Frederic Noppe - COO
Frederic Noppe
COO
9.9.2023

Wie erkennt man Phishing-Angriffe? E-Mail Header Überprüfung

Bonn, 9.9.20231 Minuten Lesezeit
Wie erkennt man Phishing-Angriffe? E-Mail Header Überprüfung

In der heutigen digitalen Arbeitswelt ist es unerlässlich, sich gegen Cyberangriffe zu schützen. Eine gängige Angriffsmethode von Cyberkriminellen ist Phishing. Hier geben sich Angreifer als vertrauenswürdiger Kommunikationspartner oder Institution aus, um persönliche Informationen, wie Passwörter und Kreditkartendaten, zu stehlen. Eine effektive Methode, um solche Angriffe zu vermeiden, besteht darin, die E-Mail Header auszulesen. Die E-Mail Header enthalten eine Fülle von Informationen, die Aufschluss darüber geben können, ob eine E-Mail echt ist oder nicht. In diesem Beitrag erhalten Sie eine Schritt-für-Schritt-Anleitung wie sie ohne große technische Vorkenntnisse E-Mail-Header überprüfen können.

Was ist ein E-Mail Header und was hat er mit Phishing zu tun?

Bevor wir in die Anleitung einsteigen, ist es wichtig zu verstehen, was ein E-Mail Header ist. Die E-Mail Header enthalten technische Informationen über die E-Mail. Hierzu gehören unter anderem: Absender der E-Mail, der Empfängerr, die IP-Adressen der verwendeten Mailserver, Datum und Zeitangaben, wann die E-Mail gesendet wurde, und vieles mehr. Diese Informationen können dabei helfen zu identifizieren, ob es sich bei einer E-Mail um eine Phishing-Mail handelt.

Schritt-für-Schritt-Anleitung (am Beispiel von Gmail) zum Auslesen von E-Mail Headern

Schritt 1: E-Mail öffnen

Öffnen Sie die E-Mail, die Sie überprüfen möchten, und klicken Sie auf die drei kleinen Punkten am rechten oberen Rand der Mail oder eine ähnliche Option. Im Anschluss klicken Sie auf „Original anzeigen“ oder „Header anzeigen“. Diese Option variiert je nach E-Mail-Dienst (wie z. B. Gmail, Yahoo, Outlook etc.).

Screenshot einer E-Mail-Option in einem Online-Mail-Client, die zeigt, wie man das Original einer Nachricht anzeigen lassen kann, markiert mit einem Kreis.Schritt 2: Header anzeigen

Die Originalnachricht oder Quelltext sind der Code, der der Nachricht zugrunde liegt. Dieser enthält, wie bereits beschreiben, alle Informationen über den Absender, den Empfänger, den Server und den Weg, den die E-Mail genommen hat. Bei Gmail können Sie die Originalnachricht ganz einfach per Mausklick in die Zwischenablage kopieren.

E-Mail-Header-Details mit SPF-, DKIM- und DMARC-Authentifizierungsergebnissen und der Option zum Kopieren der Originalnachricht.Schritt 3: Informationen überprüfen

In Google stellt in seiner Admin-Toolbox ein Werkzeug zur Headerüberprüfung namens “Messageheader” oder auf deutsch “Nachrichtenheader” bereit. Dort können Sie den Originaltext der E-Mail aus Ihrer Zwischenablage hineinkopieren. Info: Da E-Mail Header standardisiert sind, kann das Google Tool kann auch die E-Mail Header anderer Mailprovider analysieren, also immer zur Analyse genutzt werden.

Screenshot der Google Admin Toolbox Nachrichtenheader-Analyse mit hervorgehobener Option zur Analyse des E-Mail-Headers.Klicken Sie im Anschluss auf “Header oben analysieren”. Als Ergebnis erhalten Sie die Header-Analyse im folgenden Format:

Screenshot der Nachrichtenheader-Analyse in der Google Admin Toolbox mit Details zu SPF, DKIM und DMARC Authentifizierungen.

Überprüfen Sie die folgenden Informationen im Header:

Absenderadresse: Die Mailadresse im Feld “From” sollte zu dem erwarteten Absender gehören. Achten Sie hier besonders auf die Schreibweise. Häufig werden Buchstaben durch Zahlen ersetzt z. B. ein kleines L durch eine 1 (l → 1). Schwerer zu entdecken sind Unterschiede wie etwa der Tausch der Buchstaben durch Buchstaben aus anderen Alphabeten wie etwa dem kyrillischen (a → а). Solch ein Unterschied ist nur schwer zu entdecken. Zudem können Angreifer, das Feld “From” fälschen. Aus diesem Grund sollten immer mehrere Header-Details überprüft werden.

SPF & DKIM: Diese Header werden durch den Mailserver des Absenders erstellt. Sie gewährleisten, dass die E-Mail durch den angegebenen Mailserver versendet (SPF) und nicht während der Übertragung manipuliert (DKIM) wurde. Beide Header sollten mit einem grünen “pass” markiert sein.

Datum und Uhrzeit: Überprüfen Sie das Datum und die Uhrzeit, zu denen die E-Mail gesendet wurde. Wenn die E-Mail zu einer ungewöhnlichen Uhrzeit gesendet wurde, könnte dies ein Zeichen für einen Phishing-Versuch sein.

Wenn Ihnen etwas beim E-Mail Header auslesen verdächtig erscheint, gehen Sie nicht auf die Mail ein und informieren Sie die IT oder die jeweils zuständige Person. Sollte der Angreifer sich als eine Ihnen bekannte Person ausgegeben haben, setzen Sie sich mit der entsprechenden Person in Verbindung (optimalerweise nicht per Mail) und informieren Sie sie über diesen verdächtigen Versuch.

Das Auslesen von E-Mail Headern ist eine effektive Methode, um Phishing-Angriffe zu vermeiden. Es kann Ihnen helfen, verdächtige E-Mails zu identifizieren und zu verhindern, dass Ihre persönlichen Informationen gestohlen werden. Die genaue Prüfung erfordert allerdings einiges an technischem Know-How. Denken Sie deswegen daran, die E-Mail Header jeder verdächtigen E-Mail zu überprüfen und seien Sie im Zweifel immer vorsichtig bei der Weitergabe Ihrer persönlichen Informationen online.