E-Mail-Header: die DNA jeder Nachricht
Jede E-Mail besteht aus zwei Teilen: dem sichtbaren Text (den Sie lesen) und den verborgenen Headern (den technischen Metadaten). E-Mail-Header sind wie der Poststempel eines traditionellen Briefs, nur weitaus detaillierter: Sie zeichnen jeden Server auf, durch den die Nachricht gelaufen ist, die Zeitstempel jedes Schritts, die Ergebnisse der Authentifizierungsprüfungen, die Serversoftware und Dutzende weiterer technischer Informationen. Header lesen zu können ist eine grundlegende Kompetenz, um E-Mail-Probleme zu diagnostizieren und betrügerische Nachrichten zu identifizieren.
Unser E-Mail-Header-Analyzer vereinfacht diese Analyse: Fügen Sie einfach die rohen Header ein und das Tool analysiert sie automatisch. Es zeigt den Nachrichtenpfad in chronologischer Reihenfolge, die Verzögerungen zwischen jedem Hop, die Authentifizierungsergebnisse und eventuelle Anomalien. Um das Tool optimal zu nutzen, ist es jedoch hilfreich zu verstehen, was die wichtigsten Header bedeuten.
Die grundlegenden Header-Felder
Die Received-Felder sind am informativsten: Jeder Server, der die E-Mail verarbeitet, fügt sein eigenes hinzu, in umgekehrter Reihenfolge (das neueste steht oben). Liest man von unten nach oben, rekonstruiert man den chronologischen Weg der Nachricht. Jedes Received-Feld enthält die IP des Servers, seinen Hostnamen und einen Zeitstempel. Durch den Vergleich der Zeitstempel aufeinanderfolgender Received-Einträge lassen sich Verzögerungen identifizieren: Ein Abstand von 30 Sekunden zwischen zwei Hops ist normal, 30 Minuten könnten auf ein Problem hindeuten.
Phishing-E-Mails anhand der Header erkennen
Header sind das zuverlässigste Werkzeug, um Phishing-E-Mails zu entlarven. Die wichtigsten Warnsignale: Das From-Feld und der Return-Path haben unterschiedliche Domänen (der sichtbare Absender stimmt nicht mit dem technischen Absender überein), Authentication-Results zeigt spf=fail oder dkim=fail an, die IPs in den Received-Feldern stammen aus unerwarteten Ländern, die Message-ID hat eine andere Domäne als der Absender, und die Header X-Mailer oder User-Agent offenbaren ungewöhnliche Software.
Für eine vollständige Überprüfung vergleichen Sie die Domäne im From-Feld mit den Authentifizierungsergebnissen. Verwenden Sie SPF Lookup, um zu prüfen, ob die IP des sendenden Servers durch den SPF-Eintrag der angegebenen Domäne autorisiert ist. Wenn das Feld Authentication-Results dmarc=fail anzeigt, hat die Domäne eine aktive DMARC-Richtlinie und die E-Mail hat sie nicht bestanden — ein starkes Indiz für Spoofing. Der DMARC Lookup zeigt Ihnen, welche Richtlinie konfiguriert ist.
Zustellverzögerungen diagnostizieren
Wenn E-Mails verspätet ankommen, zeigen die Header genau, wo die Verlangsamung aufgetreten ist. Unser E-Mail-Header-Analyzer berechnet automatisch die Zeit zwischen jedem Hop und hebt ungewöhnliche Verzögerungen hervor. Die häufigsten Ursachen für Verzögerungen sind: aktives Greylisting auf dem Empfängerserver (absichtliche Verzögerung von 5–15 Minuten zur Spam-Filterung), volle Nachrichtenwarteschlangen auf dem Server, DNS-Probleme, die die Auflösung verlangsamen, und Antispam-Filter, die zu lange für die Inhaltsanalyse brauchen.
Wenn die Verzögerungen auf Seiten des sendenden Servers liegen, könnte ein Leistungs- oder Konfigurationsproblem vorliegen. Verwenden Sie SMTP Diagnostics, um die Antwortzeiten des Servers zu messen und zu überprüfen, ob die Verbindung stabil ist. Treten die Verzögerungen beim ersten Hop (vom Client zum ersten Server) auf, liegt das Problem wahrscheinlich in der lokalen Netzwerkverbindung oder im E-Mail-Client.
Ein besonderer Fall ist das Greylisting: Der Empfängerserver lehnt die E-Mail vorübergehend ab (Code 4xx) und akzeptiert sie erst beim zweiten Versuch, typischerweise nach 5–15 Minuten. In den Headern äußert sich dies als signifikante Verzögerung zwischen dem ersten Received (Versand) und dem zweiten (Annahme nach dem Retry). Greylisting ist wirksam gegen Spam, verursacht aber spürbare Verzögerungen bei der Zustellung legitimer Nachrichten.