E-Mail-Header

E-Mail Header

Die Elektronische Mail (kurz E-Mail) ist ein zwischen unterschiedlichen Systemen und Architekturen interoperabler Dienst zum versenden individueller Nachrichten.^[1] Solche Nachrichten enthalten standardisiert einen für den Nutzer anzeigbaren Kopf / Header (engl. „header“) und einen Rumpf (engl. „body“). Im Header befinden sich mehrere Zeilen aus verschiedenen Zeichen mit einer speziellen Syntax, die durch dem Standard RFC 5322^[2] definiert ist. Grundsätzlich folgt jede Header-Zeile der folgenden Syntax:

Feld_Bezeichnung: Inhalt

Normalerweise besteht ein Header-Eintrag aus einer Zeile; da es allerdings eine Längenbeschränkung auf 998/78 Zeichen pro Zeile gibt, ist es möglich, einen Eintrag auf mehrere Zeilen zu verteilen. Dies wird im Standard als folding bezeichnet. Die Fortsetzungszeilen beginnen in diesem Fall mit einem whitespace (z. B. einem Leerzeichen.)

Die Auswertung solcher Header kann gewinnbringende Informationen über den Absender und den Zeitpunkt des Absendens sowie den Laufweg der Nachricht und die verarbeitenden Systeme enthalten. Typische Informationen des Headers sind u.a.

• Datums- und Uhrzeit-Angaben
• Zeitzone
• Display-Name
• Domain
• IP-Adresse des Absenders
• Absender / Empfänger / Cc / Bcc (Display-Namen und E-Mailadressen)

Sicherung von E-Mail Headern

Um E-Mail-Header analysieren zu können, müssen diese zunächst extrahiert werden. Je nach Webanwendung oder Client ist das Vorgehen dazu unterschiedlich. Nachfolgend wird eine Auswahl dieser Vorgehen anhand gängiger Webanwendungen und Clients dargestellt.

1. Outlook^[3] (Lokaler Client)

• Doppelklicken Sie auf eine E-Mail-Nachricht, um sie außerhalb des Lesebereichs zu öffnen.
• Klicken Sie auf Datei> Eigenschaften.
• Kopfzeileninformationen werden im Feld Internetkopfzeilen angezeigt.
• Tipp:Sie können die Informationen in diesem Feld hervorheben, STRG+C drücken, um sie zu kopieren, und sie in Editor oder Word einfügen, um die gesamte Kopfzeile gleichzeitig zu sehen.

2. Thunderbird (Lokaler Client)

• E-Mail auswählen
• Einstellungen -> Ansicht -> E-Mail-Quelltext anzeigen

3. Web.de^[4] (Webanwendung)

• Klicken Sie auf das Info-Symbol der betreffenden E-Mail. Es öffnet sich ein Fenster mit den erweiterten E-Mail-Informationen.
• Markieren Sie den Text mit gedrückter linker Maustaste und kopieren Sie den markierten Text mit Strg + C

4. Gmx.de^[5] (Webanwendung)

• Klicken Sie auf das Info-Symbol der betreffenden E-Mail. Es öffnet sich ein Fenster mit den erweiterten E-Mail-Informationen.
• Markieren Sie den Text mit gedrückter linker Maustaste und kopieren Sie den markierten Text mit Strg + C.

5. iCloud.com^[6] (Webanwendung)

• Wähle eine Nachricht in „Mail“ auf iCloud.com aus.
• Klicke auf und anschließend auf „Alle Header einblenden“.
• Klicke auf und anschließend auf „Standard-Header einblenden“, um nicht mehr alle Header anzuzeigen.

6. Gmail.com^[7] (Webanwendung)

• Öffnen Sie die E-Mail, deren Header Sie überprüfen möchten.
• Klicken Sie neben „Antworten“ auf das Dreipunkt-Menü Original anzeigen.
• Kopieren Sie den Text auf der Seite.
• Öffnen Sie das Tool „Nachrichten-Header“.
• Fügen Sie im Abschnitt "E-Mail-Header hier einfügen" Ihren Header ein.
• Klicken Sie auf Header oben analysieren.

Beispiel E-Mail-Header

Zur Veranschaulichung wird nachfolgend ein Ausschnitt des E-Mail-Headers einer Werbemail der Plattform GMX dargestellt (personenbezogene Daten wurden an dieser Stelle pseudonymisiert).

Header:

Return-Path: <mailings@mailings.gmx.net>
Authentication-Results:  gmx.net; dkim=pass header.i=@mailings.gmx.net
Received: from mout-csbulk.1and1.com ([212.227.15.53]) by mx-ha.gmx.net
  (mxgmx103 [212.227.17.5]) with ESMTPS (Nemesis) id 1MeCZ5-1nWyOC0iSF-00bMu8
  for <Max_Mustermann@gmx.de>; Thu, 30 Jun 2022 12:47:23 +0200
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mailings.gmx.net;
  s=isystem1; t=1656586043;
  bh=zi4FqYIdpIwcsf+sK0WA75BbiA5zVTCs/dPw6mK+63Y=;
  h=X-UI-Sender-Class:Date:To:From:Reply-To:Subject;
  b=D/x4ENmFX26x0Yfir0uzyaDldP00MNpErNvYpU8FKs6E+QxC5a8hvWuvZNBvMkEp3
  Jaui124uVl4eqGhgwHeeRht2KGErlPr90RwShXzHDTutfK8dE8iB8/Vnh/MUyWdJzE
  AGicEqtR+Sbb3GA5tI0TjuT8AHeu2SjfW1+6pnPM=
X-UI-Sender-Class: b1815dde-56d5-42be-91f0-18350f97da04
Received: from esix-sender-gmx-bs04.ui-portal.com ([10.74.4.16]) by
  mrs-csbulk.1and1.com (mrsbulk009 [172.19.128.198]) with ESMTPSA (Nemesis) id
  0LgNmu-1nJRz43zSG-00nlFe for < Max_Mustermann@gmx.de>; Thu, 30 Jun 2022
  12:47:23 +0200
Date: Thu, 30 Jun 2022 12:47:22 +0200
To: Max_Mustermann@gmx.de
From: GMX Magazin <mailings@mailings.gmx.net>
Reply-To: mailings@gmxnet.de
Subject: Ihr Stromtarif + iPad oder 4K-TV
Message-ID: <E5-3hqyee3o-elaine/10/534-004a6uhu@esix-sender-gmx-bs04.ui-portal.com>
[…]

Auswertung von E-Mail-Headern

Anhand des o.g. Beispiels der GMX-Werbemail wird im Folgenden dargestellt, wie solche E-Mails ausgewertet werden können. Offensichtlich können die Zeitangaben, die Empfängeradresse und teilweise auch die Absenderadresse direkt ausgelesen werden. Die Datums- und Uhrzeitangaben basieren bei lokal installierten Rechner-Clients i.d.R. auf der Rechnerzeit. Bei Webanwendungen ist die in den Headern angegebene Zeit die des Mailservers der Empfänger-Adresse. Insofern ist auch von Relevanz, auf welchem Server in welcher Zeitzone die E-Mail empfangen worden ist. Ein Vergleich zwischen den Angaben der E-Mail und der jeweiligen Systemzeit ist somit obligatorisch. Im Beispiel wird die Zeitzone über die Zeilen "+0200" identifiziert, welche auf UTC + 2 Std. deutet.

Die tatsächlich absendende Stelle lässt sich anhand der „Received“-Zeilen ermitteln. Je nachdem, wie viele Mail-Server an der Kommunikation beteiligt sind, gibt es entsprechend viele „Received“-Zeilen. Bei „Received“-Zeilen und den Absende-Adressen muss beachtet werden, dass Absender u.a. diese Zeilen fälschen kann. Dieses Phänomen wird auch Spoofing genannt, bei der ein Angreifer seine Identität maskiert bzw. fälscht, um unter dieser gefälschten Identität zu kommunizieren.

Unter der Prämisse, dass dies in dem obigen Fall unzutreffend ist, betrachten wir die beiden vorhandenen „Received“-Zeilen genauer.

Received: from mout-csbulk.1and1.com ([212.227.15.53]) by mx-ha.gmx.net
  (mxgmx103 [212.227.17.5]) with ESMTPS (Nemesis) id 1MeCZ5-1nWyOC0iSF-00bMu8
  for <Max_Mustermann@gmx.de>; Thu, 30 Jun 2022 12:47:23 +0200

Received: from esix-sender-gmx-bs04.ui-portal.com ([10.74.4.16]) by
  mrs-csbulk.1and1.com (mrsbulk009 [172.19.128.198]) with ESMTPSA (Nemesis) id
  0LgNmu-1nJRz43zSG-00nlFe for < Max_Mustermann@gmx.de>; Thu, 30 Jun 2022
  12:47:23 +0200

Relevant sind hierbei nun die beiden „from“-Angaben. Die IP-Adresse der zweiten „received“-Nachricht kann ignoriert werden, da diese gem. des Standards der IANA (Internet Assigned Numbers Authority) in den privaten IP-Adressraum fällt und lediglich öffentlich IP-Adressen einzigartig zu einem bestimmten Zeitpunkt und somit nachverfolgbar sind.^[8]

Zu den privaten IP-Adressbereichen zählen gem. der IANA:

• Klasse A: 10.0.0.0 to 10.255.255.255
• Klasse B: 172.16.0.0 to 172.31.255.255
• Klasse C: 192.168.0.0 to 192.168.255.255

Somit ist nur noch die IP-Adresse 212.227.15.53 zu untersuchen. Mittels einer Whois-Abfrage, bspw. über das Whois-Tool der Website www.viewdns.info, lassen sich weitere Informationen zu dieser IP-Adresse ermitteln:

[…]
inetnum: 212.227.15.0 - 212.227.15.127
netname: IONOS-NET
descr: 1&1 IONOS SE
country: DE
[…]
last-modified: 2022-05-18T09:18:10Z
source: RIPE
[…]

Daraus resultiert, dass sich die vorgenannte IP-Adresse im Adressbereich des deutschen Providers 1&1 IONOS SE befindet.

Die o.a. manuelle Auswertung von E-Mail-Headern ist aufgrund des unübersichtlichen Quelltextes umständlich. Daher ist der Einsatz von freien Analyse-Tools, wie bspw. dieser deutschsprachige E-Mail Header Analyzer, sinnvoll. In diese wird der E-Mail-Header kopiert, sodass die nötigen Informationen übersichtlich dargestellt werden.

Absender-Authentizität

Für die Auswertung ist aufgrund möglicher Identitätsverfälschungen von Interesse, ob der Absender authentisch ist. Hierzu gibt es mit DKIM ein Verfahren, das auf E-Mail Headern basiert.

DomainKeys Identified Mail

Eine Möglichkeit der Authentizitäts- und Integritäts-Prüfung sind Domain Keys Identified Mail (kurz DKIM), bei der der sendende Mail-Server der E-Mail eine digitale Signatur beifügt. Die Signatur besteht aus dem Hash-Wert der zu sendenden E-Mail, welcher mit dem privaten Schlüssel des Absenders verschlüsselt wird. Anschließend kann der empfangende Mail-Server mit dem öffentlichen Schlüssel sowohl die Authentizität des Absenders als auch die Integrität der Nachricht sicherstellen.^[9]

Beispiel eines DKIM-Eintrags von GMX im E-Mail-Header der vorherig aufgeführten Werbe-Mail:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mailings.gmx.net;
  s=isystem1; t=1656586043;
  bh=zi4FqYIdpIwcsf+sK0WA75BbiA5zVTCs/dPw6mK+63Y=;
  h=X-UI-Sender-Class:Date:To:From:Reply-To:Subject;
  b=D/x4ENmFX26x0Yfir0uzyaDldP00MNpErNvYpU8FKs6E+QxC5a8hvWuvZNBvMkEp3
  Jaui124uVl4eqGhgwHeeRht2KGErlPr90RwShXzHDTutfK8dE8iB8/Vnh/MUyWdJzE
  AGicEqtR+Sbb3GA5tI0TjuT8AHeu2SjfW1+6pnPM=

Nachfolgend sind die erforderlichen Tags eines DKIM-Signatur-Headers aufgeführt. DKIM-Signaturen, bei denen diese Tags fehlen, führen zu einem Fehler während des Verifizierungsprozesses^[10].

weitere Tags der DKIM sind:

Hier ist ein Beispiel für einen DNS-Selektoreintrag (siehe o.g. Tag "s"). Die in diesem Beispiel gezeigten Tags erscheinen nur in einem solchen Datensatz innerhalb des DNS und nicht im E-Mail-Header selbst:

<selector(s=)._domainkey.domain(d=)>.   TXT v=DKIM1;

Ein solcher DKIM-Eintrag lässt sich online mit dem DKIM Record Checker überprüfen.

Rechtliche Besonderheiten

Bei Vorfällen durch E-Mails mit strafrechtlicher Relevanz kann eine Person durch den E-Mail-Header ermittelt werden. Mögliche Szenarien können hierbei sein:

• Beleidigung gem. § 185 StGB oder Bedrohung gem. § 241 StGB per E-Mail
• Phishing-Mails, welche ein Vorbereiten des Ausspähens oder Abfangen von Daten gem. § 202c StGB darstellen können, sofern bspw. Passwörter erfolgreich abgegriffen werden
• per E-Mail versandte Malware können eine Strafbarkeit gem. § 303a StGB darstellen

Bei der Erstattung einer Strafanzeige ist zwingenderweise der Sachverhalt darzulegen, damit die Strafverfolgungsbehörden die Ermittlungen aufnehmen. Zur Beschleunigung der Ermittlungen können der Behörde neben einer Sachverhaltsdarstellung der E-Mail-Header sowie die Analyse des Headers inkl. Nennung des Providers übermittelt werden. Hierzu ist jedoch eine lückenlose Dokumentation des Analyseprozesses mitzuübersenden.

Sofern Bestandsdaten bei dem jeweiligen deutschen Provider hinterlegt sind, können in Strafermittlungsverfahren weitere Ermittlungsansätze zur Identität einer Person erlangt werden. Ermittlungsbehörden können gem. § 100j Abs. 2 StPO i.V.m. § 174 Abs. 1 S. 3 TKG die Bestandsdaten zu einer IP-Adresse bei deutschen Providern ermitteln.

Zu beachten sind etwaige Speicherfristen für Bestandsdaten bei den deutschen Providern, die regelhaft nur wenige Tage (meistens 7 Tage) betragen.

Sollen gegenüber dem Absender Schadensersatzansprüche geltend gemacht werden, so kann bereits im Strafverfahren der Antrag auf ein Adhäsionsverfahren gestellt werden. Die Richterin oder der Richter sind in einem Adhäsionsverfahren befugt, über den Antrag der oder des Verletzten mitzuentscheiden. Wenn das Adhäsionsverfahren nicht angewendet wird, besteht trotzdem die Möglichkeit, gem. § 475 StPO Akteneinsicht für das eigene zivilrechtliche Verfahren zu erlangen, da zivilrechtliche Ansprüche regelrecht als berechtigtes Interesse im Sinne des § 475 Abs. 1 StPO gelten. Durch die erweiterten Befugnisse im Strafverfahren und den damit größeren Erfolgschancen auf Ermittlung eines Verantwortlichen, können dadurch zum Erfolg eines zivilrechtlichen Verfahrens führen.