Ratgeber E-Mail-Sicherheit

Wie Sie gefälschte und verseuchte E-Mails erkennen

23.09.2021
Von Gaby Salvisberg

Woher kommt die Mail - das verrät der Mail-Header

Leider lautet die Antwort nicht: "Der Absender steht doch da." Sehr oft ist das, was im "Von"-Feld einer Mail steht, gefälscht. Welche Person die Nachricht wirklich verschickt hat, lässt sich fast nie feststellen – sieht man von digital signierten Mails ab. Sie können aber den Provider ausfindig machen, über den die Mail verschickt wurde. Wichtige Infos über die Herkunft einer Nachricht (z.B. die IP-Adresse) stecken in den Internetkopfzeilen, im Fachjargon auch E-Mail-Header genannt.

Das Office-Programm Outlook versteckt den Header in diesem Fenster
Das Office-Programm Outlook versteckt den Header in diesem Fenster

So finden Sie den Header

Ist die Mail in Outlook geöffnet, gehen Sie zu ANSICHT/OPTIONEN. Die Internetkopfzeilen finden Sie im unteren Teil des Fensters. Benutzer von Outlook Express klicken die Mail in der Liste an und drücken Ctrl+F3. In Mozilla Thunderbird verwenden Sie stattdessen Ctrl+U. In Outlook Express und Thunderbird enthält das Fenster den gesamten Quelltext der Nachricht, in Outlook nur den Mail-Header. Um diesen allenfalls weiterzuverarbeiten (z.B. zwecks Weiterleitung an Ihren Computersupport), können Sie ihn in jedem der genannten Programme mit Ctrl+A markieren, mit Ctrl+C kopieren und mit Ctrl+V in ein beliebiges Dokument einfügen.

Für die Herkunft der Mail relevant sind die mit "Received:" beginnenden Zeilen. Leider wird auch da manchmal geflunkert, indem z.B. unterhalb von einer bis drei echten Zeilen noch ein paar gefälschte drinstehen. Die oberste ist die neuste bzw. zuletzt hinzugekommene. Sie stammt von Ihrem eigenen Mailanbieter und ist nicht gefälscht. Finden Sie heraus, wem eine IP gehört und ob sie überhaupt zur davorstehenden Domain passt.

Der Header eines Porno-Spams, der beim PCtipp gelandet ist und Fachbegriffe erklärt
Der Header eines Porno-Spams, der beim PCtipp gelandet ist und Fachbegriffe erklärt

Dazu folgendes BeispielEine Whois-Abfrage der IP und Domain hat ergeben, dass es sich bei der obersten Zeile um eine interne Weiterleitung handelt A. Der Grund: „ssp-online.ch“ gehört unserem Maildienstleister. Darum erstaunt es nicht, dass 172.31.6.68 zu einem nur intern genutzten IP-Bereich gehört.

Unser Dienstleister hat die Mail von 84.246.240.14 erhalten B. Dieser Information kann man durchaus trauen. Die Received-Kette hört hier auf und ist bis hierhin schlüssig. Darum dürfte es sich bei 84.246.240.14 um jene Maschine handeln, die den Spam verschickte. Ob sie per Botnetz dazu missbraucht wurde oder ob ihr Inhaber absichtlich spammte, sei dahingestellt.

Zur Startseite