eMail Message Header komfortabler auswerten

Jede eMail enthält ja einen Header mit vielen wichtigen und nützlichen Informationen und Eigenschaften rund um diese eMail. IN den Kopfzeilen finden sich zum Beispiel Routinginformationen, um den Verlauf der eMail nachvollziehen zu können oder detailliertere Informationen über den Absender. Dadurch lässt sich oftmals feststellen, ob diese eMail Spam ist oder vom Absender verschickt wurde. Dies ersetzt natürlich nicht S/MIME, aber es hilft bei der Untersuchung. Wenn eine eMail als Absender eine Adresse nach dem Muster user@firma.de hat  und sich anhand der Kopfzeilen nachvollziehen lässt, dass diese eMail vom Mailserver der firma.de verschickt wurde dann ist die Wahrscheinlichkeit sehr hoch, dass die eMail tatsächlich vom angegebenen Absender kommt. Wurde die eMail jedoch beispielsweise von einem Server in Nigeria verschickt, dann kann man am Beispiel von firma.de möglicherweise an der Echtheit zweifeln.

Der Header einer eMail kann jedoch auch gefälscht werden. Ich beschränke mich in diesem Artikel auf die Darstellungsmöglichkeit des Headers und gehe nicht auf Sicherheitsaspekte ein,.

Doch wo sind diese Nachrichtenkopfzeilen und wie wertet man sie aus?

Jedes eMail-Programm sollte in der Lage sein, die Kopfzeilen anzuzeigen. In Outlook 2013 findet man die Option dafür hier:

image

Im unteren Teil des Fensters sieht man die Kopfzeilen.

image

Ich habe mal beispielhaft die kompletten Kopfzeilen einer eMail von mir an mich hier angefügt:

Received: from AMXPR03MB323.eurprd03.prod.outlook.com (10.242.69.155) by
DBXPR03MB336.eurprd03.prod.outlook.com (10.242.142.12) with Microsoft SMTP
Server (TLS) id 15.1.11.14 via Mailbox Transport; Fri, 7 Nov 2014 06:51:10
+0000
Received: from AM2PR03CA0017.eurprd03.prod.outlook.com (25.160.207.27) by
AMXPR03MB323.eurprd03.prod.outlook.com (10.242.69.155) with Microsoft SMTP
Server (TLS) id 15.1.6.9; Fri, 7 Nov 2014 06:51:09 +0000
Received: from AM1FFO11FD039.protection.gbl (2a01:111:f400:7e00::138) by
AM2PR03CA0017.outlook.office365.com (2a01:111:e400:8414::27) with Microsoft
SMTP Server (TLS) id 15.1.16.15 via Frontend Transport; Fri, 7 Nov 2014
06:51:09 +0000
Received: from mout.web.de (212.227.15.4) by
AM1FFO11FD039.mail.protection.outlook.com (10.174.64.228) with Microsoft SMTP
Server (TLS) id 15.1.6.13 via Frontend Transport; Fri, 7 Nov 2014 06:51:08
+0000
Received: from mySurface ([64.134.141.36]) by smtp.web.de (mrweb001) with
ESMTPSA (Nemesis) id 0LkPW7-1YKa9o1VbX-00cOfn for
<dieter.rauscher@msisafaq.de>; Fri, 07 Nov 2014 07:51:08 +0100
From: Dieter Rauscher <Dieter.Rauscher@web.de>
To: Dieter Rauscher
Subject: =?iso-8859-1?Q?Test_f=FCr_Nachrichtenkopfzeilen?=
Date: Thu, 6 Nov 2014 22:50:44 -0800
Message-ID: <000801cffa57$369dbe40$a3d93ac0$@web.de>
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="—-=_NextPart_000_0009_01CFFA14.28A22A80"
X-Mailer: Microsoft Outlook 15.0
Thread-Index: Ac/6VxjotNluIRcnQfaaFaiqFH0+qA==
Content-Language: de
X-Provags-ID: V03:K0:FkjKbtPbsnFm2jhQdktynvQWwnTd45B2sPBYqQ0bpvHvuwHE0m9
ZB4Ae4Ge5qkBKKmvutVerccKcfySYIWsnitDWSMOanw54nRuc2tir6LHlUTmJzafpqxYgPN
Xb4btfO77VEFrBcyvUGVY+x8XkGgJ2TL+hRpmNnPBwLxP7jCYF+Vo+T6PLrOT1ioAP0j+M4
PpGwtgB+ulkQ7VK4fCFng==
X-UI-Out-Filterresults: notjunk:1;
Return-Path: Dieter.Rauscher@web.de
X-EOPAttributedMessage: 0
X-MS-Exchange-Organization-MessageDirectionality: Incoming
X-Forefront-Antispam-Report: CIP:212.227.15.4;CTRY:DE;IPV:NLI;EFV:NLI;SFV:NSPM;SFS:(6009001)(438002)(199003)(189002)(450100001)(77156002)(77096003)(224303003)(106466001)(62966003)(564344004)(19625215002)(229853001)(107886001)(107046002)(50226001)(71636004)(120916001)(4396001)(50986999)(36756003)(99396003)(19300405004)(95666004)(87836001)(15202345003)(88136002)(19580395003)(89996001)(15975445006)(84116002)(87286001)(2656002)(573454002)(21056001)(104016003)(109986003)(512934002)(61296003)(110136001)(40036004)(33646002)(92726001)(93916002)(74482002)(92566001)(86362001)(104166001)(46816001)(31966008)(224313004)(6806004)(46102003)(20776003)(44976005)(71186001)(16236675004)(75402003)(64706001)(79686002)(19627235001);DIR:INB;SFP:;SCL:1;SRVR:AMXPR03MB323;H:mout.web.de;FPR:;MLV:sfv;PTR:mout.web.de;A:1;MX:1;LANG:de;
X-MS-Exchange-Organization-Network-Message-Id: 1778cafe-b941-4a4e-87cb-08d1c86e586e
X-Microsoft-Antispam: UriScan:;
X-Microsoft-Antispam: BCL:0;PCL:0;RULEID:;SRVR:AMXPR03MB323;
X-MS-Exchange-Organization-AVStamp-Service: 1.0
X-Exchange-Antispam-Report-Test: UriScan:;
Received-SPF: Pass (protection.outlook.com: domain of web.de designates
212.227.15.4 as permitted sender) receiver=protection.outlook.com;
client-ip=212.227.15.4; helo=mout.web.de;
Authentication-Results: spf=pass (sender IP is 212.227.15.4)
smtp.mailfrom=Dieter.Rauscher@web.de;
X-MS-Exchange-Organization-SCL: 1
X-MS-Exchange-Organization-AuthSource: AM1FFO11FD039.protection.gbl
X-MS-Exchange-Organization-AuthAs: Anonymous
X-MS-Exchange-Transport-EndToEndLatency: 00:00:01.8189449

Das ist nicht besonders übersichtlich lesbar.

Abhilfe schafft ein Online-Tool von Microsoft. Auf http://testconnectivity.microsoft.com findet ihr einige nützliche Tools zur Analyse von Exchange/eMail/Lync und dabei auch die Nachrichtenanalsye. Im oberen Teil könnt ihr einfach die Kopfzeilen reinkopieren (kleiner Tipp: In dem obigen Fenster einfach den Text markieren, strg+c/strg+v helfen).

image

Viel Spaß damit und schaut euch ruhig auch die anderen Tools aus der Sammlung an.

Weitere Informationen:

Viele Grüße
Dieter


Dieter Rauscher
MVP Enterprise Security