Kostenloses Tool
E-Mail-Header-Analyzer
Folgen Sie jedem Hop und lesen Sie das SPF / DKIM / DMARC-Ergebnis des empfangenden Mailservers. Ihre Header bleiben in Ihrem Browser: Die Verarbeitung läuft lokal, wir laden nichts hoch.
In den ersten 256 KB der Datei haben wir keine Header gefunden. Fügen Sie sie stattdessen direkt in das Feld ein.
Ergebnis
Authentifizierungsergebnis
SPF
DKIM
DMARC
Gesamt
Phishing-Triage
Vergleichen Sie die Identitäten, die in dieser Nachricht auftauchen. Weichen From, Reply-To, Return-Path und die signierenden Domains voneinander ab, ist das ein häufiges Phishing-Signal. Kein Beweis, aber ein Hinweis, dem Sie nachgehen sollten.
Die organisatorischen Domains in der Alignment-Spalte werden anhand der Public Suffix List geschätzt; RFC-9989-konforme Empfänger können sie stattdessen über den DNS Tree Walk bestimmen.
| Feld | Wert | Alignment mit From? |
|---|
Bereitschaft für Beschwerde-Feedback
Prüft Header auf Nachrichtenebene, mit denen Gmail, RFC 9477 CFBL und Listenbetreiber Spam-Beschwerden zuordnen. Die Anmeldung beim Anbieter selbst ist extern und lässt sich aus einer einzelnen zugestellten E-Mail nicht nachweisen.
Gesamtstatus
Gefundene Signale
| Signal | Wert | Bedeutung |
|---|
Anbieter-Bereitschaft
Hop-Timeline
Jede Zeile ist ein Received-Header, in Zustellreihenfolge. Zeitstempel werden auf UTC normalisiert, bevor der Abstand zum nächsten Hop berechnet wird. So erzeugen Traces über mehrere Zeitzonen keine negativen Verzögerungen.
ARC-Kette
ARC-Header halten fest, was jede Zwischenstation beobachtet hat, damit ein nachgelagerter Mailserver für weitergeleitete Mails bürgen kann. Wir parsen, was die Kette behauptet; die Siegel selbst validieren wir nicht.
| i= | Versiegelt von | Gemeldetes cv= | Behauptete Authentication-Results |
|---|
Microsoft-365-Anti-Spam-Decoder
Microsoft 365 stempelt eingehende Mails mit X-Forefront-Antispam-Report und X-Microsoft-Antispam. Die Codes sind dokumentiert, aber kryptisch. Unten steht jeder Rohwert mit seiner Bedeutung.
| Code | Wert | Bedeutung |
|---|
DKIM-Signaturen
Jeder DKIM-Signature-Header der Nachricht, aufgeschlüsselt in seine Tags. Die Signaturen verifizieren wir nicht; dafür wäre eine DNS-Abfrage des öffentlichen Schlüssels unter s._domainkey.d nötig.
Alle Header
Jeder Header in Quellreihenfolge.
| Header | Wert |
|---|
Überwachen Sie Ihre Domains automatisch
Sie haben gerade eine Nachricht von Hand ausgewertet. Ein kostenloses Konto sammelt täglich die DMARC-Berichte Ihrer Domain und weist auf Spoofing und Alignment-Abweichungen hin, damit Sie nicht mehr jeden Header einzeln prüfen müssen.
Was steht in einem E-Mail-Header?
Jede E-Mail besteht aus zwei Teilen: dem Text, den Sie lesen, und einem Stapel Header, die festhalten, wie die Nachricht aufgebaut wurde und wie sie unterwegs war. Diese Header sind das Protokoll der Nachricht, definiert in RFC 5322. Sie gliedern sich in drei Familien. Routing-Header (Received) protokollieren jeden Server, den die Nachricht passiert hat, der jüngste oben. Authentifizierungs-Header (Authentication-Results, DKIM-Signature, die ARC-*-Reihe) halten fest, was der empfangende Server geprüft und gefunden hat. Empfänger-Diagnose-Header wie der X-Forefront-Antispam-Report von Microsoft 365 protokollieren, was der eigene Filter des E-Mail-Anbieters beobachtet hat. Dieser Analyzer liest diese Header und erklärt sie Feld für Feld, in Ihrem Browser. Es wird nichts hochgeladen.
Wann lohnt es sich, einen E-Mail-Header zu prüfen?
Eine Nachricht wirkt verdächtig
Vergleichen Sie From, Reply-To, Return-Path und die DKIM-Signaturdomain. Passen sie nicht zusammen, verdient die Nachricht einen zweiten Blick, bevor jemand auf den Link darin klickt.
Eine legitime Nachricht landete im Spam-Ordner
Lesen Sie den Authentication-Results-Header des empfangenden Servers. Ist DMARC fehlgeschlagen, zeigen Hop-Trace und ARC-Kette oft, ob ein Weiterleiter das Alignment (die Übereinstimmung der Domains) zerstört hat.
Ein Admin bittet um Header
Microsoft-Support und Zustellbarkeits-Teams fragen regelmäßig nach rohen Headern. Im Analyzer eingefügt liefern sie Prüfergebnis, Hop-Timeline und die Entschlüsselung des X-Forefront-Antispam-Report an einer Stelle.
Was den Analyzer von DMARCTrust unterscheidet
Ehrlich bei der Verifizierung
Die meisten Tools geben SPF=pass / DKIM=pass aus, ohne zu nennen, wer das gemeldet hat. Wir kennzeichnen jedes Ergebnis mit seiner Quelle: laut Authentication-Results, Signatur vorhanden (nicht verifiziert) oder unbekannt.
Datenschutz, den Sie nachprüfen können
Das Parsen läuft in Ihrem Browser, der Analyzer lädt keine Header hoch. Öffnen Sie die DevTools und überzeugen Sie sich, bevor Sie etwas einfügen.
Phishing-Triage und M365-Decoder inklusive
Die Phishing-Triage-Karte und der Decoder für X-Forefront-Antispam-Report und X-Microsoft-Antispam sind von Anfang an dabei. Genau danach fragen Postfach-Admins am häufigsten.
So lesen Sie jeden Header
Das sind die Header, die Ihnen in einer typischen Nachricht begegnen, jeweils mit Erklärung, was er ist und wie Sie ihn lesen. Dieser Analyzer entschlüsselt unten die Routing-, Authentifizierungs- und Microsoft-365-Header. Den Rest zeigt er Ihnen in der Tabelle der rohen Header. Die empfangenden Server fügen diese Header beim Eintreffen der Nachricht hinzu, daher variieren Reihenfolge und exakte Schreibweise je nach Anbieter. Die RFC neben jedem Header ist die Spezifikation, die ihn definiert.
Received
RFC 5322
Jeder Received-Header protokolliert einen Hop, die Übergabe von einem Mailserver an den nächsten. Lesen Sie sie von unten nach oben: Der unterste ist der erste Server, der die Nachricht berührt hat, der oberste ist der Server, der sie Ihnen übergeben hat. Die Zeile hält fest, welcher Host sie gesendet hat (from), welcher Host sie empfangen hat (by), welches Protokoll verwendet wurde (with), und einen Zeitstempel. Eine große Lücke zwischen zwei Zeitstempeln deutet auf eine Warteschlangen-Verzögerung an diesem Hop hin.
Authentication-Results
RFC 8601
Der empfangende Server schreibt diesen Header, um festzuhalten, was seine eigenen Prüfungen ergeben haben. Er beginnt mit einer authserv-id (dem Namen des Servers, etwa mx.google.com) und listet dann jede Methode mit ihrem Ergebnis: spf=pass, dkim=pass, dmarc=pass. Jedes Ergebnis nennt die geprüfte Identität, geschrieben als ptype.property: smtp.mailfrom für SPF, header.d für die signierende DKIM-Domain, header.from für DMARC. Das ist der einzige Ort, an dem das SPF-, DKIM- und DMARC-Ergebnis tatsächlich steht. Der Analyzer zitiert es. Er führt die Prüfungen nicht erneut aus.
DKIM-Signature
RFC 6376
Der Absender fügt diesen Header hinzu und signiert einen Teil der Nachricht mit einem privaten Schlüssel. Der Empfänger verifiziert ihn gegen einen öffentlichen Schlüssel, der im DNS hinterlegt ist. Die maßgeblichen Tags: d= ist die signierende Domain, s= ist der Selektor (der öffentliche Schlüssel liegt damit unter s._domainkey.d), h= listet, welche Header die Signatur abdeckt, bh= ist der Hash des Texts und b= ist die Signatur selbst. Der Analyzer zeigt Ihnen die Tags. Die Signatur zu verifizieren erfordert eine DNS-Abfrage, die er nicht durchführt.
Received-SPF
RFC 7208
Ein lesbarer Vermerk, den manche Empfänger neben das SPF-Ergebnis setzen und der die verbindende IP (client-ip=) und den Envelope-Absender nennt, gegen den geprüft wurde. Behandeln Sie den spf=-Wert innerhalb von Authentication-Results als das maßgebliche Ergebnis. Received-SPF ist eine Komfort-Kopie.
ARC-Seal, ARC-Message-Signature, ARC-Authentication-Results
RFC 8617
Die Authenticated Received Chain (ARC) erlaubt es einem Weiterleiter, das gesehene Authentifizierungsergebnis festzuhalten, sodass ein späterer Empfänger Post noch vertrauen kann, deren SPF oder DKIM unterwegs zerbrochen ist. Jedes Glied trägt eine Instanznummer i= (1 für den ersten Hop, aufsteigend). Der ARC-Seal meldet einen Ketten-Gültigkeitswert cv=: none bedeutet, dies ist das erste Glied, pass bedeutet, die Kette hat bis hierher validiert, fail bedeutet, sie hat es nicht. Der Analyzer meldet das cv=, das jeder Seal angibt. Er validiert die Seals nicht selbst. Mehr zum DMARC-Alignment.
Return-Path, From, Reply-To, Sender
RFC 5322
Vier Adressen, die in der Regel übereinstimmen. From ist der Absender, den die Nachricht angibt, und die Identität, die DMARC beurteilt. Return-Path ist der Envelope-Absender, wohin Bounces gehen, und die Identität, die SPF beurteilt. Reply-To ist die Adresse, an die eine Antwort geht. Sender nennt, wer die Nachricht tatsächlich eingeliefert hat, wenn das von From abweicht. Zeigen diese Adressen auf zusammenhanglose Domains, kann das ein Zeichen für Spoofing sein. Die Phishing-Triage-Karte oben vergleicht sie für Sie. Mehr zum DMARC-Alignment.
Message-ID
RFC 5322
Eine weltweit eindeutige Kennung, die der sendende Server der Nachricht aufprägt. Ihr Domain-Teil passt in der Regel zum sendenden System, was eine schnelle Plausibilitätsprüfung ist, und es ist der Wert, nach dem Support-Teams fragen, um eine einzelne Nachricht durch die Protokolle zu verfolgen.
Date
RFC 5322
Der Zeitpunkt, zu dem die Nachricht verfasst wurde, wie ihn das System des Absenders gemeldet hat. Vergleichen Sie ihn mit den Zeitstempeln in den Received-Headern. Ein Date weit entfernt von der Zeit des ersten Hops kann auf eine falsch eingestellte Uhr oder eine wiederholte Nachricht hindeuten.
X-Forefront-Antispam-Report, X-Microsoft-Antispam
Microsoft 365
Microsoft 365 prägt diese Header eingehender Post auf, um festzuhalten, was sein Filter beobachtet hat: die verbindende IP und das Land, die Spam- und Bulk-Confidence-Level, das Filterergebnis und etwaige Sicherheitshinweise. Sie sind das Erste, was Sie lesen sollten, wenn legitime Post bei Microsoft 365 im Junk-Ordner landet. Die Codes werden im nächsten Abschnitt und in der Microsoft-365-Karte oben entschlüsselt.
So erhalten Sie die rohen Header aus Ihrem E-Mail-Programm
Jede Analyse beginnt mit den rohen Headern. Hier finden Sie sie in den gängigen E-Mail-Programmen. Kopieren Sie alles von der ersten Zeile bis zur Leerzeile vor dem Nachrichtentext, oder speichern Sie die Nachricht als .eml-Datei und ziehen Sie sie auf das Feld oben.
Gmail
Öffnen Sie die Nachricht, klicken Sie auf das Drei-Punkte-Menü neben dem Antwort-Pfeil und wählen Sie Original anzeigen. Gmail öffnet einen neuen Tab mit der vollständigen Quelle. Klicken Sie auf In die Zwischenablage kopieren, oder klicken Sie auf Original herunterladen, um die .eml-Datei zu speichern und auf den Analyzer zu ziehen.
Outlook im Web
Öffnen Sie die Nachricht, klicken Sie oben auf das Drei-Punkte-Menü, wählen Sie Anzeigen und dann Nachrichtenquelle anzeigen. Markieren Sie den gesamten Text und kopieren Sie ihn.
Klassisches Outlook für Windows
Öffnen Sie die Nachricht per Doppelklick in einem eigenen Fenster, wählen Sie dann Datei und anschließend Eigenschaften. Die Header stehen unten im Feld Internetkopfzeilen. Alles markieren und kopieren.
Neues Outlook und Outlook für Mac
Öffnen Sie die Nachricht, klicken Sie auf das Drei-Punkte-Menü und wählen Sie Anzeigen und dann Quelle anzeigen. Kopieren Sie den erscheinenden Text.
Apple Mail
Öffnen Sie die Nachricht und wählen Sie in der Menüleiste Darstellung, dann E-Mail und dann Alle Header. Sie können auch Umschalt-Cmd-H drücken. Die vollständigen Header erscheinen über dem Nachrichtentext.
Mozilla Thunderbird
Öffnen Sie die Nachricht und wählen Sie in der Menüleiste Ansicht, dann Kopfzeilen und dann Alle. Oder speichern Sie die Nachricht über Datei und dann Speichern unter und ziehen Sie die .eml-Datei auf den Analyzer.
Die Microsoft-365-Anti-Spam-Codes lesen
Wenn Post durch Microsoft 365 läuft, prägt Exchange Online Protection den Headern X-Forefront-Antispam-Report und X-Microsoft-Antispam seine Filterentscheidung auf. Die Codes sind dokumentiert, aber knapp. Hier steht, was die gängigen bedeuten. Der Analyzer entschlüsselt sie für Sie in der Microsoft-365-Karte oben; diese Tabelle ist eine Referenz, um sie von Hand zu lesen.
| Code | Was er bedeutet |
|---|---|
SCL |
Spam Confidence Level, von -1 bis 9. -1 bedeutet, dass die Filterung übersprungen wurde (ein sicherer Absender oder eine Mail-Flow-Regel). 0 bis 4 gilt als kein Spam. 5 bis 6 ist Spam. 7 bis 9 ist Spam mit hoher Konfidenz. Eine Nachricht mit 5 oder höher landet in der Regel im Junk-Ordner. |
BCL |
Bulk Complaint Level, von 0 bis 9. 0 bedeutet, die Nachricht ist kein Bulk. 4 und höher gilt standardmäßig als Bulk. 7 und höher ist Bulk mit hoher Konfidenz. Ein hoher BCL ist der übliche Grund, warum ein legitimer Newsletter gefiltert wird. |
SFV |
Spam Filter Verdict, der Grund für die Entscheidung. NSPM kein Spam, SPM Spam, SKN übersprungen, weil die Quelle vertrauenswürdig ist, SKS Absender auf Zulassungsliste, SKB durch eine Mandantenrichtlinie blockiert, SKQ in Quarantäne, BLK blockierter Absender. |
CIP |
Connecting IP, der Host, der die SMTP-Sitzung zu Microsoft 365 geöffnet hat. Das ist die IP, gegen die SPF und die IP-Reputation ausgewertet wurden. |
CTRY |
Land der verbindenden IP, als ISO-3166-1-Code mit zwei Buchstaben, wie Microsoft sie geolokalisiert hat. |
SFTY |
Sicherheitscode für den Sicherheitshinweis, den Microsoft angehängt hat. Zum Beispiel kennzeichnet 9.19 einen Phishing-Hinweis und 9.20 einen Identitätsfälschungs-Hinweis. |
IPV |
Ergebnis der IP-Reputation. NLI bedeutet, die IP steht auf keiner Reputationsliste. CAL bedeutet, sie steht auf einer Verbindungs-Zulassungsliste. |
H |
Der HELO- oder EHLO-Name, den der sendende Server bei der Verbindung präsentiert hat. |
PTR |
Der Reverse-DNS-Eintrag (PTR) der verbindenden IP zum Zeitpunkt der Zustellung. |
SRV |
Service-Tag. BULK kennzeichnet die Nachricht als Bulk; BULK;OL kombiniert Bulk mit einem Ausgangs-Flag. |
Microsoft überarbeitet diese Header von Zeit zu Zeit. Die vollständige aktuelle Liste finden Sie in der Microsoft-Dokumentation zu den Anti-Spam-Nachrichtenheadern.
Häufige Fragen
Lädt dieses Tool meine Header hoch?
Nein. Der Analyzer lädt Ihre Header nicht hoch, das Parsen läuft vollständig in Ihrem Browser. Öffnen Sie die DevTools und beobachten Sie den Netzwerk-Tab, während Sie auf Analysieren klicken: Keine Anfrage enthält Ihren Header-Text. Die Seite selbst lädt die üblichen Site-Skripte (Analytics, Chat), bevor Sie etwas einfügen; diese Skripte sehen den Inhalt Ihrer Header nie.
Werden SPF, DKIM, DMARC und ARC unabhängig verifiziert?
Nein. Das Tool gibt wieder, was laut Authentication-Results-Header der empfangende Server verifiziert hat. Um eine DKIM-Signatur neu zu prüfen oder eine veröffentlichte DMARC-Richtlinie nachzuschlagen, wären DNS-Abfragen nötig, und damit wäre die Datenschutzzusage hinfällig. Jedes Ergebnis trägt seine Herkunft: laut Authentication-Results, Signatur vorhanden (nicht verifiziert) oder unbekannt.
Wie zeige ich Header in Gmail an?
Öffnen Sie die Nachricht, klicken Sie oben rechts auf das Drei-Punkte-Menü und wählen Sie Original anzeigen. Gmail öffnet einen neuen Tab mit der vollständigen Quelle. Kopieren Sie alles oberhalb der ersten Leerzeile, oder klicken Sie auf Original herunterladen, um die .eml-Datei zu speichern.
Wie zeige ich Header in Outlook an?
Outlook im Web: Nachricht öffnen, auf das Drei-Punkte-Menü klicken, Anzeigen wählen und dann Nachrichtenquelle anzeigen. Klassisches Outlook für Windows: Nachricht in einem eigenen Fenster öffnen, Datei > Eigenschaften wählen und das Feld Internetkopfzeilen kopieren. Neues Outlook und Outlook für Mac: Nachricht öffnen, auf das Drei-Punkte-Menü klicken und Quelle anzeigen wählen.
Wie zeige ich Header in Apple Mail an?
Öffnen Sie die Nachricht und wählen Sie in der Menüleiste Darstellung > E-Mail > Alle Header (oder drücken Sie Umschalt+Cmd+H). Die vollständigen Header erscheinen über dem Nachrichtentext.
Wie zeige ich Header in Thunderbird an?
Öffnen Sie die Nachricht und wählen Sie in der Menüleiste Ansicht > Kopfzeilen > Alle. Sie können die Nachricht auch über Datei > Speichern unter als .eml speichern und die Datei auf den Analyzer ziehen.
Was bedeutet X-Forefront-Antispam-Report?
Das ist ein Header von Microsoft 365, der festhält, was der Filter beim Empfang beobachtet hat. Der Analyzer entschlüsselt die enthaltenen Codes: CIP (verbindende IP), CTRY (Land), SCL (Spam Confidence Level, -1 bis 9), BCL (Bulk Complaint Level 0-9), SFV (Ergebnis des Spam-Filters), SFTY (Phishing-Sicherheitshinweis), IPV (Status der IP-Zulassungsliste) und die Override-Flags SOR / SOT / SOI. Jede Zeile im M365-Abschnitt zeigt den Rohwert und erklärt ihn in verständlichem Deutsch.
Ist es sicher, einen sensiblen Produktions-Header einzufügen?
Das Parsen passiert lokal, der Analyzer versendet Ihren Header-Text also nicht. Verbietet Ihre Organisation, Produktionsdaten in fremde Webseiten einzufügen, halten Sie sich an diese Vorgabe. Sie ist die sicherere Regel, und die Datenschutzzusage lässt sich trotzdem überprüfen: DevTools öffnen und beim Klick auf Analysieren den Netzwerk-Tab beobachten.
Lässt sich am Header erkennen, ob eine E-Mail gefälscht ist?
Oft, aber nicht immer mit Sicherheit. Der Header zeigt Anzeichen, keinen Beweis. Das stärkste Signal ist ein DMARC-Fehlschlag im Authentication-Results-Header: Die From-Domain hat sich nicht authentifiziert. Die Phishing-Triage-Karte liefert weitere Hinweise: ein Anzeigename in From, der eine Marke nennt, zu der die Adresse nicht passt, oder ein Reply-To und ein Return-Path auf zusammenhanglosen Domains. Jeder einzelne dieser Hinweise verdient einen zweiten Blick. Keiner allein beweist, dass die Nachricht bösartig ist, und eine gut gebaute Phishing-Nachricht kann die einfachen Prüfungen trotzdem bestehen. Behandeln Sie den Header daher als einen Anhaltspunkt, nicht als endgültiges Ergebnis. DMARC besteht, aber das Spoofing geht weiter.
Warum zeigt meine legitime E-Mail DMARC=fail?
Fast immer wegen des Alignments, nicht weil die Nachricht gefälscht ist. DMARC besteht nur, wenn SPF oder DKIM eine Domain authentifiziert, die zur From-Domain passt. Wenn Sie über einen Drittanbieter versenden (eine Marketing-Plattform, ein Helpdesk, ein Lohnabrechnungs-Tool) und Ihre eigene Domain dort nicht eingerichtet haben, besteht SPF für die Domain des Anbieters und DKIM signiert mit der Domain des Anbieters, sodass keines mit Ihrem From übereinstimmt. Ein Weiterleiter bricht das Alignment auf dieselbe Weise. Lesen Sie hier den Authentication-Results-Header und die Phishing-Triage-Karte, um zu sehen, welche Identität sich nicht ausrichten ließ, und korrigieren Sie das anschließend im sendenden Dienst. Post des Anbieters scheitert an DMARC: Lösungen je Anbieter.
Bedeutet ein bestandenes DMARC, dass die E-Mail sicher ist?
Nein. Ein bestandenes DMARC sagt Ihnen eines: Die Nachricht stammt tatsächlich von der Domain in der From-Adresse und wurde nicht gefälscht. Es sagt nichts darüber aus, ob diese Domain vertrauenswürdig ist oder ob der Inhalt sicher ist. Ein Angreifer, der eine Domain kontrolliert oder eine ähnlich aussehende Domain registriert hat, kann Post versenden, die DMARC für diese Domain besteht. Die Authentifizierung beantwortet „Kommt das wirklich von dieser Domain?“, nicht „Sollte ich dieser Domain vertrauen?“. Nehmen Sie das bestandene Ergebnis als Ausgangspunkt und beurteilen Sie Absender und Inhalt anschließend für sich.
Sie wollen kontinuierliches DMARC-Monitoring?
Eine einzelne Header-Prüfung zeigt, was mit einer Nachricht passiert ist. DMARCTrust wertet Ihre aggregierten Berichte täglich aus und meldet gefälschte Absender, verlorenes Alignment und DNS-Änderungen über alle Ihre Domains hinweg.
Sie wollen kontinuierliche Überwachung?
Inbox Inspector prüft das tatsächliche Authentifizierungsergebnis jeder Kampagne, die Ihre Domain versendet. Hinterlegen Sie eine Adresse in Ihrem Versandtool und wir zeigen Ihnen, welche Kampagnen die DMARC-Prüfung bestehen.
Preise ansehen →Schluss damit, Header einzeln auszuwerten
DMARCTrust verarbeitet Ihre aggregierten DMARC-Berichte täglich, verfolgt jeden Absender und meldet sich, sobald sich etwas ändert.