Was ein Mail-Header-Analyzer macht
Ein Mail-Header-Analyzer nimmt den Rohtext der Header einer E-Mail (alles oberhalb der Leerzeile, die Header von Body trennt) und zeigt dir, welche Server die Nachricht angefasst haben, wer sie signiert hat und ob die Authentifizierungschecks bestanden sind. Alles laeuft in deinem Browser, keine Daten verlassen dein Geraet.
Du bekommst auf einem Bildschirm vier Dinge: den Identitaetsblock (From, To, Subject, Message-ID, Date), die SPF / DKIM / DMARC-Urteile aus dem Authentication-Results-Header, eine chronologische Received-Hop-Timeline (aelteste zuerst, mit Delta zwischen den Hops) und eine heuristische Spam-Bewertung von 0 bis 10 mit konkreten Gruenden.
Fuer jede IP in der Received-Kette gibt es einen klickbaren Link zum Whois-Lookup-Tool, ein Klick und du siehst, wem der Relay-Server gehoert.
So benutzt du es
- Roh-Header aus dem Mail-Client kopieren. Gmail: Nachricht oeffnen -> Drei-Punkte-Menue -> "Original anzeigen" -> ganzen Text kopieren. Outlook: Nachricht oeffnen -> Datei -> Eigenschaften -> Feld "Internet-Header". Apple Mail: Nachricht oeffnen -> Darstellung -> Nachricht -> Alle Header.
- Ins Textfeld oben einfuegen. Du kannst nur die Header oder die ganze Nachricht einfuegen, das Tool schneidet den Body an der ersten Leerzeile ab.
- Spam-Bewertung oben pruefen. Gruen 0 bis 2 = sieht gesund aus, gelb 3 bis 5 = Warnsignale, rot 6 bis 10 = sehr wahrscheinlich Phishing oder Spam.
- Im Abschnitt Authentication-Results verifizieren, dass SPF / DKIM / DMARC alle pass zeigen. Ein rotes Urteil bedeutet oft, dass die Nachricht nicht wirklich vom angegebenen Absender kam.
- Zur Received-Kette scrollen. Der oberste Hop (#1) ist der aelteste Server, der erste, der die Nachricht angenommen hat. Der unterste Hop ist der Server, der sie an dein Postfach uebergeben hat.
- Jede IP in der Kette anklicken, um Whois-Lookup in einem neuen Tab zu oeffnen und zu sehen, wem die Adresse gehoert.
- Siehst du einen seltsamen ersten Hop (eine "Bank-Benachrichtigung", deren erster Hop eine Hosting-Box in einem zufaelligen Land ist), hast du starke Evidenz fuer Absender-Spoofing.
Wann das nuetzlich ist
Fuenf Alltagssituationen, in denen die Header-Analyse die Frage beantwortet:
- Ist diese E-Mail Phishing? Du hast eine "Bank"-Nachricht mit einem Link zum "Konto verifizieren" bekommen. Vergleiche From vs Return-Path vs den ersten Hop der Received-Kette. Hat der erste Server nichts mit der Bank zu tun, ist das Lehrbuch-Phishing.
- Meine wichtige Mail kam nie an, der Empfaenger sagt, er habe die Antwort verschickt. Bitte ihn um die kompletten Header der Nachricht, die er vermeintlich bekommen hat. Du kannst den exakten Weg nachvollziehen, sehen, wo sie haengen blieb und wie lange jeder Hop brauchte.
- Beschwerde "Eure Mail landete im Spam". Schau in die Header der Kopie, die er dir weitergeleitet hat. Meist findest du SPF fail oder DKIM fail in Authentication-Results, das ist eine konkrete Ursache, kein Bauchgefuehl.
- Post-Incident-Audit. Ein Angreifer hat Mails von deiner Firmen-Domain verschickt. Aus den Headern der verdaechtigen Nachrichten erkennst du, ob sie ueber deinen echten Mailserver liefen (Account-Kompromittierung) oder ueber einen fremden Server mit gefaelschtem From (Spoofing, deine Domain hat kein DMARC).
- Komische Mail von einem Kollegen. Der CFO mailt das Finanzteam mit der Bitte um eine dringende Ueberweisung. Pruefe Reply-To und Return-Path, bei BEC (Business Email Compromise) weichen sie vom From ab, deine Antwort landet beim Angreifer.
Verwandte Tools: E-Mail-DNS-Pruefer (auditiere SPF/DKIM/DMARC deiner Domain), Whois-Lookup (Eigentuemer einer IP aus der Received-Kette), DNS-Lookup.