So finden Sie heraus, wer Ihnen schreibt

Kriminelle versenden häufig E-Mails mit gefälschtem Absender. Hier lesen Sie, welche Sicherheitsprotokolle in diesem Bereich bestehen und wie Sie den Absender selbst überprüfen.

Die Gefahren für Malware aus dem Internet nehmen stetig zu. Allerdings werden auch die Sicherheitsvorkehrungen immer besser. Viele Router können die gefährliche Software bereits identifizieren und herausfiltern. Auch die Betriebssysteme erweitern den Schutz ständig, um die Installation von Schadsoftware zu vermeiden. Das macht es Hackern immer schwerer, auf diese Weise Zugriff auf Ihr System zu erhalten. Deshalb wird eine neue Methode immer beliebter: das Versenden betrügerischer E-Mails. Das macht es möglich, Schadsoftware über Download-Links oder Anhänge zu verbreiten oder die Empfänger auf eine gefälschte Internetseite zu leiten, auf der sie dann ihre Zugangsdaten zum Online-Banking oder zu andern Diensten eingeben.

Die Cyber-Kriminellen versuchen dabei, einen vertrauenswürdigen und bekannten Absender zu imitieren - beispielsweise Ihre Hausbank, eine Versicherung oder ein öffentliches Amt. Dabei gestalten sie die E-Mails täuschend echt, sodass sie viele Empfänger in die Irre führen und diese die entsprechenden Links anklicken oder ihre Daten preisgeben. Wenn die Empfänger von der Vertrauenswürdigkeit des Absenders überzeugt sind, ignorieren sie auch gerne einmal eine Sicherheitswarnung und setzen sich dadurch besonderen Gefahren aus.

Um nicht in die Falle zu tappen, ist es wichtig, solche E-Mails genau zu überprüfen - insbesondere wenn Sie darin aufgefordert werden, einen Link anzuklicken oder Ihre Daten preiszugeben. Eine Möglichkeit hierfür besteht darin, genau nachzuschauen, von welchem Absender die E-Mail stammt. Die Betrüger geben dabei allerdings meistens eine falsche Adresse an, um die Empfänger in die Irre zu führen. Das ist technisch problemlos möglich. Mit einigen Tricks können Sie aber auch den wahren Absender ermitteln. Hier zeigen wir Ihnen, wie Sie dabei vorgehen.

Der Mail-Header: wichtige Zusatzinformationen zur E-Mail

Die Informationen zum tatsächlichen Absender befinden sich im Mail-Header. Allerdings wissen die meisten Anwender überhaupt nicht, was das überhaupt ist und wie sie diesen Mail-Header öffnen können. Dabei handelt es sich um eine Sammlung an Zusatzinformationen zu Ihrer E-Mail. Neben einigen technischen Details ist hier auch der wahre Absender enthalten.

Wie Sie den Mail-Header zu öffnen, hängt davon ab, welches E-Mail-Programm Sie verwenden. Nutzen Sie Outlook, müssen Sie beispielsweise auf "Datei" und anschließend auf "Eigenschaften" klicken. Daraufhin können Sie das Fenster mit der Beschriftung "Internetkopfzeilen" auswählen. Hier erscheinen dann die gewünschten Informationen. Nutzen Sie hingegen Thunderbird, müssen Sie die entsprechende Nachricht markieren und anschließend auf "Ansicht" und danach auf "Nachrichten-Quelltext" klicken.

Greifen Sie online auf Ihre E-Mails zu, sind aufgrund der großen Zahl an Anbietern die Möglichkeiten noch vielfältiger. Bei vielen Mail-Providern - beispielsweise bei Gmail oder bei Hotmail - erscheinen neben den Pfeilen zum Beantworten oder zum Weiterleiten der E-Mail drei Punkte. Wenn Sie diese anklicken, erscheint ein Auswahlmenü, aus dem Sie eine passende Option auswählen müssen - beispielsweise "Original anzeigen" bei Gmail oder "Anzeigen" -> "Nachrichtenquelle anzeigen" bei Hotmail. Bei GMX und Web.de erscheinen hingegen keine drei Punkte, sondern der Buchstabe “i“ in der Kopfzeile. Wenn Sie diesen anklicken, gelangen Sie zum Mail-Header.

So ermitteln Sie den Absender

Der Mail-Header besteht aus einer Menge an Daten, die für die meisten Betrachter zunächst unübersichtlich wirken und deren Sinn nicht klar ersichtlich ist. Um den Absender zu finden, müssen Sie nach den Begriffen "Received: from" suchen. Achten Sie dabei darauf, dass diese meistens mehrmals vorkommen. Das liegt daran, dass die E-Mails häufig nicht direkt übermittelt werden, sondern über Weiterleitungen. Für jede Weiterleitung wird ein entsprechender Eintrag hinzugefügt. Um den ursprünglichen Absender zu finden, müssen sie den letzten Eintrag mit dieser Beschriftung beachten. Nach diesem Ausdruck folgt eine Webadresse. Diese gibt bereits einen ersten Anhaltspunkt. Noch besser ist es jedoch, die IP-Adresse zu überprüfen, die danach in Klammern angegeben ist.

Um zu erfahren, wer sich hinter der entsprechenden IP-Adresse verbirgt, können Sie die folgende Seite aufrufen: https://whatismyipaddress.com/ip-lookup. Kopieren Sie die IP-Adresse aus dem Header und fügen Sie sie in das Suchfeld auf dieser Seite ein. Daraufhin erhalten Sie nicht nur Informationen zum Betreiber des entsprechenden Mailservers, sondern auch zu dessen Standort. Wenn die E-Mail angeblich von Ihrer Hausbank kommt, dann ist es sehr unwahrscheinlich, dass sich der verwendete Mailserver in einem außereuropäischen Land befindet. Deshalb sollten Sie sehr vorsichtig sein, wenn bei der Überprüfung ein solcher Standort herauskommt. Auch wenn der Domain-Name, der bei diesem Test angegeben wird, nicht mit der in der Mail angezeigten Absender-Domain übereinstimmt, stellt dies einen Anhaltspunkt dafür dar, dass etwas nicht stimmt.

Die Seite https://whatismyipaddress.com/ip-lookup stellt nicht die einzige Möglichkeit dar, um eine IP-Adresse zu überprüfen. Darüber hinaus gibt es noch viele weitere Möglichkeiten. Eine beliebte Alternative finden Sie beispielsweise unter https://network-tools.com. Ein interessantes Hilfsmittel ist auch eToolz. Dieses Programm können Sie kostenfrei nutzen. Zwar ist hierfür eine Installation notwendig, was die Nutzung zunächst etwas komplizierter gestaltet. Daraufhin profitieren Sie jedoch von einer kompletten und automatischen Analyse des Mail-Headers. Dieses Tool gibt Ihnen nicht nur Informationen zum Standort des Absenders. Darüber hinaus übernimmt es eine automatische Bewertung, sodass Sie verdächtige E-Mails besonders einfach erkennen.

Neue Sicherheitsprotokolle helfen bei der Ermittlung verdächtiger Absender

Da die Bedrohungen durch Phishing und Malware immer weiter zunehmen, gibt es bereits seit vielen Jahren Bemühungen, die Sicherheitsvorkehrungen in diesem Bereich zu verbessern. Zu diesem Zweck entwickelte die Internet Engineering Task Force (IETF) - eine Arbeitsgruppe für Sicherheitsstandards im Internet - verschiedene Techniken für die Überprüfung des Absenders einer E-Mail.

Das Problem der falschen Absender besteht in einer Lücke in der entsprechenden Übertragungstechnik. Statt einen verifizierten Absender anzugeben, erhält der Empfänger lediglich dessen IP-Adresse. Die Inhalte, die in dem Feld für den Absender erscheinen, kann dieser selbst wählen. Das macht es ganz einfach, einen falschen Absender einzutragen. Deshalb entwickelten die Sicherheitsspezialisten bereits seit dem Jahr 2000 das sogenannte Sender Policy Framework (SPF), das hierbei einen besseren Schutz bieten soll. Allerdings kam es erst 2014 zur Veröffentlichung allgemeiner Regeln für diese Technik. Der Grundgedanke besteht darin, dass die Inhaber einer Domain die Möglichkeit erhalten, auf einem Domain Name Server (DNS) die IP-Adressen ihrer Mailserver einzutragen. Dabei handelt es sich um einen speziellen Server, der für die Organisation des Internets unverzichtbar ist. Er ist dafür verantwortlich, dass Sie bei der Eingabe einer Internetadresse zur richtigen Seite geleitet werden. Wenn der Domain-Inhaber seine IP-Adressen eingetragen hat, kann der Mailserver des Empfängers bereits während des Empfangs der Nachricht überprüfen, ob die Mail tatsächlich von einem Server stammt, der zur Domain passt, die als Absender angegeben wurde.

Digitale Signaturen erhöhen die Sicherheit

Allerdings lässt sich das SPF nicht immer anwenden. Ein großes Problem besteht darin, dass nicht alle Domain-Inhaber einen entsprechenden DNS-Eintrag erstellen. In diesem Fall ist es nicht möglich, die Überprüfung durchzuführen. Dieses Problem tritt besonders häufig bei Weiterleitungen auf. Selbst wenn der ursprüngliche Absender einen entsprechenden Eintrag erstellt hat, ist eine Überprüfung nicht mehr möglich, wenn die IP-Adresse des Server, der die E-Mail weiterleitet, nicht im DNS-System hinterlegt ist. Deshalb gibt es seit 2011 auch die DKIM-Technik. Diese Abkürzung steht für Domain Keys Identified Mails. Diese Technik verwendet eine digitale Signatur der gesamten Nachricht sowie aller Anhänge.

Die Signatur besteht aus einem Paar aus zwei Schlüsseln. Um die Echtheit zu bestätigen, sind beide Schlüssel notwendig. Der erste Schlüssel - auch als privater Schlüssel bezeichnet - wird an die E-Mail angehängt. Den zweiten Schlüssel kann der Domain-Inhaber auf dem DNS-Server hinterlegen. Dieser wird als öffentlicher Schlüssel bezeichnet, da er frei zugänglich ist. Der Absender hat dabei auch die Möglichkeit, mehrere Signaturen zu verwenden. In diesem Fall muss er im Header der E-Mail angeben, welche von ihnen gerade zum Einsatz kommt. Die DKIM-Technik bietet nicht nur die Möglichkeit, den ursprünglichen Absender unabhängig von etwaigen Weiterleitungen der E-Mail zu identifizieren. Darüber hinaus verhindert diese Technik Manipulationen an den Inhalten der E-Mail.

Erweiterungen der technischen Standards für eine noch höhere Sicherheit

SPF und DKIM bieten bereits einen guten Grundschutz. Allerdings reichen diese beiden Standards noch nicht aus, um den Absender der E-Mail zuverlässig zu ermitteln. Deshalb entschied sich die IETF im Jahre 2015 dazu, eine Erweiterung dieser beiden Techniken vorzunehmen, um die Sicherheit weiter zu erhöhen. Eine wichtige Neuerung stellte DMARC (Domain-based Message Authentication, Reporting and Conformance) dar. Dieser neue Standard war notwendig, da das bisherige System aus SPF und DKIM eine Lücke aufwies. Mit SPF war es möglich, nachzuweisen, dass eine E-Mail tatsächlich von dem Server verschickt wurde, der zur angegebenen Domain gehört. DKIM garantiert hingegen, dass der Inhalt unverändert von einem bestimmten Absender stammt. Nicht vorgegeben war bislang jedoch, was passieren sollte, wenn eine dieser beiden Überprüfungen fehlschlägt. DMARC gibt für diesen Fall nun genaue Regeln vor. Dabei kann der Absender zwischen drei verschiedenen Möglichkeiten auswählen: none, quarantine und reject. Wenn der Absender hier none vorgibt, macht er keine Regeln zum Umgang mit der E-Mail. Der Empfänger kann in diesem Fall frei entscheiden. Diese Vorgabe bringt jedoch keine Verbesserung zum bisherigen System, sodass sie meistens nur zu Testzwecken zum Einsatz kommt. Mit der Vorgabe quarantine kann der Absender erreichen, dass die E-Mail bei Problemen mit der Überprüfung als Spam behandelt wird. Die Angabe reject führt hingegen dazu, dass der Empfänger die E-Mail ablehnt.

Allerdings stellte sich bereits bald heraus, dass auch dieses System noch nicht perfekt war. Beispielsweise kam es immer wieder vor, dass der Server des Empfängers eine E-Mail abgewiesen hat, obwohl diese eigentlich legitim war. So gingen wichtige Nachrichten verloren. Dies kam beispielsweise bei Weiterleitungen vor, bei denen es im Vergleich zur ursprünglichen Nachricht zu einer Veränderung der Betreff-Zeile kam. Da DKIM solche Veränderungen registriert, wurden die entsprechenden E-Mails geblockt. Bei Mailing-Listen kam es hingegen häufig zu Problemen mit SPF, da sich hierbei der Absender vom ursprünglichen Verfasser unterscheidet - und damit auch der Mailserver, von dem die Nachricht verschickt wird. Aus diesen Gründen erhöhte DMARC zwar die Sicherheit, doch brachte die Technik neue Probleme mit sich.

Deshalb kam es 2019 zu einer weiteren Erweiterung. Diese trug den Namen Authenticated Received Chain (ARC). Dieser Standard erlaubt es, dass der Betreiber eines zwischengeschalteten Servers einen eigenen Signierdienst dafür einrichtet. Dieser bestätigt die Authentifizierungsinformationen der ursprünglichen Nachricht. Auf diese Weise kann ARC eine Nachricht für gültig erklären, selbst wenn es zu Problemen bei der Überprüfung mit SPF oder DKIM kommt. Das verhindert, dass der Empfänger legitime Nachrichten aufgrund einer Weiterleitung durch einen zwischengeschalteten Server blockiert oder als Spam behandelt.

Fazit: Absender ermitteln und für eine höhere Sicherheit sorgen

Die letzten Abschnitte haben gezeigt, dass in den letzten Jahren einige neue Techniken entstanden, die für eine bessere Identifizierung des Absenders und damit für eine höhere Sicherheit beim Empfang einer E-Mail sorgen. Allerdings ist die Verwendung dieser Standards nicht zwingend. Außerdem haben Sie als Anwender keine Möglichkeit, Ihren Account entsprechend zu konfigurieren. Welche Standards der Mailserver unterstützt, hängt deshalb stets vom gewählten Provider ab.

Allerdings unterstützen mittlerweile fast alle Anbieter in diesem Bereich mindestens eine der vorgestellten Techniken. Auch Unternehmen, die ihren Mailserver selbst einrichten, achten immer häufiger auf dieses Details. Das führt allgemein zu einer höheren Sicherheit, sodass E-Mails mit gefälschtem Absender immer häufiger erkannt werden, während legitime Nachrichten fast immer ankommen.

Darüber hinaus können Sie Ihre Nachrichten auch selbst kontrollieren, falls in diesem Bereich Zweifel bestehen sollten. Da sich ein Eintrag im DNS-System leicht nachvollziehen lässt, verzichten Kriminelle praktisch immer darauf. Deshalb können sie ihre Nachrichten weder durch SPF noch über DKIM legitimieren - und damit auch nicht über die damit verbundenen Techniken DMARC und ARC. Aus diesem Grund lohnt sich nochmals ein Blick in den Header der E-Mail. Ist die Nachricht über eine der genannten Techniken verifiziert, erscheint hier ein Vermerk. Um diesen zu finden, müssen Sie einfach nach den genannten Abkürzungen suchen. Ist eines der Kürzel enthalten, kam es zu einer Überprüfung, sodass Sie dem Absender normalerweise vertrauen können. Tauchen diese hingegen nicht auf, ist dies zwar noch kein Beweis für eine betrügerische Nachricht. Dennoch sollten Sie die entsprechende E-Mail mit viel Vorsicht behandeln.