher­heits­an­for­de­run­gen erfüllen, ins­be­son­de­re eine korrekt kon­fi­gu­rier­te DMARC-Richt­li­nie. In einigen Fällen er­schei­nen ent­spre­chen­de In­for­ma­tio­nen auch im Header, etwa im Zu­sam­men­hang mit Au­then­ti­fi­zie­rungs­prü­fun­gen.

Welchen Nutzen hat der E-Mail-Header?

Mithilfe einer ein­ge­hen­den Analyse der zumeist ver­steck­ten In­for­ma­tio­nen des E-Mail-Headers können Sie den Über­tra­gungs­weg Ihrer Mails zu­rück­ver­fol­gen und über­prü­fen, ob der an­ge­ge­be­ne auch der tat­säch­li­che Absender bzw. die tat­säch­li­che Ab­sen­de­rin der je­wei­li­gen Nachricht ist. Wenn Sie eine E-Mail erhalten haben, deren Au­then­ti­zi­tät Sie an­zwei­feln, sollten Sie die Kopfzeile also unbedingt zu Rate ziehen.

Neben der reinen Rück­ver­fol­gung des Ver­sand­wegs spielen heute vor allem Au­then­ti­fi­zie­rungs­prü­fun­gen eine ent­schei­den­de Rolle. Über die erwähnten Authentication-Results-Einträge lässt sich erkennen, ob Si­cher­heits­me­cha­nis­men wie SPF, DKIM oder DMARC er­folg­reich waren oder fehl­ge­schla­gen sind. Ein fail-Eintrag kann ein Hinweis auf Spoofing oder Phishing sein.

Hinweis

Auch für Un­ter­neh­men ist die Header-Analyse relevant: Bei Zu­stell­pro­ble­men, Spam-Ein­stu­fun­gen oder hohen Bounce-Raten liefert der voll­stän­di­ge Header wichtige Hinweise auf Kon­fi­gu­ra­ti­ons­feh­ler der Absender-Domain.

Mail-Header-Analyse: So funk­tio­niert’s

Eine aus­führ­li­che E-Mail-Header-Analyse gibt Ihnen die Mög­lich­keit, wichtige tech­ni­sche In­for­ma­tio­nen gezielt aus­zu­le­sen und die Herkunft sowie den Zu­stel­lungs­ver­lauf einer Nachricht besser nach­zu­voll­zie­hen. In den nach­fol­gen­den Ab­schnit­ten erfahren Sie, welche einzelnen Schritte hierfür er­for­der­lich sind.

Schritt 1: E-Mail-Header ein­blen­den

Bevor Sie mit dem Studium der Kopfzeile beginnen können, benötigen Sie zunächst einmal den voll­stän­di­gen Auszug. Da die gängigen E-Mail-Programme die für die Über­tra­gung re­le­van­ten Inhalte verbergen, ist es notwendig, diese zunächst sichtbar zu machen.

In Microsoft Outlook gehen Sie hierfür bei­spiels­wei­se fol­gen­der­ma­ßen vor:

  1. Öffnen Sie die jeweilige Nachricht.
  2. Blenden Sie die komplette Adress­zei­le über „Datei“ → „Ei­gen­schaf­ten“ → „In­ter­net­kopf­zei­len“ ein.
  3. In der Web­ver­si­on von Outlook finden Sie die voll­stän­di­gen Header-In­for­ma­tio­nen über das Drei-Punkte-Menü und die Option „Nach­rich­ten­quel­le anzeigen“.

In Mozilla Thun­der­bird ak­ti­vie­ren Sie die Anzeige wie folgt:

  1. Rufen Sie das Menü „Ansicht“ auf.
  2. Klicken Sie nach­ein­an­der auf „Kopf­zei­len“ und „Alle“. Al­ter­na­tiv können Sie per Rechts­klick auf die Nachricht die „Nach­rich­ten­quel­le“ anzeigen lassen.
Hinweis

Andere An­wen­dun­gen wie der GMX Webmailer öffnen die gesamte Adress­zei­le über einen einzelnen Button innerhalb der auf­ge­ru­fe­nen Nachricht. Je nach Ober­flä­che heißt die Funktion hier „Nach­rich­ten­quel­le anzeigen“ oder „Header anzeigen“.

Schritt 2: Ab­sen­der­adres­se ermitteln

Um nun den Absender bzw. die Ab­sen­de­rin zu ermitteln, durch­su­chen Sie den gesamten Kopf­zei­len­in­halt nach der IP-Adresse und dem Namen des ersten Servers, der an der Über­tra­gung der Nachricht beteiligt gewesen ist. Um den Ver­sand­weg nach­zu­voll­zie­hen, gehen Sie die Received-Einträge von oben nach unten durch:

  • Der oberste Eintrag wurde zuletzt hin­zu­ge­fügt und stammt in der Regel von Ihrem emp­fan­gen­den Mail­ser­ver oder Provider. Dieser Eintrag markiert die erste tech­ni­sche Ver­trau­ens­gren­ze („Trust Boundary“).
  • Die dar­un­ter­lie­gen­den Received-Zeilen zeigen die vor­he­ri­gen Trans­port­sta­tio­nen. Dabei ist zu beachten, dass nur Einträge ab der ersten ver­trau­ens­wür­di­gen In­fra­struk­tur als belastbar gelten. Angaben darunter können theo­re­tisch ma­ni­pu­liert worden sein.
  • Der oberste Received-Eintrag enthält die IP-Adresse des Systems, das die Nachricht direkt bei Ihrem Mail­ser­ver ein­ge­lie­fert hat. Dabei handelt es sich häufig um ein Relay, ein Gateway oder einen E-Mail-Service-Provider – nicht zwingend um den ur­sprüng­li­chen End-Client des Absenders.

Kopieren Sie die IP-Adresse, die im Received-Eintrag angegeben ist, in ein ent­spre­chen­des IP-Analyse-Tool. Für eine struk­tu­rier­te Aus­wer­tung des gesamten Headers empfehlen sich heute spe­zia­li­sier­te, brow­ser­ba­sier­te Dienste wie Google Admin Toolbox – Nach­rich­ten­hea­der oder der MXToolbox Email Header Analyzer.

Diese Tools bereiten die Trans­port­ket­te au­to­ma­tisch auf und zeigen zu­sätz­lich die Er­geb­nis­se von SPF-, DKIM- und DMARC-Prüfungen über­sicht­lich an. Sie erhalten dadurch Auskunft über das ein­lie­fern­de System und dessen Standort. Das Ergebnis sollte ebenso zum Namen des Servers passen wie die in der Zeile aus­ge­wie­se­ne Zeitzone.

E-Mail-Marketing-Tool
Jetzt News­let­ter versenden und Umsatz ge­ne­rie­ren
  • Schnelle, KI-gestützte Be­ar­bei­tung & zahl­rei­che Vorlagen
  • Un­kom­pli­zier­ter, DSGVO-konformer News­let­ter-Versand
  • Ef­fi­zi­en­te, nahtlose Anbindung an Ihren On­line­shop

Wie erkennt man ma­ni­pu­lier­te E-Mail-Header?

In den meisten Fällen haben die Absender und Ab­sen­de­rin­nen von Spam kein Interesse daran, Textmails als Antwort auf ihren Spam zu erhalten. In der Regel gilt daher: Wer Spam versendet, möchte dabei auch anonym bleiben. Das hat zur Folge, dass From- und Return-Path-Zeilen elek­tro­ni­scher Nach­rich­ten, die Spam enthalten, eher selten der Realität ent­spre­chen. Die ei­gent­li­chen Verfasser und Ver­fas­se­rin­nen schmücken sich zu diesem Zweck mit falschen Iden­ti­tä­ten.

Bekannte Beispiele

In der jüngeren Ver­gan­gen­heit erhielten viele E-Mail-Empfänger z. B. an­geb­li­che Mails von der DHL, der Deutschen Post, PayPal oder gar von Bun­des­be­hör­den. Abgesehen von der Tatsache, dass in solchen Nach­rich­ten immer das Öffnen eines externen Links verlangt wurde, hatten die ver­wen­de­ten Fake-Adressen größ­ten­teils nur Ähn­lich­keit mit den Original-Adressen und waren durch eine Mail-Header-Analyse schnell als Spam zu enttarnen.

Received-Eintrag als Kon­troll­in­stanz

Es ist schwierig, die tat­säch­li­chen Ur­he­be­rin­nen und Urheber von Spam-Mails zu ermitteln. Denn mithilfe fehl­kon­fi­gu­rier­ter Mail­ser­ver oder durch den Versand über vi­ren­in­fi­zier­te Rechner, die als Zwi­schen­sta­ti­on beim Versand dienen, umgehen viele eine ein­deu­ti­ge Iden­ti­fi­zie­rung durch die E-Mail-Header.

Die Received-Einträge sind die einzigen Elemente des Mail-Headers, die von ab­sen­den­den Personen nicht voll­stän­dig kon­trol­liert oder nach­träg­lich verändert werden können. Das liegt daran, dass Spam­me­rin­nen und Spammer keinen Zugriff auf den letzten Received-Eintrag haben, der nor­ma­ler­wei­se auch die Ausgangs-IP enthält.

Al­ler­dings können frühere Received-Zeilen technisch ma­ni­pu­liert oder ergänzt werden, um falsche Spuren zu legen. Daher sollten diese Einträge stets im Zu­sam­men­hang mit Au­then­ti­fi­zie­rungs-Er­geb­nis­sen wie SPF-, DKIM- oder DMARC-Prüfungen bewertet werden.

Zum Hauptmenü