E-Mail-Header enthalten wertvolle Informationen über die Reise, die eine E-Mail gemacht hat. Durch das Lesen von Headern kannst du Probleme aufspüren, Spam identifizieren und verstehen, warum E-Mails nicht ankommen. In diesem Artikel erklären wir, wie du Header liest und interpretierst.

Was sind E-Mail-Header?

E-Mail-Header sind Metadaten, die jeder E-Mail-Nachricht hinzugefügt werden. Sie enthalten Informationen über:

  • Absender und Empfänger
  • Route, die die E-Mail genommen hat
  • Zeitstempel jeder Server
  • Authentifizierung-Ergebnisse (SPF, DKIM, DMARC)
  • Spam-Werte und Filterung

Warum Header ansehen?

  • Fehlerbehebung - Warum kommt meine E-Mail nicht an?
  • Spam-Analyse - Ist diese E-Mail legitim?
  • Verzögerung aufspüren - Wo liegt die Verzögerung?
  • Spoofing erkennen - Kommt diese E-Mail wirklich von dem, der sie sagt?

Header ansehen

Gmail

  1. Öffne die E-Mail
  2. Klicke auf die drei Punkte oben rechts
  3. Wähle „Original anzeigen“
  4. Du siehst jetzt die vollständigen Header

Outlook (Web)

  1. Öffne die E-Mail
  2. Klicke auf die drei Punkte
  3. Wähle „Nachrichtendetails anzeigen“ oder „View message details“

Outlook (Desktop)

  1. Öffne die E-Mail in einem separaten Fenster
  2. Gehe zu Datei > Eigenschaften
  3. Sieh dir den Abschnitt „Internet-Header“ an

Apple Mail

  1. Öffne die E-Mail
  2. Gehe zu Darstellung > Nachricht > Alle Kopfzeilen
  3. Oder drücke Cmd+Shift+H

Thunderbird

  1. Öffne die E-Mail
  2. Gehe zu Darstellung > Header > Alle
  3. Oder drücke Ctrl+U für die Quellansicht

Wichtige Header-Felder

Von, An, Betreff

From: jan@beispiel.de
To: marie@unternehmen.de
Subject: Besprechung morgen

Hinweis: Das „From“-Feld kann gefälscht sein. Achte auf Authentifizierungs-Header zur Verifizierung.

Received-Header

Die „Received“-Header zeigen die Route der E-Mail. Sie werden von unten nach oben gelesen (älteste unten, neueste oben).

Received: from mail.unternehmen.de (192.168.1.1)
    by mx.empfänger.de (10.0.0.1)
    with ESMTPS id abc123
    for <marie@unternehmen.de>;
    Mon, 13 Jan 2025 10:30:00 +0100

Interpretation:
- `from mail.unternehmen.de` - sendender Server
- `by mx.empfänger.de` - empfangender Server
- `with ESMTPS` - gesicherte Verbindung (TLS)
- Zeitstempel zeigt, wann dieser Hop stattfand

Authentication-Results

Dies ist einer der wichtigsten Header für die Fehlerbehebung:

Authentication-Results: mx.google.com;
    spf=pass (google.com: domain of jan@beispiel.de designates 192.168.1.1 as permitted sender);
    dkim=pass header.d=beispiel.de;
    dmarc=pass (p=QUARANTINE) header.from=beispiel.de

Interpretation:
- `spf=pass` - SPF-Überprüfung bestanden ✓
- `dkim=pass` - DKIM-Signatur gültig ✓
- `dmarc=pass` - DMARC-Richtlinie befolgt ✓

Mögliche Werte:

Status Bedeutung
pass Überprüfung bestanden
fail Überprüfung fehlgeschlagen - möglicherweise Spoofing
softfail Teilweise fehlgeschlagen - verdächtig
neutral Keine Richtlinie gefunden
none Kein Eintrag vorhanden

X-Spam-Header

Spam-Filter fügen oft ihre eigenen Header hinzu:

X-Spam-Status: No, score=-1.2
X-Spam-Score: -1.2
X-Spam-Flag: NO

Interpretation:
- Negative Punktzahl = geringere Wahrscheinlichkeit für Spam
- Punktzahl über Schwellenwert (oft 5.0) = Spam

Message-ID

Message-ID: <abc123@mail.beispiel.de>

Eine eindeutige Kennung für diese spezielle Nachricht. Nützlich für Tracking und Referenz.

Datum

Date: Mon, 13 Jan 2025 10:25:00 +0100

Wann die E-Mail gemäß dem sendenden Client gesendet wurde.

Probleme mit Headern aufspüren

E-Mail kommt nicht an

  1. Sieh dir die Authentication-Results an
    - Ist SPF fehlgeschlagen? Überprüfe deinen SPF-Eintrag
    - Ist DKIM fehlgeschlagen? Überprüfe deine DKIM-Konfiguration
  2. Sieh dir die X-Spam-Header an
    - Hohe Spam-Punktzahl? Deine E-Mail wird gefiltert
  3. Überprüfe die Route
    - Gibt es unerwartete Server in der Kette?

E-Mail ist verzögert

  1. Analysiere die Received-Header
  2. Berechne die Zeit zwischen jedem Hop
  3. Identifiziere, wo die Verzögerung liegt

Beispielanalyse:

Received: ... Mon, 13 Jan 2025 10:35:00 +0100  ← Empfang
Received: ... Mon, 13 Jan 2025 10:30:00 +0100  ← 5 Min. früher
Received: ... Mon, 13 Jan 2025 10:25:00 +0100  ← Gesendet

Gesamtzeit: 10 Minuten, Verzögerung im ersten Hop.

Phishing/Spoofing erkennen

  1. Vergleiche „From“ mit „Return-Path“
    From: support@bank.de
Return-Path: <hacker@bösartig.ru>
    ⚠️ Das ist verdächtig!
  2. Überprüfe die Authentication-Results
    - SPF fail + DKIM fail = wahrscheinlich Spoofing
  3. Sieh dir die Received-Header an
    - Kommt die E-Mail von einem unerwarteten Server?

Header-Analyse-Tools

MXToolbox Header Analyzer

  1. Gehe zu mxtoolbox.com/EmailHeaders.aspx
  2. Füge die vollständigen Header ein
  3. Erhalte eine strukturierte Analyse

Google Admin Toolbox

  1. Gehe zu toolbox.googleapps.com/apps/messageheader/
  2. Füge die Header ein
  3. Sieh eine Zeitlinie der E-Mail-Route

Mail Header Analyzer (whatismyipaddress.com)

  1. Gehe zu whatismyipaddress.com/email-header
  2. Analysiere die Header visuell

Häufige Header-Probleme

„SPF: softfail“

Problem: Der sendende Server ist nicht in deinem SPF-Eintrag.

Lösung: Füge den Server zu deinem SPF-Eintrag hinzu oder verwende einen autorisierten Server.

„DKIM: fail“

Problem: Die DKIM-Signatur ist ungültig.

Ursachen:
- E-Mail wurde unterwegs geändert
- DKIM ist falsch konfiguriert
- DNS-Eintrag fehlt

Keine Authentication-Results

Problem: Der empfangende Server führt keine Authentifizierungsprüfungen durch.

Dies ist normal bei: Einige ältere oder kleinere Mailserver.

Benötigst du Hilfe?

Wir stehen dir zur Verfügung! Hast du ein Problem oder Fragen? Unser Support-Team hilft dir gerne persönlich weiter. Schicke uns eine Nachricht über das Ticketsystem - wir antworten normalerweise innerhalb weniger Stunden und denken gerne mit dir mit.