Gut zu Wissen: „Mailheader beweisst Fälschung“

Wie Sie Fake Mails erkennen können

Sie landen zu Tausenden täglich in den E-Mail-Postfächern und sind dabei oft nicht als das zu erkennen, was sie sind: Fake Mails. Betrüger nutzen sie, um sensible Daten von Nutzern zu stehlen und sich anschließend durch Datendiebstahl oder Erpressung zu bereichern. Meist sollen Nutzerdaten zur Sicherheitsüberprüfung, aufgrund angeblich veralteter Daten eingegeben werden oder es wird mit einem aussichtsreichen, persönlichem Gewinnspiel gelockt. Auch E-Mails, die auf eine vermeidliche Kontosperrung bei Ihrem Onlinehändler hinweisen, sind ein gern genutztes Mittel, um Zugangsdaten abzugreifen.
Häufig sind diese E-Mails einfach zu identifizieren: Grammatikalische oder orthografische Fehler im Header oder Fließtext, fremde Sprache oder die fehlende persönliche Anrede sind meist ein guter Anhaltspunkt, um Vorsicht walten zu lassen. Besonders eindeutig kann dabei die Adresse des E-Mailabsenders als Hinweis dienen. Beinhaltet diese nicht die offizielle E-Mailadresse des angeblichen Absenders, ist dies ein klarer Anhaltspunkt für einen betrügerischen Hintergrund. Prüfen Sie zudem sorgfältig, ob tatsächlich eine Beziehung zu dem genannten Unternehmen bestehen könnte. Verdächtig sind auch Dateianhänge oder Links im Fließtext, die geöffnet werden sollen. Diese sollten stets skeptisch geprüft werden.
Doch was kann man tun, wenn die E-Mail tadellos erscheint und man die Fälschung nicht auf den ersten Blick erkennt?
Dann hilft der Mail-Header weiter. Die Gesellschaft für Arbeitsmethodik e.V. zeigt Ihnen, wie Sie sich diesen anzeigen lassen und lesen.
Zunächst müssen Sie den Mail-Header oder Quelltext vollständig öffnen. Je nach E-Mailprogramm ist dies über die Schaltflächen „Ansicht“, „Optionen“ oder „Original anzeigen“ möglich. Auch dieses Ergebnis variiert je nach Anbieter. Grundsätzlich sind diese Quelltexte jedoch in Aufbau und Struktur ähnlich.
Hinweise auf eine Fälschung kann zunächst der angezeigte Absender geben. Diesen finden Sie unter „Return-Path“. Ist die dort hinterlegte E-Mailadresse kryptisch oder nicht eindeutig identifizierbar, ist Vorsicht geboten. Ein klarer Anhaltspunkt für eine betrügerische E-Mail ist sie leider nicht, denn mittlerweile sind Betrüger sehr raffiniert in ihren Methoden. Eine Absendeadresse kann sich leicht manipulieren lassen und erscheint somit glaubwürdig.
Dem „Return-Path“ folgt meist ein erster „Received“-Eintrag. Dieser nennt den Empfänger häufig unter „Delivered-To“ oder „Envelope-To“. Es ist wichtig diesen von einem folgenden „Received“-Vermerk zu unterscheiden, denn erst dieser erlaubt es den wahren Absender zu entschlüsseln. Möglich ist dies durch die angegebene IP-Adresse, die echte physikalische Internetkennung des Absenders. Sie gestattet es jeden Rechner im Internet eindeutig zu identifizieren. Dieser „Received“-Eintrag dokumentiert die Übermittlung der E-Mail durch den Absender-Server an den Empfänger-Server. Die Verschlüsselung des Absenders kann zwar durch die IP-Adresse eindeutig aufgelöst werden. Einen konkreten Hinweis auf den Absender erhalten Sie jedoch nicht. Sie haben aber die Möglichkeit die IP-Adresse mit dem angegebenen Mailserver abzugleichen.
Möglich ist dies durch eine „nslookup“-Abfrage. Einen solchen Befehl können Sie direkt über das Kommandofenster auf Ihrem Computer mit Windows-Betriebssystem ausführen. Dazu öffnen Sie mittels der Tastenkombination Windows-Taste + R und der Eingabe „cmd“ die Eingabeaufforderung. Tippen Sie hier „nslookup“, Leerzeichen und die hinterlegte IP-Adresse des Absenders ein. Solche Abfragen finden Sie auch über eine beliebige Suchmaschine.
Zunächst wird Ihnen Server und Adresse Ihres aktuell genutzten Computers angezeigt. Anschließend folgen Name und Adresse des überprüften Servers. Diese Informationen können Sie nun nutzen, um sie mit der im E-Mail Header hinterlegten Absender abzugleichen. Sind diese nicht identisch, haben Sie ein klares Indiz für eine Fake Mail.

Original Beispiel


Return-Path: <officemails11@earthlink.net>
X-Spam-Checker-Version: SpamAssassin 3.4.2 (2018-09-13) on
dd43002.kasserver.com
X-Original-To: roland.kreische@gfa-forum.de
Delivered-To: m045aaaa@dd43002.kasserver.com
X-Greylist: delayed 2350 seconds by postgrey-1.34 at dd43002; Mon, 21 Oct 2019 12:20:52 CEST
Authentication-Results: dd43002.kasserver.com;
dkim=pass (2048-bit key; unprotected) header.d=earthlink.net header.i=@earthlink.net header.b=B8dOb+Zk;
dkim-atps=neutral
X-policyd-weight: using cached result; rate: -7
Received: from elasmtp-kukur.atl.sa.earthlink.net (elasmtp-kukur.atl.sa.earthlink.net [209.86.89.65])
by dd43002.kasserver.com (Postfix) with ESMTPS id 1369E70004AE
for <roland.kreische@gfa-forum.de>; Mon, 21 Oct 2019 12:20:52 +0200 (CEST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=earthlink.net;
s=dk12062016; t=1571653253; bh=A/5F4vbo74jN2SbZigK7vhbv21o5Eh8lvyIU
PY/1eUE=; h=Received:Received:Date:From:Reply-To:To:Message-ID:
Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:
X-Mailer:X-ELNK-Trace:X-Originating-IP; b=B8dOb+ZkA8PgWJ3EFJwsOwi/
ygcWh/+r6VfSVspWAAeCxMzyVAgxPAZhpCwvhhJg6j5cRB6nk2P5oLarsNX7yk4p8O2
Y5HGIE009MVxOSdtqRIDapSAyeldXw5TTUbVRFXbJPzZ6IBB5bg/6jUqZHylAwkBcRF
So/A2dSWjztg2FphzhWTawTtHzSrtc5qaHlPTmegbyrAQwS39SMM7pNmjl+zg3Q8Gr9
bySzzHFWVXgj/TcTgkloboU+uXRSTx21CKMVNSx86Vevb54bnik1f/0deTooLJNVF2j
hoGx8wPuzlpd+/ysTXSGtJ5og4sqUusSbFKB20GTY9wfLaBb9A==
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws;
s=dk12062016; d=earthlink.net;
b=gb2I6l1nQfDVIvkVb218EhHIPBWBjrYGjVxYjaeJHh3lbzNTQiJ79KT3K4YSYDY2TnDUDtLVsdySpQCSHbHWOx/q7jVV3AD/yNtH7NKFGVixj7mJsBT33rYNNv2KIq5zGkJ5rF9vy4c7E2P+Z281FyWB4Su8/mWw77PlF+XJ+F520FvdBoahhyziPYkuZMhQzYae+vvUPURmlA0eCzNXcX0VMr7BzP0DxgGpzFhAXNy9dcN2ms25YLtyTjXIyKOYtf8aZqCRa1qcBRebZUyqFkkbdnEwISIoldqyedyUBJZUdggzf4FnPkDwZm4YK7bXSIwN14hv03ASB/xqXJe7bA==;
h=Date:From:Reply-To:To:Message-ID:Subject:MIME-Version:Content-Type:Content-Transfer-Encoding:X-Mailer:X-ELNK-Trace:X-Originating-IP;
Received: from [209.86.224.179] (helo=wamui-merida.atl.sa.earthlink.net)
by elasmtp-kukur.atl.sa.earthlink.net with esmtpsa (TLSv1.2:ECDHE-RSA-AES128-SHA256:128)
(Exim 4)
(envelope-from <officemails11@earthlink.net>)
id 1iMUC4-000BM1-LU
for roland.kreische@gfa-forum.de; Mon, 21 Oct 2019 05:41:40 -0400 richtiger Adressat
Received: from 173.239.232.41 by webmail.earthlink.net with HTTP; Mon, 21 Oct 2019 05:41:39 -0400
Date: Mon, 21 Oct 2019 10:41:39 +0100 (GMT+01:00)
From: Brigitte ES Jansen officemails11@earthlink.net Falsche Mail-Adresse, anstelle von gfa-forum.de
Reply-To: Brigitte ES Jansen officemails11@earthlink.net Falsche Mail Adresse, anstelle von gfa-forum.de
To: roland.kreische@gfa-forum.de
Message-ID: <1682358456.155.1571650899537@wamui-merida.atl.sa.earthlink.net>
Subject: Dringend
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable
X-Mailer: EarthLink Zoo Mail 1.0
X-ELNK-Trace: 6d08efb803f6d69ed2522d1712a337f574bf435c0eb9d4781a8487a2a6bfe51a112f68a80b7b5266f3beac92ee59bf81350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 209.86.224.179
X-KasLoop: m045aaaa
X-AntiVirus: geprüft (eingehend) von Avira MailGuard (Version: 15.0.1910.1604; AVE:8.3.54.116; VDF:8.16.26.214)

Wir müssen eine internationale Zahlung von 38.625,00 EURO machen. Können wir es heute
tun? [Betrug]
Grüße,
Brigitte E.S. Jansen

Scroll to Top