Über den Mail-Header können sie Informationen zu erhaltenen E-Mails bekommen, sie Sie sonst nicht sehen. Sie können ihn aber nicht einfach so lesen. Hier erfahren Sie Wissenswertes zum Mail-Header.
Der Header informiert
Über die Kopfzeile, dem Header einer E-Mail finden Sie Dinge über die empfangene Mail raus, die sonst verborgen bleiben.
Es ist Ihnen möglich, darüber sogar herauszufinden, ob Sie eine Phishing-Mail erhalten haben.Folgende Informationen erfahren Sie aus dem Header:
- Absender-E-Mail-Adresse
- Absender-IP-Adresse
- E-Mail-Empfänger
- Versanddatum
- E-Mail-Betreff
Den Header lesen
Lassen Sie sich den E-Mail-Header anzeigen, was ganz einfach ist.
In der Regel können Sie diese auf Ihrem Desktop-PC über „Ansicht“ oder „Optionen“ machen. Gelegentlich ist der Header aber auch als Quelltext angegeben. Im Grunde hängt es von Ihrem E-Mail-Programm ab, wie Sie den Header aufrufen können.
Auf dem Smartphone
Leider können Sie den Header nicht immer auf dem Smartphone lesen.
Am Ende hängt es von Ihrem Betriebssystem und dem E-Mail-Programm ab, ob und wie Sie den Header abrufen können. Versuchen Sie, den über den Webbrowser in Ihre E-Mails zu gehen und dort die Desktop-Seite aufzurufen. Es gibt auch Anbieter, die ihren Nutzern spezielle Apps anbieten. Über diese können Sie dann den Header aufrufen. Sofern dies auf Ihrem Smartphone aber nicht funktioniert, öffnen Sie Ihre E-Mails lieber auf dem PC.
Absender E-Mail-Adresse
Sie finden unter „Return-Path“ die E-Mail-Adresse des Absenders.
Sofern Sie dort nur eine kryptische E-Mail-Adresse vorfinden, könnte das ein Zeichen für eine Phishing-Mail sein. Leider ist die Adresse aber manipulierbar, somit muss sie nicht unbedingt stimmen. Die Mailserver kontrollieren diese nicht auf Richtigkeit. Somit könnte hier auch eine Adresse stehen, die Ihnen seriös vorkommt und dennoch ist es eine Phishing-Mail.
Empfänger
Unter „Delivered-To“ aber auch „Envelope-To“ können Sie die E-Mail-Adresse sowie den Mailserver des Empfängers finden.
Diese Daten stehen zusätzlich im ersten „Received“-Eintrag.
Beim Lesen der „Received“ Einträge müssen Sie von unten nach oben lesen. Somit ist der unterste Eintrag auch der Name, den der Empfänger-Mailserver in den Header einträgt. Ein Mailserver meldet sich mit HELO, als Beispiel: „helo=192.168.0.1“.
Absender IP-Adresse
Suchen Sie nach der IP-Adresse, so müssen Sie weiter heruntergehen.
Innerhalb der nächsten „Received from“-Angaben finden Sie diese und es handelt sich um eine echte physikalische Adresse. Suchen Sie nach dem Received-Eintrag, der dokumentiert, dass die Mail vom Absende-Server an den Empfänger-Server übergeben wurde. Dort müsste dann stehen „Received from (Absender-Server) by (Empfänger-Server)“.
Den Absende-Server erkennen Sie an der IP-Adresse und diese lässt sich nicht fälschen. Sie steht in einer eckigen Klammer und besteht aus mehreren Nummern. Vor der Nummer steht der Mail-Server-Name, doch dieser muss nicht richtig sein.
Allerdings können Sie auch hier überprüfen, ob IP-Adresse und Server-Name zusammengehören. Finden Sie einfach über die IP-Adresse raus, wer Ihnen die E-Mail tatsächlich geschickt hat.
Das geht wie folgt:
- Sofern Sie einen Windows-Rechner haben, gehen Sie auf die Kommandozeile, indem Sie Start-> ausführen. Dort tragen Sie „cmd“ ein und bestätigen mit OK.
- Nun erscheint ein Kommandofenster. Hier schreiben Sie „nslookup“, ein Leerzeichen und anschließend die IP-Adresse hinein. Sie können auch webbasierte Tools nutzen, welche Sie über Suchmaschinen finden. Auf jeden Fall wird Ihnen die Abfrage sagen, ob der Mailserver zum Mailheader gehört. Dies sieht dann wie folgt aus: Server: srv-d.vz-nrw.d.e, Adresse: 192.168.0.1, Name: lws01.netbenefit.co.u.k, Adresse: 192.168.0.2
- Sie sehen nun den Server und seine IP-Adresse, von dem die Anfrage gestartet wurde. Darunter finden Sie den Namen und die IP-Adresse des Servers, über den Sie Informationen möchten. Gerne können Sie am Ende auch noch eine Gegenprobe machen. Hierfür geben Sie „nslookup“ ein und den Namen des angefragten Servers. Am Ende müsste Ihnen die Anfrage die dazugehörige IP-Adresse zeigen.
Nicht jeder Betrüger macht sich die Arbeit und verschickt Phishing-Mails mit gefälschten Adressen oder Mail-Servernamen. Sie können sich aber auf diese Weise absichern, ob die Mail echt ist.
Lesen Sie hierzu auch den Beitrag, woran Sie Phishing-Mails erkennen können und schauen Sie gelegentlich in die Phishing-Warnungen.
Fragen & Antworten
FAQs zum Thema So lesen Sie den Mail-Header – Phishing erkennen
1. Lässt sich der Mail-Header nicht fälschen?
Betrüger können vieles fälschen, doch die IP-Adresse lässt sich nicht ändern. Sie gehört immer zu dem Server, von dem die E-Mail verschickt wurde.
2. Sollte ich den Mail-Header immer lesen?
Natürlich können Sie sich die Mühe machen. Im Grunde ist es aber ausreichend, wenn Sie ihn nur bei den Mail lesen, bei denen Sie unsicher sind.
3. Was soll ich machen, wenn es sich scheinbar um eine Phishing-Mail handelt?
Finden Sie Unstimmigkeiten beim Mail-Header so löschen Sie die Mail umgehend und öffnen Sie keine Links oder Anhänge.
4. Sollte ich E-Mails lieber mit dem PC lesen?
Sofern es sich um E-Mails handelt, bei denen Sie wissen, von wem sie kommen, ist es egal. Bei Werbemails oder aber solchen, deren Absender Sie nicht kennen, nutzen Sie lieber den PC und machen Sie vorab eine Mail-Header-Abfrage.
5. Ich habe nur ein Smartphone und keinen PC, was tun?
Manche E-Mail-Anbieter bieten eine zusätzliche App, mit der Sie den Mail-Header abfragen können. Sofern dies bei Ihnen nicht möglich ist, suchen Sie nach einer Alternative oder löschen Sie solche Mails vorsichtshalber.
Fazit
Die Abfrage des Mail-Headers gibt Ihnen die Sicherheit, dass Sie keiner Betrüger-Mail auf den Leim gehen. Jedoch bedeutet es für Sie einen kleinen Aufwand, diesen Header abzufragen. Machen Sie es zumindest bei den Mails, bei denen Sie nicht genau wissen, von wem sie kommen.