E-Mail Header Analyse

Analysieren Sie E-Mail-Header direkt im Browser. Visualisieren Sie den Zustellweg, Server-Hops, Laufzeiten und Authentifizierungsergebnisse — ohne Datenübertragung.

Analyse erfolgt vollständig im Browser — keine Daten werden übertragen.

Wie liest man E-Mail-Header richtig?

Was sind E-Mail-Header?

Jede E-Mail enthält neben dem sichtbaren Inhalt einen technischen Kopfbereich — den Header. Dieser wird vom E-Mail-Client standardmäßig ausgeblendet, enthält aber sämtliche Metadaten über den Weg einer Nachricht vom Absender zum Empfänger. Dazu gehören die IP-Adressen aller beteiligten Mailserver, Zeitstempel jeder Weiterleitung, die Ergebnisse von SPF-, DKIM- und DMARC-Prüfungen sowie Informationen über den verwendeten E-Mail-Client und die Verschlüsselung auf dem Transportweg.

Für die IT-Sicherheit sind E-Mail-Header eine unverzichtbare Informationsquelle. Sie ermöglichen es, den tatsächlichen Ursprung einer Nachricht zu verifizieren — unabhängig davon, was der sichtbare Absender behauptet. Bei Phishing-Verdacht oder Spoofing-Angriffen liefern die Header oft den entscheidenden Beweis dafür, dass eine E-Mail nicht vom angegebenen Absender stammt.

Die wichtigsten Header-Felder

Das Received-Feld ist das Herzstück der Header-Analyse. Jeder Mailserver, den eine E-Mail auf ihrem Weg passiert, fügt einen eigenen Received-Eintrag hinzu — der unterste ist der älteste und zeigt den ursprünglichen Absender-Server. Durch die Analyse der Received-Kette lässt sich der tatsächliche Transportweg einer E-Mail rekonstruieren und prüfen, ob er plausibel ist.

Der Return-Path (auch Envelope-From oder MAIL FROM) gibt die Adresse an, an die Fehlermeldungen (Bounces) gesendet werden. Dieser Wert wird für die SPF-Prüfung herangezogen und kann vom sichtbaren From:-Header abweichen — eine Diskrepanz, die bei legitimen Drittanbieter-Mailings normal ist, bei Phishing-Mails aber ein Warnsignal darstellt.

Die Authentication-Results-Header zeigen die Ergebnisse der E-Mail-Authentifizierung auf einen Blick: Ob SPF, DKIM und DMARC bestanden oder fehlgeschlagen haben und warum. Diese Information ist Gold wert bei der Bewertung verdächtiger E-Mails, denn sie zeigt, ob die E-Mail-Authentifizierung der Absenderdomain greift.

Header lesen: Worauf es ankommt

E-Mail-Header sind auf den ersten Blick unübersichtlich — eine Mischung aus kryptischen Feldnamen, IP-Adressen, Zeitstempeln und kodierten Zeichenketten. Unser Tool strukturiert diese Rohdaten und hebt die sicherheitsrelevanten Informationen hervor. Es extrahiert den Transportweg, identifiziert die beteiligten Server, zeigt Authentifizierungsergebnisse übersichtlich an und markiert Auffälligkeiten, die auf eine Manipulation hindeuten könnten.

Besonders aufschlussreich ist der Abgleich zwischen dem sichtbaren Absender (From:-Header) und den technischen Daten. Wenn der From:-Header eine vertrauenswürdige Domain anzeigt, die Received-Kette aber Server in einem anderen Land zeigt und die SPF-Prüfung fehlschlägt, ist das ein starkes Indiz für einen Spoofing-Versuch. Unser Tool macht solche Diskrepanzen sichtbar, ohne dass Sie die Header manuell durcharbeiten müssen.

Anwendungsfälle in der Praxis

In der Incident Response ist die Header-Analyse ein Standardverfahren. Wenn ein Mitarbeitender eine verdächtige E-Mail meldet, liefern die Header die technischen Fakten: Woher kam die Nachricht wirklich? Über welche Server wurde sie geroutet? Haben die Authentifizierungsverfahren gegriffen? Diese Informationen sind entscheidend, um festzustellen, ob es sich um einen gezielten Angriff handelt und welche weiteren Schutzmaßnahmen eingeleitet werden müssen.

Auch bei Zustellproblemen sind Header unverzichtbar. Wenn E-Mails eines Geschäftspartners regelmäßig im Spam-Ordner landen, zeigen die Header häufig die Ursache: ein fehlender DKIM-Selektor, eine zu lockere SPF-Konfiguration oder ein Server, dessen IP auf einer Blacklist steht. Mit dem Blacklist-Check können Sie die verdächtige IP-Adresse direkt weiter prüfen.

Ergänzung zum E-Mail Security Check

Die Header-Analyse und der E-Mail Security Check ergänzen sich: Der E-Mail Security Check prüft die DNS-Konfiguration Ihrer Domain auf Ebene der gesamten Infrastruktur — ob SPF, DKIM und DMARC korrekt eingerichtet sind. Die Header-Analyse hingegen zeigt, wie diese Konfiguration bei einer konkreten E-Mail gewirkt hat. Zusammen liefern beide Tools ein vollständiges Bild: die allgemeine Konfiguration und die Einzelfallbewertung.

Fügen Sie den vollständigen Header einer verdächtigen E-Mail ein und erhalten Sie in Sekunden eine strukturierte Analyse. Unser Tool identifiziert den tatsächlichen Absender, prüft den Transportweg und zeigt die Ergebnisse der E-Mail-Authentifizierung — so erkennen Sie Phishing und Spoofing auf technischer Ebene.

Weiterführende Informationen

E-Mail-Header im IT-LexikonAufbau und Bedeutung der wichtigsten Header-Felder — vom Received-Pfad bis zu Authentifizierungsergebnissen.
E-Mail-Authentifizierung erklärtSPF, DKIM und DMARC im Detail — die Protokolle, deren Ergebnisse im Header sichtbar werden.
Phishing im MittelstandWie E-Mail-Header-Analyse bei der Erkennung von Phishing-Angriffen hilft.

Weitere Tools

E-Mail Security CheckDie Header-Analyse zeigt Authentifizierungsergebnisse einzelner E-Mails — der E-Mail Security Check prüft die DNS-Konfiguration Ihrer gesamten Domain.
Blacklist-CheckWenn die Header-Analyse eine verdächtige Absender-IP zeigt, prüfen Sie deren Blacklist-Status.
WHOIS-AbfrageErmitteln Sie den Inhaber einer IP-Adresse oder Domain, die in verdächtigen E-Mail-Headern auftaucht.

Professionelle Analyse gewünscht?

Unsere Tools geben einen ersten Überblick. Für eine umfassende Bewertung Ihrer IT-Sicherheit bieten wir professionelle Assessments.

Assessment anfragen