You are here: Home » Themen » SPAM » E-Mail-Header richtig lesen
Sorry, this page is not translated yet.

E-Mail-Header richtig lesen

Aufbau einer Mail

Eine Mail teilt sich in zwei Abschnitte: den Header, worin z.B. die Absende- und Empfangsadresse, Logzeilen aller beteiligten Rechner usw. enthalten sind und den eigentlichen Inhalt der Mail.
Das Lesen der Headerzeilen scheint eine einfache Sache zu sein, aber das Unterscheiden von gefälschten und echten Headerzeilen ist oftmals schwierig, vor allem weil Spammer zunehmend authentisch aussehende Header generieren, die nur schwer erkennbare Fälschungen beinhalten.
Zunächst kann man die Header in zwei Kategorien einteilen, "Message-Header" und "Envelope-Header". "Message-Header" werden vom Absender generiert, "Envelope-Header" von allen anderen an der Auslieferung beteiligten Mailservern.
Envelopes wachsen wie Sedimentschichten, jeder Mailserver auf dem Laufweg der Nachricht fügt eine weitere Zeile über den bereits vorhandenen Zeilen ein, lagert also quasi eine neue Sedimentschicht ab. ;-)
Daher kann nicht verhindert, dass der Absender gewisse innere Envelope-Header fälscht.

Nachrichten-Header

Jede Zeile des Headers beginnt mit einem Schlüsselwort. Die wichtigsten "Message-Header" sind:

  • "From:" Sollte normalerweise die Absenderadresse enthalten.
  • "To:" Sollte die Emfpängeradresse enthalten, ist aber sehr oft gefälscht und hat keinen Einfluss auf den wahren Empfänger.
  • "Message-ID:" Wird normalerweise vom ersten Mailserver nach dem Absender eingefügt, um der Mail eine eindeutige ID zu geben.
    Die ID hat normalerweise die Form “localpart@domain”, wobei die "domain" mit der tatsächlichen Absendedomain übereinstimmen sollte.
  • "localpart" kann den benutzerspezifischen Teil der E-Mail-Adresse des Absenders beinhalten, aber genausogut nur eine wirre Zahlen- und Buchstabenkombination.

Umschläge

Bei den "Envelope-Headern" sind die wichtigsten Schlüsselworte:

  • "From" (ohne ":"): Wird beim Versenden der Mail gegenüber dem Server als Absenderadresse angegeben.
    Dadurch kann der Server – falls vorhanden – eine erste und einfache Benutzerüberprüfung durchführen, um Spamming einzudämmen.
    Aufgrund der Fälschbarkeit lässt sich Spamming aber nicht sicher vermeiden. Es gibt jedoch zu viele offene Mailserver, die keinerlei Überprüfung vornehmen.
  • "Received:" Dies sind die wichtigsten Zeilen des Headers, wenn man den tatsächlichen Absender feststellen will.

Received Einträge

Die "Received" Zeilen sind aus mehreren Teilen zusammengesetzt und werden von einem empfangenden Rechner eingefügt wenn eine Nachricht erhalten wird.

  • "from name1.domain1" der angegebene Rechnername, analog zu "From"
  • "(name2.domain2 [IP])" größtenteils wird auch der Reverse DNS Eintrag zu der anfragenden IP eingetragen. Unterscheidet er sich vom angegebenen "name1.domain1", so handelt es sich mit hoher Wahrscheinlichkeit um eine Fälschung.
  • "by name3.domain3 (versions)": Name des Rechners, der die Zeile einfügt.
  • "with ESMTP id id1" bzw. "id id2": eindeutige ID für die Logfiles des eintragenden Rechners, sind nur für den Betreiber des zugehörigen Rechners von Bedeutung.
  • "for <name4@domain4>": beinhaltet den richtigen Empfänger der Mail, wird beim Versenden durch "RCTP TO" angegeben.
  • " Zeitstempel Zeitverschiebung (Zeitzone)": Gibt den Eintragszeitpunkt an.

Die received Zeilen werden immer oberhalb der bisherigen Zeilen eingefügt, wodurch sich von unten nach oben der genaue Weg, den die Nachricht nahm, nachvollziehen lassen sollte. Der "by name3.domain3" Eintrag sollte also mit dem nachfolgenden/darüber stehenden "from name1.domain1 (name2.domain2 [IP])" übereinstimmen.
Die oberste Zeile ist im Allgemeinen immer korrekt, da sie vom eigenen Account-Provider eingetragen wird, sobald er eine Mail erhält. Von dieser Adresse ausgehend kann nun der Weg solange zurückverfolgt werden, bis sich Unstimmigkeiten ergeben. In diesem Moment hat man vermutlich den Server gefunden, über den der Absender die Mail verschickt hat. Alle vorherigen/darunter stehenden Einträge sind höchstwahrscheinlich gefälscht um in die Irre zu führen.

gefälschte Received-Einträge

Häufig verwendete Fälschungen:

  • Angabe eines falschen Rechnernamens, kann durch "from name1.domain1 (name2.domain2 [IP])" erkannt werden.
  • Hinzufügen von "Received" Zeilen, in denen der Teil "(name2.domain2 [IP])" fehlt, dies kommt bei nicht gefälschten E-Mails sehr selten vor, da inzwischen fast alle Mailserver diese zusätzliche Information eintragen.
  • Hinzufügen von in sich korrekten "Received" Zeilen, die jedoch keinen Bezug zu anderen Zeilen haben (from <-> by).
  • Das Erzeugen/ Hinzufügen von Einträgen aus vielen Domains ist eher unüblich, da zwischen der Absende- und Empfängerdomain selten weitere Domains in den Transport einbezogen werden. Subdomains gelten dabei nicht als eingenständige Domains.
  • Hinzufügen von sinnlosen Zeilen wie "Received: No Information Here, Go Away!"

Es besteht jedoch auch die Möglichkeit, Spam so zu fälschen, dass der Empfänger alleine den tatsächliche Absender nicht mit Sicherheit finden kann.
Wenn der Absender alle Angaben so korrekt angibt (inkl. selbst hinzugefügter "Received" Zeilen, dass der Eindruck entsteht, er sei Teil des Weges, ist dem Empfänger in der Regel das Erkennen des
Verursachers unmöglich. Hier kann nur aufgrund der Logfiles der vorher Beteiligten bzw. den fehlenden Einträgen bei diesen eine Nichtbeteiligung erkannt und der wahre Verursacher damit schrittweise bestimmt werden.

Wie komme ich an die Header einer Nachricht?

Viele Mailprogramme verstecken die ausführlichen Nachrichtenköpfe vor dem Benutzer. Im normalen Gebrauch ist die Informationsflut, die, wie oben beschrieben, etwas über die Herkunft der gerade erhaltenen Nachricht verrät, auch wirklich etwas sperrig und nicht jedermanns Sache. Jedoch gibt es meist die Möglichkeit, seinem Mailprogramm diese wichtige Information zu entlocken.

Auf den Seiten von Spamcop gibt es eine ausführliche Übersicht über die gebräuchlichsten Mailprogramme und jeweils Anleitungen, wie die die Header einer Nachricht angezeigt werden können:

How do I get my email program to reveal the full, unmodified email?

Diese Übersicht ist zwar nicht vollständig, kann aber in vielen Fällen helfen.

Ausführliche Anleitung zum Lesen von Headern: