Absender unbekannt? So finden Sie heraus, von welcher Seite diese verdächtige E-Mail kommen könnte

Kennen Sie das? Eine E-Mail landet in Ihrem Postfach, der Betreff ist seltsam, der Inhalt weckt Misstrauen, und der Absender… nun ja, der Absender ist entweder unbekannt oder wirkt gefälscht. In einer Zeit, in der Phishing, Spam und Online-Betrug an der Tagesordnung sind, ist es entscheidend, solche Nachrichten richtig einschätzen zu können. Doch wie geht man vor, wenn man den wahren Ursprung einer verdächtigen E-Mail herausfinden möchte, bevor man Schaden nimmt oder gar darauf hereinfällt? Dieser umfassende Artikel nimmt Sie an die Hand und zeigt Ihnen, wie Sie mit detektivischem Spürsinn und den richtigen Tools der Wahrheit auf die Spur kommen können.

Die erste Regel: Ruhe bewahren und nichts anklicken!

Bevor wir uns in die technischen Details stürzen, ist der wichtigste Ratschlag: Wenn eine E-Mail verdächtig wirkt, klicken Sie nichts an! Keine Links, keine Anhänge, nicht einmal auf „Abbestellen“. Jede Interaktion kann den Absender bestätigen, dass Ihre E-Mail-Adresse aktiv ist, oder im schlimmsten Fall Schadsoftware herunterladen oder Sie auf eine betrügerische Webseite weiterleiten. Atmen Sie tief durch und nähern Sie sich der E-Mail mit einer gesunden Skepsis.

Warum Absender fälschen so einfach ist (und was E-Mail-Header verraten)

Das Kernproblem des E-Mail-Verkehrs liegt in seinem grundlegenden Design: Das Simple Mail Transfer Protocol (SMTP), das für den Versand von E-Mails zuständig ist, erlaubt es prinzipiell jedem, eine Absenderadresse zu fälschen. Es ist vergleichbar damit, wie Sie einen Brief verschicken können, auf dem ein beliebiger Name als Absender steht. Um dennoch eine Spur zu hinterlassen, gibt es die E-Mail-Header – der digitale Fingerabdruck jeder Nachricht. Sie sind das Gedächtnis des E-Mail-Verkehrs und enthalten detaillierte Informationen über den Weg, den eine E-Mail von ihrem Ursprungsserver bis zu Ihrem Postfach genommen hat.

Was sind E-Mail-Header und wie greife ich darauf zu?

E-Mail-Header sind nicht sofort sichtbar. Sie sind sozusagen die Metadaten einer E-Mail. Jeder E-Mail-Client bietet eine Funktion, um diese vollständigen Header anzuzeigen. Hier sind einige Beispiele:

• Gmail: Öffnen Sie die E-Mail, klicken Sie auf das Drei-Punkte-Menü rechts neben der Antwort-Schaltfläche und wählen Sie „Original anzeigen“.
• Outlook (Desktop): Doppelklicken Sie auf die E-Mail, um sie in einem neuen Fenster zu öffnen. Gehen Sie dann zu „Datei“ > „Eigenschaften“ (oder „Nachrichtenoptionen“) und suchen Sie nach dem Feld „Internetkopfzeilen“.
• Outlook (Web): Öffnen Sie die E-Mail, klicken Sie auf die drei Punkte oben rechts und wählen Sie „Nachrichtenquellen anzeigen“.
• Thunderbird: Öffnen Sie die E-Mail und drücken Sie Strg+U (Windows) oder Cmd+U (Mac), um die Nachrichtenquelle anzuzeigen.

Egal, welchen Client Sie nutzen, Sie werden eine Menge an Text sehen. Lassen Sie sich davon nicht abschrecken. Wir werden uns auf die wichtigsten Zeilen konzentrieren.

Die wichtigsten Informationen in den E-Mail-Headern entschlüsseln

Der Header ist chronologisch aufgebaut, von unten (was zuerst passiert ist) nach oben (was zuletzt passiert ist). Die interessantesten Informationen finden Sie meist am Anfang (oben) und am Ende (unten) des Headers.

1. Received:-Zeilen: Dies sind die wichtigsten Zeilen. Sie zeigen den Weg, den die E-Mail durch die verschiedenen Server genommen hat. Jede Zeile beginnt mit Received from [Server-IP] by [Ihr Server-IP] with [Protokoll]. Die unterste Received:-Zeile (oder die vorletzte, je nach Setup) enthält oft die IP-Adresse des ursprünglichen Absenders oder des Servers, von dem die E-Mail zuerst gesendet wurde. Achten Sie auf IP-Adressen, die nicht zu den üblichen Mail-Servern passen.
2. Return-Path: und Reply-To:: Der Return-Path gibt an, wohin unzustellbare Nachrichten gesendet werden sollen. Der Reply-To gibt an, wohin eine Antwort gesendet werden soll. Diese können sich vom angezeigten From:-Feld unterscheiden und sind oft ein Indiz für gefälschte Absender.
3. From:, To:, Subject: und Date:: Diese Felder sind zwar offensichtlich, aber überprüfen Sie sie genau. Passen der Name des Absenders und die E-Mail-Adresse zusammen? Wird Ihre E-Mail-Adresse korrekt angesprochen oder ist es eine Massensendung? Ist das Datum und die Uhrzeit plausibel?
4. Authentication-Results: (SPF, DKIM, DMARC): Diese Zeile ist Gold wert! Sie zeigt an, ob die E-Mail die grundlegenden Authentifizierungsprüfungen bestanden hat.
   • SPF (Sender Policy Framework): Prüft, ob der sendende Server autorisiert ist, E-Mails im Namen der Absenderdomäne zu versenden. Ein spf=pass ist gut, spf=fail oder spf=softfail ist ein Warnsignal.
   • DKIM (DomainKeys Identified Mail): Eine digitale Signatur, die die Echtheit des Absenders und die Integrität der Nachricht überprüft. Ein dkim=pass ist gut, dkim=fail ist verdächtig.
   • DMARC (Domain-based Message Authentication, Reporting & Conformance): Baut auf SPF und DKIM auf und gibt an, wie der Empfänger mit E-Mails verfahren soll, die die Authentifizierung nicht bestehen (z.B. in Spam verschieben oder ablehnen). Ein dmarc=pass ist ideal, ein dmarc=fail ist ein starkes Indiz für Betrug.

   Fehlgeschlagene Authentifizierungsprüfungen sind ein klares Zeichen dafür, dass der Absender nicht der ist, für den er sich ausgibt.

5. X-Mailer: oder User-Agent:: Zeigt manchmal das Programm oder den E-Mail-Client an, mit dem die E-Mail gesendet wurde. Verräterisch, wenn eine offizielle E-Mail von einem „iPhone Mail” kommt, aber eine „normale” Absenderadresse hat.

Online-Header-Analysatoren: Wenn das manuelle Durchforsten zu mühsam ist, kopieren Sie den gesamten E-Mail-Header in ein Online-Tool wie den Google Message Header Analyzer oder MXToolbox Header Analyzer. Diese Tools bereiten die Informationen übersichtlich auf und markieren oft verdächtige Details.

Links und Anhänge – Die gefährlichsten Fallen

Selbst wenn die Header sauber aussehen (was selten der Fall ist, wenn es sich um Phishing handelt), sind Links und Anhänge die häufigsten Vehikel für Malware und Betrug.

Links überprüfen, ohne zu klicken

Fahren Sie mit dem Mauszeiger über einen Link (nicht klicken!), um die tatsächliche URL anzuzeigen. Sie wird meist in der Statusleiste Ihres Browsers oder E-Mail-Clients angezeigt. Achten Sie auf folgende Dinge:

• Domänenabweichung: Weicht die angezeigte URL von der Domäne des Absenders ab? Beispiel: Angeblich von PayPal, aber der Link geht zu „paypal.betrugssite.com” oder einer IP-Adresse.
• Tippfehler: Sind in der URL absichtliche Tippfehler (z.B. „paypaI.com” statt „paypal.com”, wobei das ‘l’ durch ein ‘I’ ersetzt ist)?
• URL-Verkürzer: Dienste wie bit.ly oder tinyurl.com verstecken die wahre Zieladresse. Nutzen Sie Online-Dienste wie CheckShortURL oder Unshorten.it!, um die echte URL aufzudecken, *bevor* Sie klicken.
• Online-Scanner: Kopieren Sie die aufgedeckte URL und fügen Sie sie in einen Online-Scanner wie VirusTotal oder Google Safe Browsing ein. Diese prüfen, ob die Seite als schädlich bekannt ist.

Anhänge niemals direkt öffnen

Dateianhänge sind eine Hauptquelle für Malware und Viren. Seien Sie extrem vorsichtig, insbesondere bei Dateitypen wie .exe, .zip, .rar, .docm, .xlsm, .js, .vbs oder .hta. Selbst scheinbar harmlose PDFs oder Office-Dokumente können gefährliche Makros oder Exploits enthalten.

• Dateiendungen prüfen: Prüfen Sie die Dateiendung. Betrüger nutzen manchmal doppelte Endungen (z.B. „rechnung.pdf.exe”).
• Virenscanner nutzen: Laden Sie den Anhang herunter (aber nur in einem sicheren, isolierten Verzeichnis!) und prüfen Sie ihn mit Ihrem lokalen Antivirenprogramm.
• Online-Sandboxes: Noch besser: Laden Sie den Anhang in eine Online-Sandbox wie VirusTotal (prüft Dateien auf bekannte Signaturen) oder Any.Run / Hybrid Analysis (führt die Datei in einer virtuellen Umgebung aus und analysiert ihr Verhalten).

Inhaltliche Analyse – Der Phishing-Faktor

Oftmals gibt der Inhalt der E-Mail selbst deutliche Hinweise auf einen Betrugsversuch. Achten Sie auf:

• Schlechte Grammatik und Rechtschreibung: Offizielle Mitteilungen sind in der Regel sprachlich einwandfrei. Fehler sind ein großes Warnsignal.
• Dringlichkeit und Drohungen: „Ihr Konto wird gesperrt“, „Letzte Mahnung“, „Sofortige Aktion erforderlich“ – diese Formulierungen sollen Sie unter Druck setzen.
• Generische Anreden: „Sehr geehrter Kunde“ statt Ihres Namens.
• Aufforderungen zu sensiblen Daten: Niemand (Banken, PayPal, Behörden) wird Sie per E-Mail nach Passwörtern, Kreditkartennummern oder PINs fragen.
• Ungewöhnliche Absendezeiten: E-Mails, die mitten in der Nacht aus einem anderen Zeitzonenbereich kommen, können verdächtig sein.
• Ungewöhnliche Beträge oder Dienste: Eine angebliche Rechnung für etwas, das Sie nie bestellt haben, oder ein absurd hoher Betrag.
• Gefälschte Logos oder Designs: Oftmals sind Logos oder das Layout von bekannten Unternehmen nachgeahmt, aber mit leichten Abweichungen.

DNS-Abfragen und IP-Adressen zurückverfolgen

Wenn Sie eine verdächtige IP-Adresse aus den Headern oder eine Domäne aus einem Link identifiziert haben, können Sie weitere Schritte unternehmen:

• IP-Adresse suchen: Nutzen Sie Dienste wie Whois.com oder WhatIsMyIPAddress.com, um Informationen über die IP-Adresse zu erhalten. Sie erfahren, wem die IP gehört (der Internetdienstanbieter), und wo sie geografisch verortet ist. Stimmt die Region nicht mit dem angeblichen Absender überein, ist das ein starkes Indiz.
• Domänen-Whois-Abfrage: Für Domänennamen (z.B. „example.com”) können Sie eine Whois-Abfrage durchführen (Whois.com). Dies zeigt Informationen über den Registranten der Domäne, Registrierungsdatum und -ablauf an. Viele Betrüger registrieren Domänen nur für kurze Zeit oder nutzen Privacy-Schutz.

Beachten Sie, dass IP-Adressen oft dynamisch sind, von kompromittierten Servern stammen oder über VPNs/Proxys verschleiert werden. Die geografische Herkunft gibt also nicht immer direkt Aufschluss über den Betrüger, aber sie kann die Geschichte der E-Mail plausibler oder unglaubwürdiger machen.

Was tun, wenn Sie die Quelle identifiziert haben (oder auch nicht)?

Selbst wenn Sie nicht den „Hintermann” identifizieren können, haben Sie wertvolle Informationen gesammelt.

1. E-Mail löschen: Wenn die E-Mail eindeutig bösartig ist, löschen Sie sie aus Ihrem Posteingang und dem Papierkorb.
2. Absender blockieren: Sie können den Absender in Ihrem E-Mail-Client blockieren, aber da Absenderadressen leicht gefälscht werden, ist dies oft nur eine kurzfristige Lösung.
3. Anbieter melden:
   • Wenn die E-Mail vorgibt, von einem bestimmten Unternehmen zu stammen (z.B. Ihrer Bank), leiten Sie die E-Mail an deren offizielle Phishing-Meldeadresse weiter (meist auf deren Webseite unter „Sicherheit“ zu finden).
   • Wenn Sie die IP-Adresse oder die Domäne des tatsächlichen Absenders ermitteln konnten, können Sie den Missbrauch an den zuständigen Hosting-Provider oder Registrar (dessen Kontaktinformationen Sie oft über die Whois-Abfrage finden) melden. Suchen Sie nach „[email protected]” oder der entsprechenden Webseite für Missbrauchsmeldungen.
4. Behörden informieren: Bei schwerwiegenden Betrugsversuchen (z.B. Ransomware, die auf Ihren Computer gelangt ist, oder wenn Sie bereits auf den Betrug hereingefallen sind), sollten Sie die Polizei oder die zuständige nationale Cyber-Sicherheitsbehörde (z.B. das BSI in Deutschland) informieren.
5. Passwörter ändern: Wenn Sie den Verdacht haben, dass Ihre Zugangsdaten kompromittiert wurden (z.B. weil die E-Mail eine Webseite Ihrer Bank nachahmte und Sie dort Ihre Daten eingegeben haben), ändern Sie umgehend alle Passwörter, die Sie auf dieser oder ähnlichen Seiten verwenden. Aktivieren Sie die Zwei-Faktor-Authentifizierung (2FA), wo immer möglich.

Prävention ist der beste Schutz

Auch wenn es befriedigend ist, den Ursprung einer verdächtigen E-Mail zu ergründen, ist Prävention immer noch die beste Strategie:

• Gesunde Skepsis: Vertrauen Sie keinem Absender blind, selbst wenn er bekannt erscheint.
• Starke, einzigartige Passwörter: Nutzen Sie Passwörter, die schwer zu erraten sind und nicht wiederverwendet werden. Ein Passwort-Manager hilft dabei.
• Zwei-Faktor-Authentifizierung (2FA/MFA): Aktivieren Sie diese zusätzliche Sicherheitsebene für alle wichtigen Konten (E-Mail, Bank, soziale Medien).
• Regelmäßige Software-Updates: Halten Sie Ihr Betriebssystem, Ihren Browser und Ihre Sicherheitssoftware stets aktuell, um bekannte Sicherheitslücken zu schließen.
• Zuverlässige Antivirus-Software: Ein aktueller Virenscanner ist unerlässlich.
• E-Mail-Filter: Konfigurieren Sie die Spam-Filter Ihres E-Mail-Anbieters oder Clients optimal.
• Informiert bleiben: Bleiben Sie auf dem Laufenden über aktuelle Phishing-Methoden und Betrugsmaschen.

Fazit

Das Entschlüsseln des Ursprungs einer verdächtigen E-Mail mag auf den ersten Blick komplex erscheinen, aber mit den richtigen Schritten und Tools ist es ein wertvolles Instrument in Ihrem Arsenal zur Cybersicherheit. Die Fähigkeit, E-Mail-Header zu analysieren und Phishing zu erkennen, kann Sie vor erheblichem Schaden bewahren. Seien Sie wachsam, bleiben Sie skeptisch und nutzen Sie die hier vorgestellten Methoden, um die digitale Welt ein Stück sicherer zu machen – für sich und für andere. Ihre Aufmerksamkeit ist Ihre beste Verteidigung gegen Absender, die lieber unbekannt bleiben würden.