+49 (0) 7245 919 560 info@webwide.de
Login
Artikel & Neuigkeiten E-Mail
20.04.2026

Der E-Mail-Header: Ein Blick hinter die Kulissen Ihrer Nachrichten

Cyber-Sicherheit E-Mail Metadaten E-Mail-Header E-Mail-Header auslesen E-Mail-Sicherheit IT-Sicherheit Phishing-Prävention
Inhaltsverzeichnis
Die Anatomie des E-Mail-Headers: So ist er aufgebaut Warum die Header-Analyse Ihr bester Schutz gegen Betrug ist E-Mail-Spoofing: Wie Angreifer Header-Daten manipulieren Der 30-Sekunden-Sicherheits-Check: So entlarven Sie jede Fake-Mail Fazit FAQ - Häufig gestellte Fragen

Technisch betrachtet ist jede elektronische Nachricht in zwei fundamentale Bereiche unterteilt: den Body und den Header. Getrennt durch eine einfache Leerzeile, erfüllen beide völlig unterschiedliche Aufgaben. Während der Body (der Nachrichtentext) die Informationen enthält, die Sie aktiv konsumieren möchten, fungiert der Header als das technische Rückgrat der Kommunikation.

In der Standardansicht Ihres Mail-Clients (wie Outlook, Thunderbird oder Gmail) bekommen Sie meist nur die Spitze des Eisbergs zu sehen. Dazu gehören die klassischen Pflichtfelder:

  • Absenderadresse
  • Betreffzeile
  • Sendedatum

Doch der Header – oft auch als „Kopfzeile“ oder "Nachrichtenkopf" bezeichnet – beherbergt weitaus mehr Informationen, als auf den ersten Blick erkennbar ist. Er dokumentiert den exakten Weg der Zustellung, liefert Daten zur Identität des Servers und enthält wichtige Sicherheitszertifikate.

Die meisten Mail-Anwendungen blenden diese detaillierten Metadaten aus Gründen der Übersichtlichkeit aus. Dennoch lassen sie sich bei Bedarf mit wenigen Klicks vollständig anzeigen. Dies ist besonders im Kontext der IT-Sicherheit essenziell: Wenn Ihnen eine E-Mail verdächtig vorkommt oder der Verdacht auf Phishing besteht, liefert der vollständige Header den entscheidenden Beweis über die tatsächliche Herkunft der Nachricht.

Tipp: Das Auslesen des E-Mail-Headers ist die effektivste Methode, um E-Mail-Spoofing zu entlarven und sicherzustellen, dass der Absender auch wirklich derjenige ist, für den er sich ausgibt.


Die Anatomie des E-Mail-Headers: So ist er aufgebaut

Technisch betrachtet lässt sich der Header in zwei logische Schichten unterteilen, die während des Versandprozesses entstehen:

  • Message-Header (Die Absender-Ebene): Diese Daten werden direkt von Ihrem Mail-Programm (Client) generiert, sobald Sie auf „Senden“ klicken. Sie enthalten die primären Informationen für den Empfänger.
  • Envelope-Header (Die Transport-Ebene): Während die Mail durch das Netz wandert, fügen die beteiligten Mail-Server eigene Informationen hinzu – quasi wie Stempel auf einem Briefumschlag. Diese „Received“-Zeilen sind das digitale Protokoll der Reise und essenziell, um den Ursprung einer Nachricht zweifelsfrei zu verifizieren.

Der syntaktische Aufbau: Jede Zeile folgt einem strikten Schema: Einem eindeutigen Schlüsselwort, gefolgt von einem Doppelpunkt und dem entsprechenden Wert.

Die Standard-Angaben: Das sehen wir (meistens)

Diese Felder sind das Gesicht Ihrer Nachricht. Sie dienen der direkten Orientierung im Posteingang:

  • From (Absender): Hier steht, wer die Mail verfasst hat. Wichtig: Falls ein System im Auftrag eines Nutzers sendet, erscheint oft zusätzlich das Feld „Sender“, um den technischen Urheber vom inhaltlichen Autor abzugrenzen.
    Beispiel: From: Webwide Support <hostmaster@webwide.de>
  • To (Empfänger): Die primären Adressaten. Interessanterweise muss Ihre Adresse hier nicht zwingend auftauchen (etwa bei Mailinglisten) – maßgeblich für die Zustellung ist das Protokoll im Hintergrund, nicht diese Zeile.
    Beispiel: To: Max Mustermann <m.mustermann@kunde.de>
  • Cc (Carbon Copy): Optionale Zeile für Empfänger, die die Nachricht zur Kenntnisnahme erhalten, ohne direkt angesprochen zu sein.
  • Subject (Betreff): Ein gut gewählter Betreff ist nicht nur für die Sortierung wichtig, sondern entscheidet oft über die Öffnungsrate.
    Beispiel: Subject: Dies ist ein Test


Die unsichtbare Ebene: Was im Verborgenen passiert

Für IT-Experten und Sicherheitsanalysen sind vor allem die Zeilen interessant, die normalerweise im Hintergrund bleiben:

  • Return-Path (Die Fehler-Adresse): Diese Angabe findet sich meist ganz oben im Header. Sie definiert, an welche Adresse eine Fehlermeldung (Bounce) gesendet werden soll, falls die Mail nicht zustellbar ist. Sie entspricht in der Regel der Adresse aus dem SMTP-Übertragungsprotokoll.
    Beispiel: Return-Path: <hostmaster@webwide.de>
  • Received (Der digitale Reisepass): Dies ist der wichtigste Teil für die Rückverfolgung. Jeder Server, den die Mail passiert, hinterlässt einen Zeitstempel und seine IP-Adresse (oft in Klammern). So lässt sich die Kette vom Absender bis zum Ziel lückenlos rekonstruieren.
    Beispiel: Received: from out13-58.antispamcloud.com ([185.201.17.58]) by mx209.antispamcloud.com with ESMTPS...
  • Message-ID (Der digitale Fingerabdruck): Jede E-Mail ist ein Unikat. Die Message-ID ist eine weltweit einzigartige Zeichenfolge, die zumeist vom ersten Mail-Server vergeben wird. Sie besteht aus einem kryptischen Code und einem Domainnamen, getrennt durch ein @.
    Beispiel: Message-ID: <7e70c813-f09b-45de-9726-eab56f803ca9@webwide.de>
  • Content-Type (Das Format-Protokoll): Hier wird festgelegt, wie der Inhalt der Mail zu interpretieren ist – beispielsweise als reiner Text (text/plain) oder als HTML. Auch der verwendete Zeichensatz (z. B. UTF-8) wird hier definiert, damit Umlaute korrekt dargestellt werden.
    Beispiel: Content-Type: text/html; charset=UTF-8


Warum die Header-Analyse Ihr bester Schutz gegen Betrug ist

Die versteckten Metadaten einer E-Mail sind weit mehr als technisches Beiwerk – sie sind ein digitales Beweismittel. Durch eine gezielte Untersuchung des Headers lässt sich die gesamte Zustellungskette lückenlos rekonstruieren. Dies ist die effektivste Methode, um festzustellen, ob ein Absender tatsächlich derjenige ist, für den er sich ausgibt.

Besonders wenn Ihnen eine Nachricht verdächtig vorkommt (z. B. ungewöhnliche Zahlungsaufforderungen oder dubiose Links), sollten Sie nicht blind vertrauen, sondern die „Motorhaube öffnen“. Im Folgenden zeigen wir Ihnen, wie Sie die Kopfzeilen sichtbar machen und die darin enthaltenen Spuren richtig deuten.

Schritt-für-Schritt: So machen Sie den Mail-Header sichtbar

Da die meisten Mail-Programme die technischen Details zum Schutz der Übersichtlichkeit ausblenden, müssen Sie diese erst manuell aufrufen. Hier sind die Wege für die gängigsten Anwendungen:

  • Apple Mail (macOS): Markieren Sie die Nachricht. Wählen Sie im Menü Darstellung > E-Mail > Alle Header. Die Informationen erscheinen direkt oberhalb des Nachrichtentextes.
  • Gmail (Web): Klicken Sie innerhalb der Mail oben rechts auf die drei vertikalen Punkte (Mehr) und wählen Sie Original anzeigen.
  • HCL / IBM / Lotus Notes: Wählen Sie die Mail aus und gehen Sie über Ansicht > Seitenquelle (bei Version 6.x). Um die Daten zu sichern, nutzen Sie Datei > Exportieren, wählen „Strukturierter Text“ und speichern die Datei ab, um sie in einem Editor zu öffnen.
  • Microsoft Outlook (alle Versionen ab 2007 inkl. Office 365): Öffnen Sie die Nachricht per Doppelklick in einem eigenen Fenster. Navigieren Sie zu Datei > Informationen > Eigenschaften. Im Feld Internetkopfzeilen finden Sie den gesuchten Text.
  • Mozilla Thunderbird: Wählen Sie die Mail aus und wählen Sie unter Mehr die Option Quelltext aus. Alternativ nutzen Sie die Tastenkombination Strg + U, um den gesamten Quelltext anzuzeigen.
  • Outlook.com / Hotmail / Live Mail: Öffnen Sie die Nachricht und navigieren Sie über die Einstellungen (Zahnrad-Symbol) zu den Nachrichtenoptionen. Suchen Sie dort nach dem Punkt Erweiterte Nachrichtenköpfe.
  • Webmailer (z. B. GMX/Web.de): Hier finden Sie oft ein kleines Info-Symbol (i) oder einen Link wie Header anzeigen direkt in der Nachrichtenansicht.

Forensik im Postfach: Den Absender manuell entlarven

Um den Ursprung einer Mail zu finden, müssen Sie den Header „von oben nach unten“ lesen. Die Einträge sind chronologisch sortiert, wobei der oberste Eintrag Ihren eigenen Server beschreibt.

  • Die „Received“-Spur verfolgen: Suchen Sie nach den Zeilen, die mit Received: beginnen. Scrollen Sie ganz nach unten zum letzten Eintrag dieser Liste. Dies ist im Regelfall der Server, von dem die Mail abgeschickt wurde.
  • Vorsicht bei Täuschung: Tauchen unter dem scheinbar ersten Server weitere „Received“-Zeilen auf, handelt es sich oft um plumpe Fälschungen von Spammern, die den Header künstlich verlängert haben. Vertrauen Sie dem untersten plausiblen Eintrag.
  • Die IP-Prüfung: Kopieren Sie die IP-Adresse des Ausgangsservers (meist in eckigen Klammern wie [123.456.78.9]) und nutzen Sie Online-Tools wie MXToolbox oder Geolocation.
  • Der Plausibilitätscheck: Passt der Standort des Servers zum angeblichen Absender? Wenn eine offizielle Mail einer deutschen Bank über einen Server in Südostasien oder Osteuropa verschickt wurde, ist höchste Vorsicht geboten.

Zeitersparnis durch Analyse-Tools

Wer sich die manuelle Suche in den Textwüsten des Headers ersparen möchte, kann auf spezialisierte Software oder Web-Dienste zurückgreifen.

  • eToolz: Dieses kostenfreie Programm bietet einen integrierten „Header Analyzer“. Sie kopieren einfach den gesamten Header-Text hinein, und das Tool schlüsselt Ihnen die beteiligten Stationen übersichtlich auf.
  • Online-Analyzer: Dienste wie der Messageheader-Analyzer von Google oder MXToolbox bereiten die Daten grafisch auf und zeigen Ihnen sofort an, ob Sicherheitsprüfungen wie SPF, DKIM oder DMARC bestanden wurden.

Hinter dem Punkt „Gesendet von“ (oder „Originating IP“) finden Sie auch hier die entscheidende Adresse, die Sie anschließend einem geografischen Standort zuordnen können.


E-Mail-Spoofing: Wie Angreifer Header-Daten manipulieren

Hinter fast jeder Spam- oder Phishing-Welle steckt ein klares Ziel: Anonymität. Da Betrüger keinerlei Interesse an einem echten Dialog oder Rückantworten haben, setzen sie alles daran, ihre digitale Identität zu verschleiern. Die Felder From: (Absender) und Return-Path: (Rücksendeadresse) sind dabei ihre bevorzugten Spielwiesen für Manipulationen.

Die Maskerade: Falsche Identitäten und Markenmissbrauch

In der Praxis sehen wir oft, dass Kriminelle bekannte Markennamen wie PayPal, DHL, Bankinstitute oder sogar offizielle Behörden missbrauchen. Dabei nutzen sie zwei gängige Taktiken:

  • Display Name Spoofing: Hier wird lediglich der Anzeigename gefälscht (z. B. „PayPal Service“), während die dahinterliegende Adresse völlig kryptisch ist.
  • Look-alike Domains: Die Adressen sehen den Originalen täuschend ähnlich (z. B. support@paypa1.com statt support@paypal.com). Wer hier nicht genau hinschaut, tappt schnell in die Falle – besonders wenn die Mail zum schnellen Klicken auf externe Links drängt.

Technische Verschleierung: Botnetze und offene Relays

Die Ermittlung der tatsächlichen Drahtzieher gestaltet sich oft schwierig. Professionelle Spammer nutzen selten ihre eigenen Server. Stattdessen verwenden sie:

  • Vireninfizierte Rechner (Botnetze): Private Computer werden ohne Wissen der Besitzer als „Relaisstationen“ für den Massenversand missbraucht.
  • Fehlkonfigurierte Mailserver (Open Relays): Server, die Mails von jedem beliebigen Absender annehmen und weiterleiten, dienen als perfekte Tarnkappe, um die eigene Herkunft zu verbergen.

Der „Received“-Header: Die Achillesferse der Spammer

Trotz aller Täuschungsmanöver gibt es einen Bereich im Header, den Angreifer niemals vollständig unter Kontrolle haben: die Received-Einträge.

Der Grund dafür ist simpel: Während ein Spammer die ersten (unteren) Zeilen im Header nach Belieben fälschen kann, wird die letzte (oberste) Received-Zeile von Ihrem eigenen Mailserver (dem Empfängersystem) geschrieben. Dieser dokumentiert unbestechlich, von welcher IP-Adresse die Nachricht tatsächlich entgegengenommen wurde.

Wichtig zu wissen: Manipulationen in den Header-Zeilen dienen oft dazu, „falsche Fährten“ zu legen. Ein Angreifer kann fiktive Serverstationen in den Header schreiben, um den Eindruck einer seriösen Übertragungskette zu erwecken. Doch die Kette bricht spätestens dort, wo die Mail auf Ihr System trifft. Vergleichen Sie daher immer die unterste plausible IP-Adresse mit den darüberliegenden Einträgen.


Der 30-Sekunden-Sicherheits-Check: So entlarven Sie jede Fake-Mail

Nicht jeder hat die Zeit, bei jeder Nachricht eine forensische Header-Analyse durchzuführen. Mit diesem Schnelldurchlauf agieren Sie wie Ihr eigener digitaler Türsteher und sortieren 99 % aller Betrugsversuche sofort aus.

1. Der Namens-Check (Anzeige vs. Realität)

Lassen Sie sich nicht vom Anzeigenamen (z. B. „Amazon Support“) blenden. Klicken oder tippen Sie auf den Namen, um die tatsächliche E-Mail-Adresse dahinter zu sehen.

Warnsignal: Wenn der Name „Bank XY“ sagt, die Adresse aber auf @gmail.com oder eine kryptische Domain wie @security-update-99.de endet.

2. Der „Mouse-over“-Trick für Links

Bevor Sie einen Button oder Link in einer Mail anklicken: Fahren Sie mit der Maus nur darüber (ohne zu klicken!). Am unteren Bildschirmrand Ihres Browsers oder Mail-Programms erscheint die echte Ziel-URL.

Warnsignal: Die verlinkte Adresse hat nichts mit der offiziellen Website des Unternehmens zu tun.

3. Dringlichkeit und Drohungen

Phishing-Mails setzen fast immer auf psychologischen Druck („Ihr Konto wird in 4 Stunden gesperrt“, „Letzte Mahnung“). Seriöse Unternehmen kommunizieren wichtige Kontenänderungen sachlich und geben Ihnen Zeit.

Warnsignal: Übertriebene Eile oder die Aufforderung, sensible Daten (Passwörter, TANs) direkt über einen Link einzugeben.

4. Der schnelle Header-Blick (Für Fortgeschrittene)

Wenn Sie unsicher sind, werfen Sie einen Blick in den Header (wie oben beschrieben) und suchen Sie nach der untersten Received-Zeile.

Warnsignal: Der Standort der Absender-IP liegt in einem Land, in dem das Unternehmen keine Server betreibt (z. B. eine lokale Sparkasse, die über einen Server in Osteuropa sendet).

Sie sind auf der Suche nach einem Hosting für Ihre E-Mails? Besuchen Sie jetzt unseren Shop und profitieren Sie von unserem professionellen E-Mail-Service. Gesichert durch EuropeanMX und DSGVO-konform durch Server an Standorten innerhalb der europäischen Union.


Fazit

Was auf den ersten Blick wie ein kryptisches Datenchaos wirkt, entpuppt sich bei näherem Hinsehen als das zentrale Kontrollinstrument der digitalen Kommunikation. Der E-Mail-Header ist weit mehr als eine technische Randnotiz: Er ist der unbestechliche digitale Fingerabdruck einer jeden Nachricht.

Wer versteht, wie man diese Kopfzeilen ausliest und interpretiert, gewinnt die Oberhand im Kampf gegen Spam, Phishing und Identitätsdiebstahl. Während Absendernamen und Nachrichteninhalte mit wenig Aufwand manipuliert werden können, lässt sich der tatsächliche Weg einer E-Mail durch die „Received“-Einträge niemals vollständig verschleiern.

Unsere Empfehlung für Ihren Arbeitsalltag: Machen Sie es sich zur Gewohnheit, bei ungewöhnlichen Anfragen oder verdächtigen Absendern kurz „unter die Motorhaube“ zu schauen. Die wenigen Klicks in die Header-Daten bieten oft mehr Sicherheit als jeder automatisierte Filter. In einer Zeit, in der Cyber-Angriffe immer raffinierter werden, ist die Fähigkeit, E-Mail-Metadaten zu verstehen, eine essenzielle Kompetenz für jeden Internetnutzer.


FAQ - Häufig gestellte Fragen

Was bedeuten die Kürzel SPF, DKIM und DMARC im Header?

Dies sind die drei wichtigsten Sicherheits-Protokolle der modernen E-Mail-Kommunikation. Sie tauchen im Header oft unter dem Punkt Authentication-Results auf:

  • SPF (Sender Policy Framework): Prüft, ob der sendende Server überhaupt berechtigt ist, Mails für diese Domain zu verschicken.
  • DKIM (DomainKeys Identified Mail): Eine digitale Signatur, die sicherstellt, dass der Inhalt der Mail auf dem Weg nicht manipuliert wurde.
  • DMARC: Gibt dem empfangenden Server Anweisungen, was passieren soll, wenn SPF oder DKIM fehlschlagen (z. B. Mail ablehnen oder in den Spam-Ordner verschieben).

Kann ein E-Mail-Header Schadsoftware enthalten?

Nein, ein Header besteht rein aus Textinformationen (Metadaten). Das bloße Auslesen oder Anzeigen des Headers in Ihrem Mail-Programm ist völlig ungefährlich. Gefährlich sind lediglich Links oder Dateianhänge im Body der Nachricht, auf die der Header jedoch oft warnend hinweisen kann.

Warum ist mein E-Mail-Header manchmal extrem lang?

Die Länge hängt von der Anzahl der Zwischenstationen ab. Wenn eine E-Mail über mehrere Relays, Spam-Filter, Virenscanner und interne Firmen-Gateways geleitet wird, fügt jede Instanz eigene Received- oder X-Spam-Zeilen hinzu. Ein sehr langer Header ist daher meist ein Zeichen für eine komplexe Sicherheitsprüfung oder viele Weiterleitungen.

Was bedeutet der Eintrag "X-Mailer" im Header?

Die Zeile X-Mailer verrät, welche Software der Absender zum Verschicken der Nachricht verwendet hat (z. B. Outlook, Thunderbird oder ein Newsletter-Tool wie Mailchimp). Fehlt dieser Eintrag oder steht dort eine ungewöhnliche Skriptsprache (z. B. PHP), kann dies bei einer persönlichen Mail ein Indiz für automatisierten Spam sein.

Bleibt der Header beim Weiterleiten einer E-Mail erhalten?

Nicht vollständig. Wenn Sie eine Mail „normal“ weiterleiten, wird ein neuer Header erstellt, und der ursprüngliche Header wird meist nur als einfacher Text in den Nachrichtentext kopiert. Um den echten, unverfälschten Header zu analysieren, muss die Mail immer im Original (oder als Anhang im .eml-Format) vorliegen.

Was ist Phishing? Index Zero-Day-Attacken: Die untersc...
Das könnte Sie auch interessieren...
Die Bedeutung der E-Mail-Sicherheit und wie Sie Ihr E-Mail-Konto schützen können

E-Mail-Sicherheit ist von entscheidender Bedeutung, da E-Mail-Konten zunehmend von Cyberkriminellen angegriffen werden. In diesem Artikel erfahren Sie, wie Sie sich vor Phishing-Angriffen und schwachen Passwörtern schützen können. Außerdem werden aktuelle Bedrohungen wie Ransomware-Angriffe und CEO-Betrug behandelt.

20.11.2023 E-Mail
Was ist Phishing?

Phishing ist eine der größten Gefahren für die digitale Sicherheit. Kriminelle nutzen psychologische Tricks, um an Ihre Daten zu gelangen. Wir zeigen Ihnen, wie Sie die Maschen erkennen und sich effektiv vor Angriffen schützen.

22.04.2026 Sicherheit
Auswirkungen und Bedeutung von SSL auf das Kundenvertrauen

Erfahren Sie, warum SSL (Secure Socket Layer) eine entscheidende Rolle bei der Sicherung von sensiblen Daten und der Vertrauensbildung zwischen Webseiten und Besuchern spielt. Lernen Sie die Prinzipien der Verschlüsselung, Authentifizierung und Integritätsschutz kennen, die SSL bietet, sowie die Auswirkungen von SSL auf das Kundenvertrauen.

08.01.2024 SSL
Sicherheitstipps für Ihr E-Mail-Konto

Folgen Sie unseren Tipps, um die Sicherheit Ihres E-Mail-Kontos zu gewährleisten und sich vor Cyberangriffen wie Phishing zu schützen. Erfahren Sie, wie Sie starke Passwörter erstellen, Phishing-Mails erkennen und Software-Updates durchführen, um Ihre Daten zu schützen.

11.03.2024 E-Mail
Was ist Ransomware?

Entdecken Sie, wie Ransomware Ihr System lahmlegen kann und lernen Sie, wie Sie sich vor dieser wachsenden Cyberbedrohung schützen können. Bleiben Sie sicher, informiert und vorbereitet!

05.05.2025 Sicherheit
Was ist Scareware?

Entdecken Sie die dunkle Welt der Scareware: Wie betrügerische Software Angst schürt, um Sie zu täuschen. Erfahren Sie, wie Sie gefälschte Antivirenwarnungen und Behördenmeldungen erkennen und sich schützen können.

12.05.2025 Sicherheit
Was ist Spyware?

Entdecken Sie die unsichtbare Gefahr: Spyware. Erfahren Sie, wie diese heimtückische Software Ihre Daten ausspioniert, welche Risiken sie birgt und wie Sie sich effektiv schützen können.

19.05.2025 Sicherheit
Was ist Social Engineering?

Entdecken Sie, wie Cyberkriminelle durch Social Engineering das menschliche Verhalten manipulieren, um an sensible Daten zu gelangen. Erfahren Sie, wie Sie sich schützen können!

23.06.2025 Sicherheit
Was versteht man unter einem Trojaner?

Entdecken Sie die verborgenen Gefahren digitaler Trojaner! Erfahren Sie, wie diese raffinierten Schadprogramme unbemerkt in Systeme eindringen, persönliche Daten stehlen und wie Sie sich effektiv schützen können.

16.06.2025 Sicherheit
Wir verwenden Cookies für die technische Funktionalität dieser Website. Mit Ihrer Zustimmung erfassen wir außerdem Seitenaufrufe und andere statistische Daten in anonymisierter Form.

Nur notwendige
Allen zustimmen
Einzeln auswählen
Cookie-Einstellungen
Datenschutzbestimmungen lesen