Ihre Eingaben werden nicht gespeichert. Hinweise zu Datenschutz & Haftung
Verbleibende Abfragen: 25 von 25
Was sind E-Mail-Header?
Jede E-Mail enthält unsichtbare Kopfzeilen – die sogenannten Header. Sie dokumentieren den gesamten Zustellweg einer E-Mail, von Server zu Server. Außerdem enthalten sie Authentifizierungsergebnisse (SPF, DKIM, DMARC), Spam-Bewertungen und technische Informationen über das verwendete E-Mail-Programm.
E-Mail-Header sind besonders hilfreich, wenn Sie herausfinden möchten, ob eine E-Mail echt ist, warum sie im Spam-Ordner gelandet ist oder über welche Server sie zugestellt wurde.
Wie finde ich die E-Mail-Header?
Die genaue Vorgehensweise hängt vom E-Mail-Programm ab. In den meisten Fällen finden Sie die Header über die Nachrichtenoptionen oder -eigenschaften:
| E-Mail-Programm | Vorgehensweise |
|---|---|
| Gmail | E-Mail öffnen → Drei-Punkte-Menü (⋮) → „Original anzeigen" |
| Outlook (Web) | E-Mail öffnen → Drei-Punkte-Menü (⋯) → „Nachrichtendetails anzeigen" |
| Outlook (Desktop) | E-Mail doppelklicken → Datei → Eigenschaften → „Internetkopfzeilen" |
| Thunderbird | E-Mail öffnen → Ansicht → Nachrichten-Quelltext (Strg+U) |
| Apple Mail | E-Mail öffnen → Darstellung → E-Mail → Alle Header |
Was bedeuten SPF, DKIM und DMARC im Header?
SPF, DKIM und DMARC sind drei Verfahren, mit denen Mailserver prüfen, ob eine E-Mail tatsächlich vom angegebenen Absender stammt. Die Ergebnisse dieser Prüfungen stehen im Header unter Authentication-Results.
| Verfahren | Was wird geprüft? | Ergebnis |
|---|---|---|
| SPF | Ob der sendende Server berechtigt ist, E-Mails für diese Domain zu versenden | pass = berechtigt, fail = nicht berechtigt, softfail = verdächtig |
| DKIM | Ob die E-Mail unterwegs verändert wurde (kryptographische Signatur) | pass = Signatur gültig, fail = Signatur ungültig oder fehlend |
| DMARC | Ob SPF und DKIM zum Absender passen und welche Maßnahme bei Fehlern gilt | pass = alles korrekt, fail = Absender nicht verifiziert |
Mit unserem SPF, DMARC & DKIM Check können Sie die Konfiguration einer Domain direkt prüfen. Falls Einträge fehlen, helfen der SPF-Record Generator, DMARC-Record Generator und DKIM-Record Generator beim Erstellen.
Woran erkennt man im Header eine gefälschte E-Mail?
Der From-Header lässt sich beliebig fälschen — er ist kein Beweis für den tatsächlichen Absender. Zuverlässiger sind diese Merkmale:
- SPF fail oder softfail: Der sendende Server ist nicht für die Absender-Domain autorisiert.
- DKIM fail: Die kryptographische Signatur stimmt nicht — die E-Mail wurde verändert oder stammt nicht vom angegebenen Absender.
- DMARC fail: Weder SPF noch DKIM passen zum Absender. Ein starkes Indiz für Fälschung.
- Reply-To weicht von From ab: Antworten würden an eine andere Adresse gehen — ein klassisches Phishing-Muster.
- Received-Kette passt nicht: Die Server auf dem Zustellweg passen nicht zum angegebenen Absender. Die untersten Received-Header (älteste) sind am verlässlichsten, da sie vom Empfangsserver stammen.
Verdächtige E-Mails können Sie zusätzlich mit der E-Mail Blacklist-Prüfung oder der E-Mail-Fehler-Analyse untersuchen.
Welche Header sind besonders wichtig?
| Header | Bedeutung |
|---|---|
| Received | Zeigt jeden Server auf dem Zustellweg – der wichtigste Header für die Nachverfolgung |
| Authentication-Results | Ergebnisse der SPF-, DKIM- und DMARC-Prüfung |
| From / Reply-To | Absender und Antwortadresse – Abweichungen können auf Phishing hindeuten |
| Return-Path | Adresse für Bounce-Mails – zeigt den tatsächlichen Absender |
| X-Spam-Status | Spam-Bewertung durch den Empfänger-Server |
| X-Mailer | Verwendetes E-Mail-Programm des Absenders |
Häufige Fragen zu E-Mail-Headern
Antworten auf die wichtigsten Fragen rund um E-Mail-Header, Zustellwege und Authentifizierung.
Wie kann ich E-Mail-Header richtig analysieren?
Kopieren Sie den vollständigen Header einer E-Mail und fügen Sie ihn in das Eingabefeld ein. Die Analyse zeigt Ihnen übersichtlich den Zustellweg, die Authentifizierungsergebnisse (SPF, DKIM, DMARC), Absenderinformationen und mögliche Auffälligkeiten.
So lassen sich Zustellprobleme, verdächtige Absender oder fehlende Sicherheitskonfigurationen schnell identifizieren.
Wie finde ich die vollständigen E-Mail-Header in Gmail, Outlook und Thunderbird?
Die vollständigen Header sind in jedem E-Mail-Programm etwas anders erreichbar:
- Gmail: E-Mail öffnen → Drei-Punkte-Menü (⋮) → „Original anzeigen"
- Outlook (Web): E-Mail öffnen → Drei-Punkte-Menü (⋯) → „Nachrichtendetails anzeigen"
- Outlook (Desktop): E-Mail doppelklicken → Datei → Eigenschaften → „Internetkopfzeilen"
- Thunderbird: E-Mail öffnen → Ansicht → Nachrichten-Quelltext (Strg+U)
Kopieren Sie den gesamten Header-Text und fügen Sie ihn in das Analysefeld ein.
Was bedeuten SPF, DKIM und DMARC in den Headern einer E-Mail?
SPF, DKIM und DMARC sind Authentifizierungsverfahren, deren Ergebnisse im Header unter Authentication-Results stehen. SPF prüft, ob der sendende Server für die Absenderdomain autorisiert ist. DKIM prüft, ob die E-Mail seit dem Versand unverändert geblieben ist. DMARC fasst beide Prüfungen zusammen und legt fest, wie bei Fehlern verfahren wird.
Das Ergebnis pass bedeutet jeweils: Prüfung bestanden. fail oder softfail deuten auf ein Problem hin.
Welche Header sind bei Spam, Phishing oder Zustellproblemen besonders wichtig?
Bei Zustellproblemen und verdächtigen E-Mails sind diese Header besonders aufschlussreich:
- Authentication-Results: Zeigt, ob SPF, DKIM und DMARC bestanden haben.
- Received: Dokumentiert den Zustellweg von Server zu Server.
- From / Reply-To: Abweichungen zwischen diesen Feldern sind ein typisches Phishing-Merkmal.
- Return-Path: Zeigt den tatsächlichen technischen Absender.
- X-Spam-Status: Enthält die Spam-Bewertung des Empfängerservers.
Unsere Analyse wertet diese Header automatisch aus und hebt Auffälligkeiten hervor.
Wie erkenne ich im Header den tatsächlichen Versandweg einer E-Mail?
Der Versandweg einer E-Mail ist in den Received-Headern dokumentiert. Jeder Server, der die E-Mail weiterleitet, fügt einen eigenen Received-Eintrag hinzu. Die Reihenfolge ist dabei umgekehrt: Der unterste Received-Header stammt vom ersten Server in der Kette, der oberste vom letzten.
Achten Sie besonders auf den untersten Eintrag – er stammt vom Empfangsserver und ist am verlässlichsten, da er nicht vom Absender manipuliert werden kann.
Woran erkenne ich in E-Mail-Headern eine gefälschte oder verdächtige Nachricht?
Typische Anzeichen für eine gefälschte E-Mail im Header sind:
- SPF fail oder softfail: Der sendende Server ist nicht für die Absenderdomain autorisiert.
- DKIM fail: Die Signatur ist ungültig – die E-Mail wurde verändert oder stammt nicht vom angegebenen Absender.
- DMARC fail: Weder SPF noch DKIM stimmen mit der Absenderdomain überein.
- Reply-To weicht von From ab: Antworten würden an eine andere Adresse gehen – ein häufiges Phishing-Muster.
- Unpassende Received-Kette: Die Serveradressen auf dem Zustellweg passen nicht zum angeblichen Absender.
Entdecken Sie unsere weiteren kostenlosen Online-Tools
Alle Tools anzeigenDatenschutz & Haftungsausschluss (Details anzeigen)(Details ausblenden)
Datenschutz bei diesem Tool: Ihre Eingaben werden ausschließlich zur Analyse verarbeitet und nicht gespeichert. Zur Missbrauchsprävention wird ein anonymisierter Hash Ihrer IP-Adresse für 24 Stunden gespeichert — Ihre echte IP-Adresse wird dabei nicht erfasst. Es werden keine Tracking-Cookies gesetzt. Die Verarbeitung findet auf unseren Servern in Deutschland oder Europa statt. Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Haftungsausschluss: Dieses Tool dient ausschließlich zu Informationszwecken. Die Analyse basiert auf der Auswertung von E-Mail-Headern. Die eingefügten Header werden nicht gespeichert. Die Nutzung des Tools erfolgt auf eigene Verantwortung. Für die Richtigkeit und Vollständigkeit der Ergebnisse wird keine Gewähr übernommen. Die Haftung für Schäden oder Verluste, die aus der Verwendung, Speicherung oder Weitergabe der hier angezeigten Ergebnisse resultieren, wird im gesetzlich zulässigen Rahmen ausgeschlossen. Es besteht kein Anspruch auf Verfügbarkeit, Vollständigkeit oder Korrektheit des Tools oder des angezeigten Ergebnisses.