Menü
Herzlich willkommen im neuen Internetauftritt der Verbraucherzentrale! Wir haben viel getan - hier stellen wir die Neuerungen vor.

So lesen Sie den Mail-Header

Stand:

Der Mail-Header ist nicht intuitiv zu lesen, deswegen zeigen wir Ihnen hier, worauf Sie achten müssen.

Off

Sie sollten sich zunächst den Mailheader vollständig anzeigen lassen. In Ihrem Mail-Programm ist das vermutlich über "Ansicht" oder "Optionen" möglich. Manchmal wird der Mailheader auch als Quelltext bezeichnet.

Was Sie dann sehen, sieht wahrscheinlich in etwa wie folgt aus:

Screenshot eines E-Mail-Headers

Wir wollen nicht zu tief ins Detail gehen. Was für Sie wichtig ist, haben wir farbig hinterlegt.

E-Mailadresse des Absenders

Unter der Angabe "Return-Path" finden Sie den Absender der E-Mail, bzw. dessen E-Mailadresse. Steht hier eine kryptische E-Mailadresse, ist das schon ein Hinweis auf eine Phishing-Mail. Diese Adresse muss aber nicht stimmen, sie ist leicht manipulierbar, da sie vom Mailserver nicht auf Richtigkeit überprüft wird. Deswegen kann hier auch eine seriös aussehende Adresse stehen, und es kann sich trotzdem um Phishing handeln.

Empfänger

Die E-Mailadresse und den Mailserver des Empfängers finden Sie unter "Delivered-To" oder auch "Envelope-To" und unter dem ersten "Received"-Eintrag. Die Received-Einträge sind von unten nach oben zu lesen, deswegen ist der letzte Eintrag mit dem Namen "Received" derjenige, den der Mailserver des Empfängers beim Erhalt der Mail in den Header einträgt. Der Mailserver meldet sich mit HELO. In unserem Fall ist das der Eintrag "helo=astaro.vz-nrw.de".

IP-Adresse des Absenders (der tatsächliche Absender!)

Die IP-Adresse, also die tatsächliche physikalische Adresse des Absenders, finden Sie weiter unten, innerhalb einer der nächsten "Received from"-Angaben. Das ist der Received-Eintrag, der die Übergabe der E-Mail vom Absender-Server an den Empfänger-Server dokumentiert. Es steht dort "Received from (hier steht der Absender-Server) by (hier steht der Empfänger-Server)".

Der Absender-Server ist eindeutig kenntlich gemacht durch die so genannte IP-Adresse. Diese ist nicht fälschbar, steht in einer eckigen Klammer und lautet in diesem Fall 62.128.158.4. Davor steht der Name des Mailservers. Der muss aber nicht unbedingt stimmen. Sie können sich allerdings die Mühe machen und überprüfen, ob die IP-Adresse und der Name des Servers übereinstimmen. Damit finden Sie über die IP-Adresse auch heraus, woher die E-Mail wirklich kommt.

Dabei gehen Sie so vor:

Rufen Sie (falls Sie einen Windows-Rechner besitzen) die Kommandozeile über Start → Ausführen auf. Tragen Sie "cmd" ein und klicken auf OK. Es öffnet sich ein Kommandofenster. Dort tippen Sie ein "nslookup", dann ein Leerzeichen und dann die IP-Adresse, die als Absenderadresse angegeben ist. Es gibt auch webbasierte Tools, die eine nslookup-Abfrage machen, sie finden solche Dienste über Suchmaschinen. Die Abfrage spuckt Ihnen aus, ob es sich um den Mailserver handelt, der auch im Mailheader angegeben ist. Die Ausgabe sieht ungefähr so aus:

Server: srv-d.vz-nrw.de

Address: 172.16.3.9

Name: lws01.netbenefit.co.uk

Address: 62.128.158.4

Es wird der Server und dessen IP-Adresse angezeigt, von dem aus sie die Anfrage starten. Name und die IP-Adresse des angefragten Servers sehen Sie darunter.. Sie können auch die Gegenprobe machen und anschließend "nslookup" mit dem Namen (hier: lws01.netbenefit.co.uk) eingeben. Es müsste dann wiederum die zugehörige IP-Adresse angezeigt werden.

Nicht jede Phishing-Mail ist so raffiniert gemacht, dass sie mit gefälschten Absenderadressen oder Mailservernamen arbeitet. Wenn Sie aber Zweifel an der Echtheit der E-Mail haben, können Sie darüber letzte Zweifel ausräumen – oder sich bestätigen lassen.