E-Mail-Header
Technischer Kopfbereich einer E-Mail mit Metadaten über Absender, Transportweg, Zeitstempel und Authentifizierungsergebnisse — unsichtbar für den Empfänger, aber essenziell für die Sicherheitsanalyse.
E-Mail-Header sind der technische Kopfbereich einer E-Mail, der vom E-Mail-Client standardmäßig ausgeblendet wird. Sie enthalten sämtliche Metadaten über den Weg einer Nachricht vom Absender zum Empfänger: IP-Adressen der beteiligten Mailserver, Zeitstempel jeder Weiterleitung, Ergebnisse der E-Mail-Authentifizierung sowie Informationen über den verwendeten Client und die Verschlüsselung. Für die IT-Sicherheit sind Header eine unverzichtbare Informationsquelle, weil sie den tatsächlichen Ursprung einer Nachricht offenlegen — unabhängig davon, was der sichtbare Absender behauptet.
Aufbau und wichtige Felder
Jede E-Mail durchläuft auf dem Weg vom Absender zum Empfänger einen oder mehrere Mailserver. Jeder dieser Server fügt eigene Header-Felder hinzu, sodass der vollständige Header die gesamte Transporthistorie abbildet.
| Feld | Bedeutung | Sicherheitsrelevanz |
|---|---|---|
Received |
Dokumentiert jeden Mailserver auf dem Transportweg | Rekonstruktion des tatsächlichen Ursprungs |
Return-Path |
Envelope-Absender für Bounce-Nachrichten | Wird für SPF-Prüfung herangezogen |
From |
Sichtbare Absenderadresse | Kann gefälscht sein (Spoofing) |
Authentication-Results |
Ergebnis von SPF, DKIM, DMARC | Zeigt, ob Authentifizierung bestanden hat |
DKIM-Signature |
Kryptografische Signatur der Nachricht | Verifiziert Integrität und Absenderdomain |
X-Mailer / User-Agent |
Verwendeter E-Mail-Client | Kann auf automatisierte Absender hindeuten |
Message-ID |
Eindeutige Kennung der Nachricht | Hilft bei der Nachverfolgung |
Die Received-Kette
Das Received-Feld ist das Herzstück der Header-Analyse. Die Einträge werden in umgekehrter Reihenfolge gelesen: Der unterste Received-Eintrag stammt vom ersten Server und zeigt den ursprünglichen Absender. Jeder weitere Eintrag darüber dokumentiert den nächsten Server im Transportweg. Durch die Analyse dieser Kette lässt sich nachvollziehen, welche Server eine E-Mail tatsächlich passiert hat — und ob dieser Weg plausibel ist.
Bei Phishing-Mails zeigt die Received-Kette häufig Server in Ländern oder bei Providern, die nicht zum angeblichen Absender passen. Ein angeblicher Geschäftspartner aus Deutschland, dessen E-Mail über Server in Osteuropa geroutet wurde, ist ein deutliches Warnsignal.
Authentication-Results verstehen
Die Authentication-Results-Header dokumentieren, ob und wie die eingehende E-Mail die Authentifizierungsprüfungen bestanden hat. Ein typischer Eintrag zeigt die Ergebnisse von SPF, DKIM und DMARC in kompakter Form. Die Werte pass, fail, softfail und none geben Aufschluss darüber, ob die Absenderdomain ihre E-Mail-Authentifizierung korrekt konfiguriert hat und ob die konkrete E-Mail diese Prüfungen bestanden hat.
Für die Sicherheitsbewertung ist besonders der Abgleich zwischen dem sichtbaren From:-Header und den technischen Daten aufschlussreich. Wenn der From:-Header eine vertrauenswürdige Domain zeigt, die DMARC-Prüfung aber fehlschlägt, ist das ein starkes Indiz für einen Spoofing-Versuch.
Header-Fälschung und Vertrauenswürdigkeit
Nicht alle Header-Felder sind gleich vertrauenswürdig. Der From:-Header kann vom Absender beliebig gesetzt werden — er ist die häufigste Fälschung bei Spoofing-Angriffen. Auch Received-Einträge können von einem böswilligen Absender-Server manipuliert werden, allerdings nur für die ersten Hops. Die Received-Einträge, die der eigene Mailserver und vertrauenswürdige Relays hinzufügen, sind zuverlässig. Deshalb beginnt die Analyse der Received-Kette immer oben — bei den eigenen, vertrauenswürdigen Servern — und arbeitet sich nach unten vor.
Die Authentication-Results-Header werden vom empfangenden Mailserver gesetzt und sind daher vertrauenswürdig, solange der eigene Server korrekt konfiguriert ist. Ein Angreifer kann zwar einen gefälschten Authentication-Results-Header in die E-Mail einschleusen, aber ein sorgfältig konfigurierter Empfänger-Server ignoriert externe Authentication-Results und setzt nur seine eigenen.
Einsatz in der Incident Response
In der Praxis ist die Header-Analyse ein Standardverfahren bei der Untersuchung verdächtiger E-Mails. Wenn ein Mitarbeitender eine potenziell schädliche Nachricht meldet, liefern die Header die technischen Fakten: den tatsächlichen Ursprung, den Transportweg und die Authentifizierungsergebnisse. Diese Informationen helfen einzuschätzen, ob es sich um einen gezielten Angriff handelt, welche Infrastruktur der Angreifer nutzt und welche weiteren Schutzmaßnahmen erforderlich sind.
Auch bei Zustellproblemen sind Header unverzichtbar. Wenn E-Mails regelmäßig im Spam-Ordner landen, zeigen die Header häufig die Ursache — ein fehlender DKIM-Selektor, ein SPF-Fehlschlag durch einen nicht autorisierten Absender-Server oder eine IP-Adresse, die auf einer Blacklist steht. Mit dem Blacklist-Check kann eine verdächtige IP direkt weiter geprüft werden.
Praxistipp
E-Mail-Header manuell zu lesen erfordert Übung und Kenntnis der Feldformate. Die E-Mail Header Analyse strukturiert die Rohdaten automatisch, hebt sicherheitsrelevante Informationen hervor und markiert Auffälligkeiten. Fügen Sie den vollständigen Header einer verdächtigen E-Mail ein und erhalten Sie in Sekunden eine übersichtliche Analyse — vom Transportweg über die Authentifizierung bis zu möglichen Warnsignalen. Ergänzend prüft der E-Mail Security Check die DNS-Konfiguration der Absenderdomain auf SPF, DKIM und DMARC.