Anti-Phishing

So analysieren Sie den Mail-Header

Ob der Absender einer Mail gefälscht ist, verrät häufig der Mail-Header. Mit diesem Tipp kommen Sie an die Infos.

Dieses Programm brauchen Sie: Etoolz 4.2, gratis, für Windows XP, Vista, 7, 8

Sie erhalten eine Mail, die scheinbar direkt von Amazon kommt, denn als Absender erscheint sicherheit@amazon.de. Da aber das Layout der Mail von sonstigen Amazon-Mails abweicht, haben Sie Zweifel an der Echtheit. Zudem fordert die Mail Sie auf, wegen eines Sicherheitsproblems auf einen Link zu klicken. Das kennen Sie als typische Masche der Phishing-Gauner, die an die Log-in-Daten ihrer Opfer kommen wollen. Sie sind aber schlauer und analysieren den Mail-Header, der oft gute Hinweise auf die Herkunft einer Nachricht gibt.

„Received“-Zeilen: Die besten Hinweise über die Herkunft der Mail stecken in den Received-Zeilen. Jeder Server, der die Mail an Sie weiterleitet, fügt oben seine Zeile „Received:“ mit den Infos „from“ (Absender) und „by“ (Empfänger) ein. Beim Mailversand sind mindestens zwei Mailserver beteiligt. Es können aber auch eine ganze Reihe von Servern die Mail weitergeleitet haben. Vertrauenswürdig ist nur der letzte Eintrag, denn das ist die Received-Zeile Ihres eigenen Mail-Providers. Alle Zeilen davor können gefälscht sein. Dennoch lohnt sich ein Blick auch auf die ersten Zeilen, da sich die meisten Spammer und Phisher nicht die Mühe machen, an dieser Stelle zu manipulieren. Sie begnügen sich stattdessen damit, den Eintrag in der Zeile „From“ zu manipulieren, wo sich in unserem Beispiel sicherheit@amazon.de befindet.

Mail-Header kopieren: Zunächst benötigen Sie den Mail-Header der Nachricht. Das ist der Teil der Mail, in dem die Protokolldaten der Übermittlung gespeichert sind. Alle gängigen Mailprogramme und Webmailer verbergen diesen Infoteil. So kommen Sie bei gängigen Mailclients dennoch an die Info:

Outlook 2013: Öffnen Sie die Mail und wählen Sie „Datei > Eigenschaften“. Markieren Sie den kompletten Text im Feld „Internetkopfzeilen“ und kopieren Sie ihn mit der Tastenkombination Strg+C.

Thunderbird: Markieren Sie die Mail und wählen Sie „Ansicht > Nachrichten-Quelltext. Markieren Sie im neuen Fenster alles bis einschließlich „to: <Ihre Mailadresse>“ und kopieren Sie den Text mit Strg+C.

Gmail (Webmail): Lassen Sie sich die Mail anzeigen und klicken rechts oben auf den kleinen Pfeil gleich neben dem Antwortenpfeil. Wählen Sie dort „Original anzeigen“. Markieren Sie im neuen Fenster alles bis einschließlich „to: <Ihre Mailadresse>“ und kopieren Sie den Text mit Strg+C.

GMX (Webmail): Öffnen Sie die Mail und klicken Sie rechts oben auf das kleine „i“ neben der Uhrzeit. Markieren und kopieren Sie den Text aus dem neuen Fenster.

Mail-Header aufbereiten und analysieren: Starten Sie das Programm Etoolz und wählen Sie oben „Header Analyzer“. Fügen Sie den eben kopierten Text in das Feld „Kopfzeilen“ und klicken Sie auf „Start“. Das Tool listet nun unter „Received-Übersicht:“ die Einträge aller beteiligten Mailserver auf, beginnend mit dem zeitlich ersten. Hinter „Gesendet von:“ steht die IP-Adresse des ersten absendenden Servers. Kopieren Sie diese und fügen Sie sie ins Eingabefeld auf der Website http://network-tools.com ein und klicken dort auf „Go“.

Die Website versucht, möglichst viele Infos über die IP zu erhalten. Sie zeigt in unserem Beispiel, dass der Server zu der IP wahrscheinlich in der Ukraine steht. Bingo! Es ist zwar nicht ausgeschlossen, dass Amazon-Deutschland ein Datencenter in der Ukraine unterhält, aber doch eher unwahrscheinlich.

Zurück im Programm Etoolz kontrollieren Sie noch die Original-Received-Zeile (unter „Received-Details:“) und finden dort die Info „modewelt1blazingfastio“. Darin steckt vermutlich der Hostname Modewelt1 auf der Domain blazingfast.io. Die Wahrscheinlichkeit, dass diese Mail von Amazon stammt, ist jetzt sehr gering. Sie haben Sie als Phishing-Mail enttarnt.

Übrigens: Eine gute und sehr ausführliche Erklärung des Mail-Headers bietet die Site Gaijin, von der auch das Programm Etoolz stammt.