E-Mail-Header-Analyse & Fehlerbehebung: Den Received-Trace meistern
Haben Sie sich jemals gefragt, was hinter den Kulissen passiert, wenn Sie eine E-Mail senden oder empfangen? Während der Text der E-Mail Ihre Nachricht enthält, enthält der E-Mail-Header die kritischen „Umschlag“-Informationen, die die Geschichte der Reise der E-Mail vom Server des Absenders bis zu Ihrem Posteingang erzählen. Die Beherrschung der E-Mail-Header-Analyse ist eine wesentliche Fähigkeit für IT-Experten, Entwickler und Sicherheitsanalysten.
Was ist ein E-Mail-Header?
Ein E-Mail-Header ist ein Block von Metadaten, der jede E-Mail begleitet. Er enthält technische Details über den Absender, den Empfänger, die Route, die die E-Mail genommen hat, und die Ergebnisse verschiedener Sicherheitsprüfungen. Während die meisten E-Mail-Programme den Header standardmäßig ausblenden, um ein sauberes Leseerlebnis zu bieten, ist er immer da und über Optionen wie „Quelltext anzeigen“ oder „Original anzeigen“ zugänglich.
Eine E-Mail besteht aus drei Teilen:
- Der Umschlag (Envelope): Wird von den Mailservern zum Routen der E-Mail verwendet (in der endgültigen Nachricht nicht sichtbar).
- Der Header: Die Metadaten, die wir sehen (und analysieren).
- Der Text (Body): Der eigentliche Inhalt der Nachricht.
Kernprinzipien: Wichtige Header-Felder
Um Zustellungsprobleme zu beheben oder Spoofing zu identifizieren, müssen Sie diese kritischen Felder verstehen:
1. Der „Received“-Trace
Das Received-Feld ist der wichtigste Teil des Headers, um den Pfad einer E-Mail zu verfolgen. Jeder Mailserver, der die E-Mail verarbeitet, fügt seine eigene Received-Zeile oben im Header hinzu. Um eine E-Mail zu verfolgen, lesen Sie diese von unten nach oben.
Beispiel:
Received: from mail-ej1-x62c.google.com (mail-ej1-x62c.google.com. [209.85.218.44])
by mx.google.com with ESMTPS id ...
for <[email protected]>;
Fri, 12 Apr 2026 10:00:01 -0700 (PDT)
2. Return-Path vs. From
- From: Die im E-Mail-Programm angezeigte Adresse (der „freundliche“ Absender).
- Return-Path: Die tatsächliche Adresse, die für Unzustellbarkeitsnachrichten verwendet wird (der „Umschlag“-Absender).
- Fehlerbehebungs-Tipp: In Phishing-E-Mails steht im
From-Feld oft „[email protected]“, während derReturn-Patheine zufällige Hacker-Adresse sein kann.
3. Authentication-Results
Dieses Feld zeigt die Ergebnisse von SPF-, DKIM- und DMARC-Prüfungen.
spf=pass: Die sendende IP ist autorisiert.dkim=pass: Die kryptografische Signatur ist gültig.dmarc=pass: Die E-Mail entspricht der Richtlinie des Absenders.
Praxisanwendungen: Fehlerbehebung bei der Zustellung
Fall 1: Warum ist meine E-Mail verzögert?
Indem Sie sich die Zeitstempel in jedem Received-Header ansehen, können Sie die Verzögerung zwischen den Hops berechnen. Wenn Hop 1 um 10:00 Uhr und Hop 2 um 10:15 Uhr erfolgt, wissen Sie, dass die Verzögerung am zweiten Server aufgetreten ist.
Fall 2: Identifizierung von Spoofing
Wenn die Authentication-Results spf=fail oder dkim=fail anzeigen, ist dies ein starker Hinweis darauf, dass die E-Mail betrügerisch sein könnte. Prüfen Sie immer, ob die From-Domain mit der Domain in den Authentication-Results übereinstimmt.
Vergleich: Wichtige Feldunterschiede
| Feld | Zweck | Kann es gefälscht werden? |
|---|---|---|
| From | Angezeigte Absenderadresse | Ja (Einfach) |
| Return-Path | Bounce-Adresse | Ja (Verrät aber oft die wahre Quelle) |
| Received | Server-Hops und Zeitstempel | Nein (Nur der unterste kann vom Absender gefälscht werden) |
| Message-ID | Eindeutige ID für die Nachricht | Ja |
FAQ: Häufige Header-Fragen
F: Warum sehe ich mehrere „Received“-Header?
A: Jeder Mailserver (MTA), den die E-Mail passiert, fügt einen hinzu. Eine typische Reise umfasst den Server des Absenders, mehrere Zwischenfilter/Relays und schließlich den Server des Empfängers.
F: Was ist eine .eml-Datei?
A: Eine .eml-Datei ist ein Standard-Dateiformat für eine E-Mail-Nachricht. Sie enthält den vollständigen Header und den Text im Klartext. Sie können sie in jedem Texteditor öffnen, um die Header zu sehen.
F: Wie behebe ich „Authentication-Results: spf=softfail“?
A: Dies bedeutet normalerweise, dass die sendende IP nicht explizit in Ihrem SPF-Eintrag aufgeführt ist, aber auch nicht streng verboten ist. Aktualisieren Sie Ihren SPF-TXT-Eintrag bei Ihrem DNS-Anbieter, um die korrekten IP-Adressen oder Include-Anweisungen aufzunehmen.
Verwandte Tools
- E-Mail-Header-Analysator: Fügen Sie Ihre Header ein, um einen visuellen Trace zu erhalten (Demnächst verfügbar).
- SPF/DKIM/DMARC-Generator: Erstellen Sie die korrekten DNS-Einträge, um Ihre Domain zu sichern.