Wer schickt mir diese Mail? Auf den wahren Absender achten

Die Malware-Flut nimmt immer weiter zu. Da Router und Windows wirksame Barrieren gegen Schadsoftware aufgebaut haben, versuchen die kriminellen Hacker, durch die Hintertür auf Ihren Computer zu gelangen, nämlich per Mail. Der Virus selbst wird entweder über einen Download-Link in der Mail geladen, oder der Text der Nachricht fordert den Empfänger auf, eine präparierte Webseite zu besuchen. Verbreitet sind auch Malware-Programme, die in scheinbar harmlosen Mailanhängen stecken und beim Öffnen aktiviert werden.

Damit der Empfänger dem Link in einer Mail folgt beziehungsweise den Anhang öffnet, muss er glauben, es mit einem bekannten, vertrauenswürdigen Absender zu tun zu haben. Das kann seine Hausbank sein, eine staatliche Stelle, ein beliebter Onlineshop oder auch ein bekannter Hersteller von Antivirensoftware. Betrüger geben sich daher oft viel Mühe, ihre Mails so echt wie möglich aussehen zu lassen.

Wenn Sie eine Mail bekommen, bei der Sie sich nicht sicher sind, ob sie tatsächlich etwa von Ihrer Bank kommt, sollten Sie wissen, wie Sie den wahren Absender identifizieren können. Ein wichtiges Hilfsmittel ist dabei der Mail-Header, der unter anderem Informationen zum Absender und zum Weg der Mail durchs Internet enthält. Auf den folgenden Seiten zeigen wir Ihnen, wie Sie diese Infos richtig lesen.

• Achtung:Diese Mail lockt Sparkassen-Kunden mit drohender Kontosperrung in Falle

Wo Sie den Mail-Header finden

Zunächst müssen Sie den Header natürlich finden. In Outlook öffnen Sie dazu die Nachricht und klicken auf „Datei –› Eigenschaften“. Die Header-Informationen stehen dann im Fenster „Internetkopfzeilen“. Markieren Sie den Inhalt des Fensters und kopieren Sie ihn in eine Textverarbeitung. Die aktuelle Version von Windows Live Mail kann keine Header anzeigen. Bei Thunderbird markieren Sie die empfangene Nachricht und klicken auf „Ansicht –› Nachrichten- Quelltext“.

Wenn Sie ein Gmail-Konto haben, öffnen Sie eine der empfangenen Nachrichten in Ihrem Browser und klicken auf der rechten Seite neben dem Antwortpfeil auf die drei Punkte. Im folgenden Drop-down-Menü gehen Sie auf „Original anzeigen“. Bei GMX und Web.de klicken Sie in der im Browser geöffneten Mail rechts oben auf das kleine „i“ in dem schwarzen Kästchen.

Auf den wahren Absender achten

Die wichtigste Information liefert die Zeile mit der IP-Adresse des Absenders. Sie erkennen sie an dem vorangestellten „Received:“, gefolgt von „from“ und der Webadresse des Absenders. Eventuell sehen Sie im Header mehrere Received-Zeilen. Das bedeutet, dass die Mail von ein oder mehreren Servern weitergeleitet wurde. Der ursprüngliche Absender steht immer an unterster Stelle; alles darüber sind Weiterleitungen. Ganz oben finden Sie die Adresse des Mailservers bei Ihrem Provider. Markieren und kopieren Sie die IP-Adresse des Mailservers des Absenders und rufen Sie die Seite https://whatismyipaddress.com auf. Sie zeigt Ihnen Ihre eigene IPv4- und IPv6-Adresse an. Geben Sie dort oben im Suchfeld die Absenderadresse aus der „Received“-Zeile der Mail ein. Die Site zeigt Ihnen sofort an, an welchem Standort der Mailserver des Absenders registriert ist. Falls diese Informationen nicht mit den Angaben aus der Mail übereinstimmen, wenn also der Server seinen Sitz beispielsweise in den USA hat, während die Nachricht angeblich aus Deutschland kommt, sollten Sie misstrauisch werden.

Ein weiterer Hinweis, dass mit einer Mail etwas nicht stimmt, ist ein Domain-Name, der nicht zum Absender passt. Wenn etwa die Nachricht angeblich von einem Online-Shop namens Toner-Gott kommt, die Seite WhatIsMyIPAddress.com jedoch eine Domain in Fernost erkennt, dann ist in der Regel etwas faul.

Neben WhatIsMyIPAddress bietet auch Network Tools  an, den Standort zu einer IP-Adresse herauszusuchen. Als lokal installierbares Programm ist die Freeware Etoolz eine gute Alternative. Dort finden Sie die Funktion „Header Analyzer“, die Ihnen die umständliche Eingabe der einzelnen IP-Adressen in den Received-Zeilen abnimmt und stattdessen auf Knopfdruck eine Komplettanalyse liefert. Kopieren Sie wie oben beschrieben den Text des Mail-Headers in die Zwischenablage und von dort in Etoolz. Nach einem Klick auf „Start“ untersucht das Programm die Adressen der Mailserver und gibt eine Einschätzung, ob die Angaben zum Absender gefälscht sind oder nicht.

Professionelle Sicherheitstools

Da die Mengen an Spam und Phishing-Mails ständig anstiegen, entwickelte die IETF (Internet Engineering Task Force, eine Arbeitsgruppe, die sich mit technischen Standards für das Internet befasst) in den vergangenen Jahren eine Reihe von Techniken für die Authentifizierung von Mailadressen.

Bereits seit dem Jahr 2000 gab es Bestrebungen, SPF (Sender Policy Framework) als Standard zu etablieren. Aber erst seit 2014 existiert ein RFC (Request for Comments, de facto eine technische Spezifikation) zu dieser Technik. SPF wurde entwickelt, da es im SMTP-Protokoll für den Versand von Mails eine Lücke gibt: Jeder beliebige Computer kann Nachrichten mit einer falschen Absenderadresse verschicken. Das wird vor allem von den Versendern von Spam und Phishing-Mails ausgenutzt. SPF versucht dieses Problem zu lösen, indem es dem Inhaber einer Internet-Domain wie etwa www.pcwelt.de ermöglicht, im weltweiten Domain Name System (DNS) die Adressen seiner Mailserver zu hinterlegen. Nur wenn in den SMTP-Infos der Mail, dem so genannten SMTP-Envelope, die Adresse eines dieser Server auftaucht, stammt die Mail tatsächlich von dem angegebenen Absender. Der Mailserver des Empfängers kann diese Informationen überprüfen und die Nachricht gegebenenfalls zurückweisen, und zwar noch bevor sie vollständig übertragen wurde. 

Digitale Signatur für Mails

SPF hat jedoch einen Nachteil: Wenn der Adressat eine Mail weiterleitet und sein eigener Mailserver keinen DNS-Eintrag besitzt, lassen sich die Absenderangaben nicht mehr überprüfen. Einen Ausweg aus diesem Dilemma weist die DKIM-Technik (Domain Keys Identified Mail), die seit 2011 als Internetstandard spezifiziert ist. DKIM funktioniert ähnlich wie SPF, allerdings werden bei dieser Technik die Nachricht samt Anhängen sowie der Mail-Header digital signiert, und zwar mit einem asymmetrischen Schlüsselpaar. Der private Schlüssel wird für die Signatur verwendet, der öffentliche Schlüssel im DNS-System hinterlegt. Falls ein Absender mehrere Signaturen besitzt, steht im Header der Mail, welche davon zum Einsatz kam. Der Empfänger wiederum kann über den öffentlichen Schlüssel feststellen, ob die Nachricht tatsächlich von dem angegebenen Absender kommt und ob Text und Anhang unverändert übertragen wurden. DKIM verhindert somit zudem Manipulationen an den Mails.

• Siehe auch:  Polizei und Verbraucherschützer warnen vor betrügerischen Mails

Erweiterungen für SPF und DKIM

Im Jahr 2015 erweiterte die IETF die beiden Standards SPF und DKIM. Neu hinzu kam DMARC (Domain-based Message Authentication, Reporting and Conformance). Die Erweiterung war notwendig geworden, da man erkannt hatte, dass die Standards noch nicht vollständig waren: Während SPF lediglich sicherstellt, dass eine Mail tatsächlich von einem angegebenen Server verschickt wurde, kann DKIM nur garantieren, dass die Nachricht unverändert von einem bestimmten Absender stammt. Nicht definiert ist hingegen, was geschehen soll, wenn mindestens eine der beiden Überprüfungen fehlschlägt. Das ist die Aufgabe von DMARC, dessen Regeln ebenfalls über das DNS-System abgefragt werden können. Zur Auswahl stehen die Policies „none“, „quarantine“ und „reject“ bereit. Mit „none“ macht der Absender dem Empfänger keine Vorschriften, wie er mit der Mail verfahren soll. Dieser Wert wird meist für Tests verwendet. Der Eintrag „quarantine“ bedeutet, dass die Nachricht als Spam gekennzeichnet werden soll. Mit „reject“ gibt der Absender vor, dass der Empfänger die Mail verwerfen soll.

Auch mit DMARC war das System der Mail-Authentifizierung noch nicht perfekt. Denn es besteht die Möglichkeit, dass der Standard auch die Auslieferung von nicht gefälschten Mails verhindert. Das kann passieren, wenn ein Anwender bei der Weiterleitung einer Nachricht etwa die Betreffzeile verändert – DKIM registriert, dass die Mail verändert wurde, und sie wird geblockt. Bei Mailing-Listen wiederum besteht die Gefahr, dass die SPF-Überprüfung fehlschlägt, da die Domain des Absenders und die Domain des Mailservers unterschiedlich sind. 

Für diese Fälle wurde 2019 der ARC-Standard vorgestellt (Authenticated Received Chain). Er ermöglicht es den Betreibern von zwischengeschalteten Mailservern wie etwa einer Mailing-Liste, einen Signierdienst für die Authentifizierungsinformationen der ursprünglichen Nachrichten einzurichten. Auf diese Weise kann der Mailserver des Empfängers eine eingehende Nachricht auch dann für gültig erklären, wenn sie auf dem Weg verändert wurde und SPF sowie DKIM den Empfang blockieren wollen.

Fazit: Professionelle Tools

Was bedeutet das nun für Sie? Zunächst einmal muss festgehalten werden, dass Privatanwender keins der genannten Verfahren für ihre Mail-Adressen konfigurieren können. Das kann nur der jeweilige Mail-Provider. Die meisten großen Anbieter unterstützen mittlerweile zumindest einige, wenn nicht sogar alle dieser Verfahren. Auch viele Unternehmen greifen bei ihren Mailsystemen auf den Schutz dieser Standards zurück.

Sie können jedoch zumindest überprüfen, ob eine eingegangene Mail SPF & Co. verwendet. Spammer und kriminelle Versender von Phishing-Mails verzichten darauf, da sie über das DNS-System einfach zu identifizieren wären. Sehen Sie daher bei verdächtigen Mails im Header nach, ob dort eins der Kürzel SPF, DKIM, DMARC oder ARC auftaucht. Falls nicht, ist das zwar noch kein Beweis für eine Fälschung. Es ist aber ein weiterer Grund, die Nachricht und ihre Inhalte mit äußerster Vorsicht zu behandeln.