E-Mail-Kopfzeilen und Header (wichtige Infos)
Allgemeine Informationen über Kopfzeilen (Header)
E-Mails bestehen nicht nur aus einem Betreff, dem Inhalt, eventuellen Anhängen und Informationen über Absender und Empfänger, sondern beinhalten noch weit mehr Informationen. Einige dieser Kopfzeilen (engl.: E-Mail-Header) können Informationen über den Absender verraten, die dieser eventuell dem Empfänger gar nicht verraten möchte. In diesem Überblick soll es nur um den Datenschutz- und den Sicherheitsaspekt einiger E-Mail-Kopfzeilen gehen, es ist keine Aufzählung aller möglichen Kopfzeilen-Informationen und erklärt auch nicht das Format im Detail.
Anzeige der Kopfzeilen
Kopfzeilen, die in jeder E-Mail vorhanden sind, können mit fast allen Programmen und Webmaildiensten angezeigt werden. In aktuellen Outlook-Versionen können die Kopfzeilen angezeigt werden, indem man auf "Datei -> Informationen -> Eigenschaften -> Internetkopfzeilen" klickt während die E-Mail geöffnet ist. In älteren Outlook-Versionen ging das über "Ansicht -> Optionen -> Internetkopfzeilen" während die E-Mail geöffnet ist. In Thunderbird kann der Quelltext der E-Mail mit Strg+U angezeigt werden, oder über das Menu "Ansicht -> Kopfzeilen -> Alle". In Webmaildiensten gibt es häufig ein "i" oder versteckt hinter einem "Weitere Aktionen"-Knopf die Möglichkeit, die Kopfzeilen anzuzeigen.
Die Received: Kopfzeilen
Jede E-Mail, die von einem E-Mail-Server zu einem anderen E-Mail-Server übertragen wird, wird um Informationen angereichert über den Weg, den die E-Mail transportiert wurde. Wenn beispielsweise die E-Mail von einem Client-Programm (z.B. Outlook) an den SMTP-Server des E-Mail-Anbieters übertragen wird, schreibt der E-Mail-Anbieter für gewöhnlich einen Eintrag in die Kopfzeilen der E-Mail. Dieser sieht dann so ähnlich wie folgt aus:
Received: from [37.201.224.159] (aftr-37-201-224-159.unity-media.net [37.201.224.159]) (using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)) by smtp01.anbieter.de (Postfix) with ESMTPSA id DF026C0071 for <empfaenger@anbieter2.de>; Wed, 26 Feb 2014 13:47:02 +0100 (CET)
In diesen vier Zeilen ist Vieles zu entdecken: Die IP-Adresse des Absenders, der Name des E-Mail-Servers des Anbieters, ebenso die genaue Zeit zu der dieser E-Mail-Server die E-Mail angenommen hat, und auch Informationen über die Stärke der genutzten Verschlüsselung.
Der E-Mail-Anbieter des Absenders verarbeitet diese E-Mail nun intern, leitet die E-Mail über interne E-Mail-Server zu den Ausgangsmailservern (wobei jedes Mal wieder weitere Received-Kopfzeilen hinzukommen können). Von den Ausgangsmailservern geht die E-Mail dann auf den Weg zum E-Mail-Server des Empfängers. Am Ende stehen in der E-Mail meistens mehr als 3, nicht selten auch mehr als 5 beteiligte E-Mail-Server. Eben alle, die am Transport der E-Mail beteiligt waren. Diese Kopfzeilen kann man nun von unten nach oben lesen, und erhält eine Übersicht des Weges, den die E-Mail genommen hat, und daraus kann man auch eine Karte anfertigen, beispielsweise kann man aus den folgenden Kopfzeilen die unten stehende Karte erstellen:
Received: from mta2.anbieter.de (mta2.anbieter.de [217.83.241.13]) (using TLSv1.1 with cipher AECDH-AES256-SHA (256/256 bits)) (No client certificate requested) by mxb.anbieter2.de with ESMTPS id 581EF484205 for <empfaenger@anbieter2.de>; Wed, 26 Feb 2014 13:47:09 +0100 (CET)
Received: from smtp1.anbieter.de (smtp1.anbieter.de [10.0.0.3]) by mta2.anbieter.de (Postfix) with ESMTP id 26A345CAB8 for <empfaenger@anbieter2.de>; Wed, 26 Feb 2014 13:47:04 +0100 (CET)
Received: from [37.201.224.159] (aftr-37-201-224-159.unity-media.net [37.201.224.159]) (using TLSv1 with cipher ECDHE-RSA-AES256-SHA (256/256 bits)) by smtp01.anbieter.de (Postfix) with ESMTPSA id DF026C0071 for <empfaenger@anbieter2.de>; Wed, 26 Feb 2014 13:47:02 +0100 (CET)
- Die E-Mail wurde demnach von einem Unity-Media Anschluss in der Nähe von Düsseldorf versendet (den ungefähren Ort einer IP-Adresse kann mit Hilfe von Geo-IP-Diensten herausgefunden werden) und wurde vom Anbieter-Mailserver des Absenders (smtp01.anbieter.de) entgegengenommen.
- Der Anbieter des Absenders hat diese E-Mail dan intern an einen anderen E-Mail-Server weitertransportiert der für den Versand der E-Mails ins Internet vorgesehen ist.
- Im obersten Block kann man erkennen dass die E-Mail vom E-Mail-Server des Absenders (mta2.anbieter.de) an den E-Mail-Server des Empfängers (mxb.anbieter2.de) übergeben wurde, der in der Nähe von Coesfeld zu sein scheint.
Der Empfänger weiß nun also dass der Absender zum Zeitpunkt des Absendens (26.02.2014 13:47:02) in der Nähe von Düsseldorf gewesen ist.
Normalerweise ist diese Information unproblematisch. Problematisch wird sie jedoch wenn der Mitarbeiter einer Firma seinem Chef per E-Mail vorgaukelt, er sei krank im Bett zuhause in München. Die E-Mail-Kopfzeilen jedoch verraten, dass er den Wochenendtrip nach Mallorca verlängert hat und die E-Mail von der sonnigen Insel geschickt hat.
Die Kopfzeile X-Mailer:
Eine weitere interessante Kopfzeile kann die Angabe des verwendeten E-Mail-Programms sein. Hier drei Beispieleinträge:
X-Mailer: Microsoft Outlook 14.0 X-Mailer: Microsoft Windows Live Mail 15.4.3555.308 X-Mailer: T-Online eMail 6.10.0003 X-Mailer: iPad Mail (9A405)
Man kann hier schön erkennen, mit welchem Programm die jeweiligen E-Mails verfasst wurden. Gefährlich kann dies werden, wenn der Chef am Vormittag eine E-Mail von seinem Mitarbeiter bekommt, und am Abend eine anonyme E-Mail mit z.B. Beschimpfungen von einem kostenlosen Anbieter und einer unbekannten E-Mail-Adresse. Hat der Absender beide E-Mails mit dem selben E-Mail-Programm benutzt, und dieses E-Mail-Programm ist eventuell nicht so verbreitet, dann kann der Chef - sofern er es nicht bereits an der IP-Adresse in der Received-Kopfzeile erkennen kann (siehe oben) - anhand dieser X-Mailer-Kopfzeile einen Hinweise bekommen, wer hinter der bösen E-Mail stecken könnte. Ebenso könnte die X-Mailer Information einem böswilligen Angreifer dazu nutzen, dem Absender der zweiten E-Mail einen Trojaner zu senden, der genau auf diese Version von Windows Live Mail passt. Die Erfolgschance zur Identifikation des vermeintlich anonymen Absenders steigt dramatisch.
Die User-Agent: Kopfzeile
Einige E-Mail-Programme nutzen anstatt der X-Mailer Kopfzeile die User-Agent Kopfzeile. Diese enthält ebenfalls Informationen über das verwendete E-Mail-Programm des Absenders:
User-Agent: Postbox 3.0.8 (Macintosh/20130427) User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Thunderbird/24.1.1
Datum in den Kopfzeilen
Das E-Mail-Programm des Absender schreibt auch die aktuelle Zeit in die Kopfzeilen zum Zeitpunkt des Versandes. Diese Datumsangabe enthält auch Informationen über die Zeitzone, in der sich der Absender befindet. Hier ein Beispiel:
Date: Wed, 26 Feb 2013 06:29:57 -0700
Das Datum enthält die Information, dass sich der Absender in der Zeitzone GMT-7 befindet. In dieser Zeitzone liegen Kanada und der Westen der USA, der grobe Aufenthaltsort des Absenders ist jedoch enttarnt.
Individuelle Kopfzeilen der E-Mail-Anbieter
Einige E-Mail-Anbieter nutzen weitere Kopfzeilen, um Informationen über den Absender festzuhalten. Freenet beispielsweise schreibt bei E-Mails, die über externe E-Mail-Programme versendet werden, folgende Kopfzeile in die E-Mail:
X-Originated-At: 37.201.224.159!58107
Verschickt man bei Freenet eine E-Mail aus dem Webmailer, fügt Freenet die folgenden zwei Zeilen der E-Mail hinzu:
X-Originated-At: 37.201.224.159!58076 X-Abuse: 720235832 / 37.201.224.159
Die IP-Adresse des Absenders steht also gleich zwei Mal in den Kopfzeilen, zusätzlich zur Received-Kopfzeile. Anonym ist das nicht.
Die Richtigkeit der Kopfzeilen
Da jeder E-Mail-Server auf dem Weg die E-Mail im Klartext erhält, könnte er auch den Inhalt verändern. Das gilt besonders für die Kopfzeilen/Header. Liegt auf dem Transportweg der E-Mail ein böswilliger E-Mail-Server, dann kann dieser die kompletten Kopfzeilen verändern, löschen oder hinzufügen. Die Kopfzeilen sind also mit Vorsicht zu geniessen und nicht "in Stein gemeisselt". Normalerweise verändern E-Mail-Server die Kopfzeilen nicht, sondern fügen lediglich neue Informationen hinzu, wie beispielsweise weitere Received-Einträge über den Transportweg. Ein böswilliger Spammer jedoch kann beim Versand bereits einige Kopfzeilen einfügen, sodass die Transportkette künstlich verändert wird und eventuell ein Unschuldiger ins Visir genommen wird. Diese Änderbarkeit kann einen Vor- und Nachteil zugleich darstellen.
Fazit zu den Mail Headern / Kopfzeilen
Dies war ein Überblick zu einigen Informationen über den Absender bzw. den Weg der E-Mail in Kopfzeilen. Eine E-Mail, die vermeintlich anonym versendet wird, ist also gar nicht so anonym, wie man vielleicht denkt. Möchte man wirklich anonym E-Mails versenden, muss auf diese Kopfzeilen achten. Einige E-Mail-Anbieter wie beispielsweise mail.de schreiben extra nicht die IP-Adresse des Absenders in die Kopfzeilen, um die IP-Adresse und damit den ungefähren Aufenthaltesort des Absenders zu schützen. Hinweis: Wir haben eine Vereinbarung mit Mail.de und bieten besonderen Speicherplatz für emailtester.de-Leser. Über unseren Mailvergleich kommt man zu dieser Spezialaktion.
Eine schöne Übersicht zu Anbietern gibt es außerdem im Artikel bei www.email-vergleich.com.
Außerdem sollte man bei der Wahl des E-Mail-Programms darauf achten dass dieses keine verräterischen Informationen über sich selbst in die E-Mail schreibt. Möchte man die Zeitzone, in der man sich aktuell befindet, nicht preisgeben, hilft es die Zeitzone des Computers zu verändern bevor man die E-Mail absendet.
Vielen dieser Probleme kann auch aus dem Wege gegangen werden indem der Webmaildienst des Anbieters genutzt wird. Auch dort muss geprüft werden ob die IP-Adresse des Browserbenutzers in die E-Mail reingeschrieben wird, aber die anderen Informationen wie X-Mailer, User-Agent und Date sind in Webmailern häufig unverfänglich und verraten nichts individuelles über den Absender.
Erklärvideo: Email-Header im Quellcode lesen
Folgendes erklärvideo zeigt, wie einfach man die Header-Informationen im Quellcode von Emails herauslesen kann.