Go to Top

Wie erkennt man gefälschte E-Mail Absender

Immer wieder tauchen Spam Mails mit gefälschten Absender Adressen auf. Dies sind oft E-Mails welche den Anschein erwecken möchten von bekannten Firmen zu stammen, wie z.B. von PayPal, Amazon, ebay oder z.B. DHL. Es kann aber auch sein, dass Sie E-Mails empfangen, welche den Absender von einer Person aus Ihrem Bekanntenkreis tragen, dieser aber nicht wirkliche der Absender der E-Mail ist. Dieser Fall kann z.B. nach einem Hack des E-Mail Postfachs eintreten, wie es vor einer Woche bei der Telekom passiert ist. (http://www.heise.de/security/meldung/Deutsche-Telekom-warnt-vor-Spam-Welle-2786008.html)
Diese unerwünschten Mails werden immer professioneller und es ist nicht auf den ersten Blick zu erkennen ob diese nun wirklich von dem vermeintlichen Absender stammen, oder ob der Absender gefälscht ist. Gerade bei einer E-Mail aus dem eigenen Bekanntenkreis ist das Misstrauen gleich Null und der ein oder andere öffnet den Anhang oder den beinhaltenden Link ohne weiter darüber nachzudenken ob dies gefährlich sein könnte.

Wie erkenne ich aber nun, ob die E-Mail tatsächlich vom angezeigten Absender stammt und ab wann sollte ich Misstrauisch sein? Über den E-Mail Header der sogenannten Kopfzeile wird ersichtlich welchen Weg die E-Mail vom Absender bis zum Empfänger genommen hat. Der E-Mail Header wird vom Mail Programm per Standard nicht angezeigt, er lässt sich jedoch von jedem Mailprogramm auf Wunsch anzeigen. Unten angefügt zeigen wir Ihnen, wie Sie den E-Mail Header bei den bekannten Mail Programmen wie Microsoft Outlook und IBM Lotus Notes anzeigen lassen können.

Welche Informationen können nun aus dem E-Mail Header gelesen werden?

  • die IP-Adresse des Rechners, wovon die E-Mail versendet wurde
  • die IP-Adresse des empfangenden Mailservers
  • sowohl Datum als auch Uhrzeit des Mailversands
  • Absender und Empfänger der E-Mail („From“ und „To“)
  • Antwort Adresse („Return-Path“)
  • Betreff der E-Mail („Subject“)

Es können auch weitere Informationen im Header stehen, dies ist abhängig vom verwendeten E-Mail Programm und des Providers. Leider sind die Informationen welche im Header stehen nicht fälschungssicher und entsprechen oft nicht der Wahrheit. Es gibt allerdings auch Angaben im E-Mail Header, welche nicht gefälscht werden können, dazu gehört z.B. die IP-Adresse des Rechners welche die E-Mail an den Server des E-Mail Providers gesendet hat. Dies wird vom empfangenden Server des Providers in den Header geschrieben und kann somit nicht vom Absender gefälscht werden. Die IP-Adresse erscheint in der ersten „Received“ Zeile in Klammer. Ein E-Mail Header hat oft mehrere „Received“ Zeilen, die von unten nach oben den Weg der E-Mail beschreiben, das heißt, der oberste Eintrag ist der aktuellste Eintrag. Über die ermittelte IP Adresse haben wir die Möglichkeit zu überprüfen ob diese aus einem Netzwerk eines Internetproviders stammt, oder ob diese IP-Adresse eine valide externe IP Adresse vom E-Mail Provider des Absenders ist. Da Spam Mails oft über gekaperte Rechner bzw. Botnetze versendet werden, findet man bei der Überprüfung der Absender IP-Adresse oftmals die Zugehörigkeit zu einem Netzwerk eines Internet-Providers. Über http://www.heise.de/netze/tools/whois/ können wir eine whois Abfrage anstoßen und erhalten darüber detaillierte Informationen zur IP Adresse.

Die IP Adresse ist nur ein erster Hinweis von wem die E-Mail stammt. Um wirklich sicher zu gehen, dass der angezeigte Absender auch genau dieser ist, der die E-Mail versendet hat, hilft nur die digitale Signatur. Hierzu muss allerdings der Absender tätig werden und die E-Mail signieren. Weitere Verfahren welche die Echtheit des Servers welcher für den E-Mail Versand genutzt wurde bestätigt sind z.B. DANE, SPF, DKIM und DMARC. Die drei letztgenannten helfen, dass die Gegenstelle, also der Mailempfänger überprüfen kann ob der Absender (Server) authorisiert ist. E-Mails unter dieser Domain zu versenden.

Unter folgender Internetseite können Sie den E-Mail Header analysieren lassen, dies macht das lesen des Headers einfacher und es werden direkt Warnungen angezeigt welche auf vermeintlichen Spam hinweist: http://www.gaijin.at/olsmailheader.php

E-Mail Header In Microsoft Outlook 2010/2013 anzeigen

I. Möglichkeit

  1. Öffnen Sie die entsprechende E-Mail in einem eigenen Fenster (Doppelklick).
  2. Klicken Sie nun auf “Datei” und dann auf “Informationen” und anschließend auf “Eigenschaften”.

II. Möglichkeit

  1. Öffnen Sie die entsprechende E-Mail in einem eigenen Fenster (Doppelklick).
  2. Klicken Sie nun im Register “Nachrichten” auf den kleinen Pfeil rechts neben dem Gruppennamen “Kategorien”.

III. Möglichkeit

Wenn Sie die Funktion häufiger benötigen, können Sie sich zur Erleichterung dafür ein Symbol in die Schnellstartleiste legen.

  1. Klicken Sie auf den Pfeil auf der rechten Seite der Schnellstartleiste und wählen Sie den Eintrag “Weitere Befehle“.
  2. In neuen Fenster wählen Sie aus der Drop-Down-Liste unter dem Begriff “Befehle auswählen” den Eintrag “Nicht im Menüband enthaltene Befehle” und suchen aus der Liste direkt darunter den Eintrag “Nachrichtenoptionen“.
  3. Markieren Sie diesen und klicken Sie auf die Schaltfläche “Hinzufügen” und bestätigen Sie mit “OK“.
  4. Ab jetzt können Sie bei jeder Mail mit einem Klick auf das neue Symbol den Header aufrufen.

E-Mail Header In Lotus Notes anzeigen

  1. Wenn Sie sich im View-Modus (z.B. „Inbox“) befinden, markieren Sie die betreffende Mail.
  2. Wählen Sie aus der Menüleiste Datei – Export und Structured Text als Exportformat
  3. Im sich anschließenden Dialog Selected Documents markieren und Sie erhalten eine Klartext-Datei mit allen Headerzeilen und dem Body am Stück.
  4. Die abgespeicherte Datei muss abschließend der Beschwerdemail angehängt werden.
  5. Hinweis: Dies funktioniert nur im View, nicht wenn die Mail zur Ansicht geöffnet ist!

2 Responses to "Wie erkennt man gefälschte E-Mail Absender"

  • Uwe Kolossa
    21. Oktober 2016 - 11:22 Reply

    Guten Tag.

    Es sind in letzter Zeit mehrere E-Mails mit Zahlungsaufforderungen zugesandt worden.
    Die Absender Adresse lautet, die zuletzt mit einem Inkassoschreiben verbunden war wie folgt :
    Maxdome-kontakt@infoscore.de

    So weit wie es bis jetzt der Fall war, dürfte der erste Buchstabe einer E-Mail Adresse nicht
    großgeschrieben werden.

    Bitte geben Sie mir Nachricht, ob dies auch weiterhin so ist.
    Vielen Dank im vorruas.

    Mit frdl Gruß

    • Nicolai Landzettel
      2. Februar 2017 - 07:44 Reply

      Hallo,

      die Groß- und Kleinschreibung spielte bei Email noch nie eine Rolle. Aber Sie haben recht, es wird sich bei der Email sicher um eine Fake-Email handeln die Ihnen beim öffnen des Anhangs einen Schadcode instellieren möchte..

      Mit sicheren Grüßen
      Nicolai Landzettel

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.