Kostenloses Tool

E-Mail-Header-Analyzer

Folgen Sie jedem Hop und lesen Sie das SPF / DKIM / DMARC-Ergebnis des empfangenden Mailservers. Ihre Header bleiben in Ihrem Browser: Die Verarbeitung läuft lokal, wir laden nichts hoch.

Oder legen Sie hier eine .eml-Datei ab (bis 10 MB)

Was steht in einem E-Mail-Header?

Jede E-Mail besteht aus zwei Teilen: dem Text, den Sie lesen, und einem Stapel Header, die festhalten, wie die Nachricht aufgebaut wurde und wie sie unterwegs war. Diese Header sind das Protokoll der Nachricht, definiert in RFC 5322. Sie gliedern sich in drei Familien. Routing-Header (Received) protokollieren jeden Server, den die Nachricht passiert hat, der jüngste oben. Authentifizierungs-Header (Authentication-Results, DKIM-Signature, die ARC-*-Reihe) halten fest, was der empfangende Server geprüft und gefunden hat. Empfänger-Diagnose-Header wie der X-Forefront-Antispam-Report von Microsoft 365 protokollieren, was der eigene Filter des E-Mail-Anbieters beobachtet hat. Dieser Analyzer liest diese Header und erklärt sie Feld für Feld, in Ihrem Browser. Es wird nichts hochgeladen.

Wann lohnt es sich, einen E-Mail-Header zu prüfen?

Eine Nachricht wirkt verdächtig

Vergleichen Sie From, Reply-To, Return-Path und die DKIM-Signaturdomain. Passen sie nicht zusammen, verdient die Nachricht einen zweiten Blick, bevor jemand auf den Link darin klickt.

Eine legitime Nachricht landete im Spam-Ordner

Lesen Sie den Authentication-Results-Header des empfangenden Servers. Ist DMARC fehlgeschlagen, zeigen Hop-Trace und ARC-Kette oft, ob ein Weiterleiter das Alignment (die Übereinstimmung der Domains) zerstört hat.

Ein Admin bittet um Header

Microsoft-Support und Zustellbarkeits-Teams fragen regelmäßig nach rohen Headern. Im Analyzer eingefügt liefern sie Prüfergebnis, Hop-Timeline und die Entschlüsselung des X-Forefront-Antispam-Report an einer Stelle.

Was den Analyzer von DMARCTrust unterscheidet

Ehrlich bei der Verifizierung

Die meisten Tools geben SPF=pass / DKIM=pass aus, ohne zu nennen, wer das gemeldet hat. Wir kennzeichnen jedes Ergebnis mit seiner Quelle: laut Authentication-Results, Signatur vorhanden (nicht verifiziert) oder unbekannt.

Datenschutz, den Sie nachprüfen können

Das Parsen läuft in Ihrem Browser, der Analyzer lädt keine Header hoch. Öffnen Sie die DevTools und überzeugen Sie sich, bevor Sie etwas einfügen.

Phishing-Triage und M365-Decoder inklusive

Die Phishing-Triage-Karte und der Decoder für X-Forefront-Antispam-Report und X-Microsoft-Antispam sind von Anfang an dabei. Genau danach fragen Postfach-Admins am häufigsten.

So lesen Sie jeden Header

Das sind die Header, die Ihnen in einer typischen Nachricht begegnen, jeweils mit Erklärung, was er ist und wie Sie ihn lesen. Dieser Analyzer entschlüsselt unten die Routing-, Authentifizierungs- und Microsoft-365-Header. Den Rest zeigt er Ihnen in der Tabelle der rohen Header. Die empfangenden Server fügen diese Header beim Eintreffen der Nachricht hinzu, daher variieren Reihenfolge und exakte Schreibweise je nach Anbieter. Die RFC neben jedem Header ist die Spezifikation, die ihn definiert.

Received RFC 5322

Jeder Received-Header protokolliert einen Hop, die Übergabe von einem Mailserver an den nächsten. Lesen Sie sie von unten nach oben: Der unterste ist der erste Server, der die Nachricht berührt hat, der oberste ist der Server, der sie Ihnen übergeben hat. Die Zeile hält fest, welcher Host sie gesendet hat (from), welcher Host sie empfangen hat (by), welches Protokoll verwendet wurde (with), und einen Zeitstempel. Eine große Lücke zwischen zwei Zeitstempeln deutet auf eine Warteschlangen-Verzögerung an diesem Hop hin.

Authentication-Results RFC 8601

Der empfangende Server schreibt diesen Header, um festzuhalten, was seine eigenen Prüfungen ergeben haben. Er beginnt mit einer authserv-id (dem Namen des Servers, etwa mx.google.com) und listet dann jede Methode mit ihrem Ergebnis: spf=pass, dkim=pass, dmarc=pass. Jedes Ergebnis nennt die geprüfte Identität, geschrieben als ptype.property: smtp.mailfrom für SPF, header.d für die signierende DKIM-Domain, header.from für DMARC. Das ist der einzige Ort, an dem das SPF-, DKIM- und DMARC-Ergebnis tatsächlich steht. Der Analyzer zitiert es. Er führt die Prüfungen nicht erneut aus.

DKIM-Signature RFC 6376

Der Absender fügt diesen Header hinzu und signiert einen Teil der Nachricht mit einem privaten Schlüssel. Der Empfänger verifiziert ihn gegen einen öffentlichen Schlüssel, der im DNS hinterlegt ist. Die maßgeblichen Tags: d= ist die signierende Domain, s= ist der Selektor (der öffentliche Schlüssel liegt damit unter s._domainkey.d), h= listet, welche Header die Signatur abdeckt, bh= ist der Hash des Texts und b= ist die Signatur selbst. Der Analyzer zeigt Ihnen die Tags. Die Signatur zu verifizieren erfordert eine DNS-Abfrage, die er nicht durchführt.

Received-SPF RFC 7208

Ein lesbarer Vermerk, den manche Empfänger neben das SPF-Ergebnis setzen und der die verbindende IP (client-ip=) und den Envelope-Absender nennt, gegen den geprüft wurde. Behandeln Sie den spf=-Wert innerhalb von Authentication-Results als das maßgebliche Ergebnis. Received-SPF ist eine Komfort-Kopie.

ARC-Seal, ARC-Message-Signature, ARC-Authentication-Results RFC 8617

Die Authenticated Received Chain (ARC) erlaubt es einem Weiterleiter, das gesehene Authentifizierungsergebnis festzuhalten, sodass ein späterer Empfänger Post noch vertrauen kann, deren SPF oder DKIM unterwegs zerbrochen ist. Jedes Glied trägt eine Instanznummer i= (1 für den ersten Hop, aufsteigend). Der ARC-Seal meldet einen Ketten-Gültigkeitswert cv=: none bedeutet, dies ist das erste Glied, pass bedeutet, die Kette hat bis hierher validiert, fail bedeutet, sie hat es nicht. Der Analyzer meldet das cv=, das jeder Seal angibt. Er validiert die Seals nicht selbst. Mehr zum DMARC-Alignment.

Return-Path, From, Reply-To, Sender RFC 5322

Vier Adressen, die in der Regel übereinstimmen. From ist der Absender, den die Nachricht angibt, und die Identität, die DMARC beurteilt. Return-Path ist der Envelope-Absender, wohin Bounces gehen, und die Identität, die SPF beurteilt. Reply-To ist die Adresse, an die eine Antwort geht. Sender nennt, wer die Nachricht tatsächlich eingeliefert hat, wenn das von From abweicht. Zeigen diese Adressen auf zusammenhanglose Domains, kann das ein Zeichen für Spoofing sein. Die Phishing-Triage-Karte oben vergleicht sie für Sie. Mehr zum DMARC-Alignment.

Message-ID RFC 5322

Eine weltweit eindeutige Kennung, die der sendende Server der Nachricht aufprägt. Ihr Domain-Teil passt in der Regel zum sendenden System, was eine schnelle Plausibilitätsprüfung ist, und es ist der Wert, nach dem Support-Teams fragen, um eine einzelne Nachricht durch die Protokolle zu verfolgen.

Date RFC 5322

Der Zeitpunkt, zu dem die Nachricht verfasst wurde, wie ihn das System des Absenders gemeldet hat. Vergleichen Sie ihn mit den Zeitstempeln in den Received-Headern. Ein Date weit entfernt von der Zeit des ersten Hops kann auf eine falsch eingestellte Uhr oder eine wiederholte Nachricht hindeuten.

X-Forefront-Antispam-Report, X-Microsoft-Antispam Microsoft 365

Microsoft 365 prägt diese Header eingehender Post auf, um festzuhalten, was sein Filter beobachtet hat: die verbindende IP und das Land, die Spam- und Bulk-Confidence-Level, das Filterergebnis und etwaige Sicherheitshinweise. Sie sind das Erste, was Sie lesen sollten, wenn legitime Post bei Microsoft 365 im Junk-Ordner landet. Die Codes werden im nächsten Abschnitt und in der Microsoft-365-Karte oben entschlüsselt.

So erhalten Sie die rohen Header aus Ihrem E-Mail-Programm

Jede Analyse beginnt mit den rohen Headern. Hier finden Sie sie in den gängigen E-Mail-Programmen. Kopieren Sie alles von der ersten Zeile bis zur Leerzeile vor dem Nachrichtentext, oder speichern Sie die Nachricht als .eml-Datei und ziehen Sie sie auf das Feld oben.

Gmail

Öffnen Sie die Nachricht, klicken Sie auf das Drei-Punkte-Menü neben dem Antwort-Pfeil und wählen Sie Original anzeigen. Gmail öffnet einen neuen Tab mit der vollständigen Quelle. Klicken Sie auf In die Zwischenablage kopieren, oder klicken Sie auf Original herunterladen, um die .eml-Datei zu speichern und auf den Analyzer zu ziehen.

Outlook im Web

Öffnen Sie die Nachricht, klicken Sie oben auf das Drei-Punkte-Menü, wählen Sie Anzeigen und dann Nachrichtenquelle anzeigen. Markieren Sie den gesamten Text und kopieren Sie ihn.

Klassisches Outlook für Windows

Öffnen Sie die Nachricht per Doppelklick in einem eigenen Fenster, wählen Sie dann Datei und anschließend Eigenschaften. Die Header stehen unten im Feld Internetkopfzeilen. Alles markieren und kopieren.

Neues Outlook und Outlook für Mac

Öffnen Sie die Nachricht, klicken Sie auf das Drei-Punkte-Menü und wählen Sie Anzeigen und dann Quelle anzeigen. Kopieren Sie den erscheinenden Text.

Apple Mail

Öffnen Sie die Nachricht und wählen Sie in der Menüleiste Darstellung, dann E-Mail und dann Alle Header. Sie können auch Umschalt-Cmd-H drücken. Die vollständigen Header erscheinen über dem Nachrichtentext.

Mozilla Thunderbird

Öffnen Sie die Nachricht und wählen Sie in der Menüleiste Ansicht, dann Kopfzeilen und dann Alle. Oder speichern Sie die Nachricht über Datei und dann Speichern unter und ziehen Sie die .eml-Datei auf den Analyzer.

Die Microsoft-365-Anti-Spam-Codes lesen

Wenn Post durch Microsoft 365 läuft, prägt Exchange Online Protection den Headern X-Forefront-Antispam-Report und X-Microsoft-Antispam seine Filterentscheidung auf. Die Codes sind dokumentiert, aber knapp. Hier steht, was die gängigen bedeuten. Der Analyzer entschlüsselt sie für Sie in der Microsoft-365-Karte oben; diese Tabelle ist eine Referenz, um sie von Hand zu lesen.

Code Was er bedeutet
SCL Spam Confidence Level, von -1 bis 9. -1 bedeutet, dass die Filterung übersprungen wurde (ein sicherer Absender oder eine Mail-Flow-Regel). 0 bis 4 gilt als kein Spam. 5 bis 6 ist Spam. 7 bis 9 ist Spam mit hoher Konfidenz. Eine Nachricht mit 5 oder höher landet in der Regel im Junk-Ordner.
BCL Bulk Complaint Level, von 0 bis 9. 0 bedeutet, die Nachricht ist kein Bulk. 4 und höher gilt standardmäßig als Bulk. 7 und höher ist Bulk mit hoher Konfidenz. Ein hoher BCL ist der übliche Grund, warum ein legitimer Newsletter gefiltert wird.
SFV Spam Filter Verdict, der Grund für die Entscheidung. NSPM kein Spam, SPM Spam, SKN übersprungen, weil die Quelle vertrauenswürdig ist, SKS Absender auf Zulassungsliste, SKB durch eine Mandantenrichtlinie blockiert, SKQ in Quarantäne, BLK blockierter Absender.
CIP Connecting IP, der Host, der die SMTP-Sitzung zu Microsoft 365 geöffnet hat. Das ist die IP, gegen die SPF und die IP-Reputation ausgewertet wurden.
CTRY Land der verbindenden IP, als ISO-3166-1-Code mit zwei Buchstaben, wie Microsoft sie geolokalisiert hat.
SFTY Sicherheitscode für den Sicherheitshinweis, den Microsoft angehängt hat. Zum Beispiel kennzeichnet 9.19 einen Phishing-Hinweis und 9.20 einen Identitätsfälschungs-Hinweis.
IPV Ergebnis der IP-Reputation. NLI bedeutet, die IP steht auf keiner Reputationsliste. CAL bedeutet, sie steht auf einer Verbindungs-Zulassungsliste.
H Der HELO- oder EHLO-Name, den der sendende Server bei der Verbindung präsentiert hat.
PTR Der Reverse-DNS-Eintrag (PTR) der verbindenden IP zum Zeitpunkt der Zustellung.
SRV Service-Tag. BULK kennzeichnet die Nachricht als Bulk; BULK;OL kombiniert Bulk mit einem Ausgangs-Flag.

Microsoft überarbeitet diese Header von Zeit zu Zeit. Die vollständige aktuelle Liste finden Sie in der Microsoft-Dokumentation zu den Anti-Spam-Nachrichtenheadern.

Häufige Fragen

Lädt dieses Tool meine Header hoch?

Nein. Der Analyzer lädt Ihre Header nicht hoch, das Parsen läuft vollständig in Ihrem Browser. Öffnen Sie die DevTools und beobachten Sie den Netzwerk-Tab, während Sie auf Analysieren klicken: Keine Anfrage enthält Ihren Header-Text. Die Seite selbst lädt die üblichen Site-Skripte (Analytics, Chat), bevor Sie etwas einfügen; diese Skripte sehen den Inhalt Ihrer Header nie.

Werden SPF, DKIM, DMARC und ARC unabhängig verifiziert?

Nein. Das Tool gibt wieder, was laut Authentication-Results-Header der empfangende Server verifiziert hat. Um eine DKIM-Signatur neu zu prüfen oder eine veröffentlichte DMARC-Richtlinie nachzuschlagen, wären DNS-Abfragen nötig, und damit wäre die Datenschutzzusage hinfällig. Jedes Ergebnis trägt seine Herkunft: laut Authentication-Results, Signatur vorhanden (nicht verifiziert) oder unbekannt.

Wie zeige ich Header in Gmail an?

Öffnen Sie die Nachricht, klicken Sie oben rechts auf das Drei-Punkte-Menü und wählen Sie Original anzeigen. Gmail öffnet einen neuen Tab mit der vollständigen Quelle. Kopieren Sie alles oberhalb der ersten Leerzeile, oder klicken Sie auf Original herunterladen, um die .eml-Datei zu speichern.

Wie zeige ich Header in Outlook an?

Outlook im Web: Nachricht öffnen, auf das Drei-Punkte-Menü klicken, Anzeigen wählen und dann Nachrichtenquelle anzeigen. Klassisches Outlook für Windows: Nachricht in einem eigenen Fenster öffnen, Datei > Eigenschaften wählen und das Feld Internetkopfzeilen kopieren. Neues Outlook und Outlook für Mac: Nachricht öffnen, auf das Drei-Punkte-Menü klicken und Quelle anzeigen wählen.

Wie zeige ich Header in Apple Mail an?

Öffnen Sie die Nachricht und wählen Sie in der Menüleiste Darstellung > E-Mail > Alle Header (oder drücken Sie Umschalt+Cmd+H). Die vollständigen Header erscheinen über dem Nachrichtentext.

Wie zeige ich Header in Thunderbird an?

Öffnen Sie die Nachricht und wählen Sie in der Menüleiste Ansicht > Kopfzeilen > Alle. Sie können die Nachricht auch über Datei > Speichern unter als .eml speichern und die Datei auf den Analyzer ziehen.

Was bedeutet X-Forefront-Antispam-Report?

Das ist ein Header von Microsoft 365, der festhält, was der Filter beim Empfang beobachtet hat. Der Analyzer entschlüsselt die enthaltenen Codes: CIP (verbindende IP), CTRY (Land), SCL (Spam Confidence Level, -1 bis 9), BCL (Bulk Complaint Level 0-9), SFV (Ergebnis des Spam-Filters), SFTY (Phishing-Sicherheitshinweis), IPV (Status der IP-Zulassungsliste) und die Override-Flags SOR / SOT / SOI. Jede Zeile im M365-Abschnitt zeigt den Rohwert und erklärt ihn in verständlichem Deutsch.

Ist es sicher, einen sensiblen Produktions-Header einzufügen?

Das Parsen passiert lokal, der Analyzer versendet Ihren Header-Text also nicht. Verbietet Ihre Organisation, Produktionsdaten in fremde Webseiten einzufügen, halten Sie sich an diese Vorgabe. Sie ist die sicherere Regel, und die Datenschutzzusage lässt sich trotzdem überprüfen: DevTools öffnen und beim Klick auf Analysieren den Netzwerk-Tab beobachten.

Lässt sich am Header erkennen, ob eine E-Mail gefälscht ist?

Oft, aber nicht immer mit Sicherheit. Der Header zeigt Anzeichen, keinen Beweis. Das stärkste Signal ist ein DMARC-Fehlschlag im Authentication-Results-Header: Die From-Domain hat sich nicht authentifiziert. Die Phishing-Triage-Karte liefert weitere Hinweise: ein Anzeigename in From, der eine Marke nennt, zu der die Adresse nicht passt, oder ein Reply-To und ein Return-Path auf zusammenhanglosen Domains. Jeder einzelne dieser Hinweise verdient einen zweiten Blick. Keiner allein beweist, dass die Nachricht bösartig ist, und eine gut gebaute Phishing-Nachricht kann die einfachen Prüfungen trotzdem bestehen. Behandeln Sie den Header daher als einen Anhaltspunkt, nicht als endgültiges Ergebnis. DMARC besteht, aber das Spoofing geht weiter.

Warum zeigt meine legitime E-Mail DMARC=fail?

Fast immer wegen des Alignments, nicht weil die Nachricht gefälscht ist. DMARC besteht nur, wenn SPF oder DKIM eine Domain authentifiziert, die zur From-Domain passt. Wenn Sie über einen Drittanbieter versenden (eine Marketing-Plattform, ein Helpdesk, ein Lohnabrechnungs-Tool) und Ihre eigene Domain dort nicht eingerichtet haben, besteht SPF für die Domain des Anbieters und DKIM signiert mit der Domain des Anbieters, sodass keines mit Ihrem From übereinstimmt. Ein Weiterleiter bricht das Alignment auf dieselbe Weise. Lesen Sie hier den Authentication-Results-Header und die Phishing-Triage-Karte, um zu sehen, welche Identität sich nicht ausrichten ließ, und korrigieren Sie das anschließend im sendenden Dienst. Post des Anbieters scheitert an DMARC: Lösungen je Anbieter.

Bedeutet ein bestandenes DMARC, dass die E-Mail sicher ist?

Nein. Ein bestandenes DMARC sagt Ihnen eines: Die Nachricht stammt tatsächlich von der Domain in der From-Adresse und wurde nicht gefälscht. Es sagt nichts darüber aus, ob diese Domain vertrauenswürdig ist oder ob der Inhalt sicher ist. Ein Angreifer, der eine Domain kontrolliert oder eine ähnlich aussehende Domain registriert hat, kann Post versenden, die DMARC für diese Domain besteht. Die Authentifizierung beantwortet „Kommt das wirklich von dieser Domain?“, nicht „Sollte ich dieser Domain vertrauen?“. Nehmen Sie das bestandene Ergebnis als Ausgangspunkt und beurteilen Sie Absender und Inhalt anschließend für sich.

Sie wollen kontinuierliches DMARC-Monitoring?

Eine einzelne Header-Prüfung zeigt, was mit einer Nachricht passiert ist. DMARCTrust wertet Ihre aggregierten Berichte täglich aus und meldet gefälschte Absender, verlorenes Alignment und DNS-Änderungen über alle Ihre Domains hinweg.

Sie wollen kontinuierliche Überwachung?

Inbox Inspector prüft das tatsächliche Authentifizierungsergebnis jeder Kampagne, die Ihre Domain versendet. Hinterlegen Sie eine Adresse in Ihrem Versandtool und wir zeigen Ihnen, welche Kampagnen die DMARC-Prüfung bestehen.

Preise ansehen →

Schluss damit, Header einzeln auszuwerten

DMARCTrust verarbeitet Ihre aggregierten DMARC-Berichte täglich, verfolgt jeden Absender und meldet sich, sobald sich etwas ändert.