{"id":27635,"date":"2021-10-26T13:50:38","date_gmt":"2021-10-26T11:50:38","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=27635"},"modified":"2021-10-26T13:50:38","modified_gmt":"2021-10-26T11:50:38","slug":"analyzing-mail-header","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/analyzing-mail-header\/27635\/","title":{"rendered":"Verd\u00e4chtige E-Mails analysieren \u2013 so entlarven Sie gef\u00e4lschte Mails"},"content":{"rendered":"<p>Phishing-Anzeichen springen manchmal direkt ins Auge \u2013 <a href=\"https:\/\/www.kaspersky.de\/blog\/google-script-phishing\/27110\/\" target=\"_blank\" rel=\"noopener\">die Adresse des Absenders stimmt nicht mit dem angeblichen Unternehmen \u00fcberein<\/a>, <a href=\"https:\/\/www.kaspersky.de\/blog\/office-phishing-html-attachment\/26549\/\" target=\"_blank\" rel=\"noopener\">eindeutige Widerspr\u00fcchlichkeiten<\/a>, <a href=\"https:\/\/www.kaspersky.de\/blog\/adobe-online-imitation\/27024\/\" target=\"_blank\" rel=\"noopener\">Benachrichtigungen, die anscheinend von Onlinediensten kommen<\/a> usw. \u2013 aber es nicht immer so einfach eine gef\u00e4lschte E-Mail auf den ersten Blick zu erkennen. Betr\u00fcger k\u00f6nnen beispielsweise an dem sichtbaren Feld mit der E-Mail-Adresse herumpfuschen, damit es \u00fcberzeugender aussieht.<\/p>\n<p>Diese Technik wird zwar selten f\u00fcr gro\u00df angelegte Phishing-Kampagnen verwendet, daf\u00fcr ist sie f\u00fcr gezielte Phishing-Angriffe aber umso beliebter. Wenn die E-Mail nicht verd\u00e4chtig aussieht, Sie aber Zweifel an der Authentizit\u00e4t des Absenders haben, k\u00f6nnen Sie mithilfe des sogenannten <em>Received-Headers<\/em>, der Kopfzeile der Mail, der Sache auf den Grund gehen. In diesem Artikel erkl\u00e4ren wie Ihnen ausf\u00fchrlich wie das geht.<\/p>\n<h2>Gr\u00fcnde, um an der Authentizit\u00e4t einer E-Mail zu zweifeln<\/h2>\n<p>Jegliche ungew\u00f6hnliche Anfrage ist ein klarer Warnhinweis. Zum Beispiel, eine gesch\u00e4ftliche E-Mail in der Sie gebeten werden etwas zu tun, was nicht zu Ihren \u00fcblichen Aufgaben geh\u00f6rt, ist ein deutliches Warnzeichen und erfordert eine genaue \u00dcberpr\u00fcfung. Besonders, wenn die Mail angeblich sehr wichtig ist (eine Anfrage pers\u00f6nlich vom Gesch\u00e4ftsf\u00fchrer) oder wenn etwas dringlich erledigt werden soll (Rechnung muss innerhalb von zwei Stunden bezahlt werden!). <a href=\"https:\/\/www.kaspersky.de\/blog\/phishing-psychology\/18407\/\" target=\"_blank\" rel=\"noopener\">All das z\u00e4hlt zu den gew\u00f6hnlichen Phishing-Tricks<\/a>. Sie sollten aber auch auf der Hut sein, wenn Sie um Folgendes gebeten werden:<\/p>\n<ul>\n<li>Auf einen Link zu klicken, um auf einer externen Webseite Ihre Zugangs- oder Kontodaten einzugeben.<\/li>\n<li>Einen Anhang herunterzuladen und zu \u00f6ffnen (besonders, wenn es sich um eine ausf\u00fchrbare Datei handelt).<\/li>\n<li>Aktionen auszuf\u00fchren, die mit Geld\u00fcberweisungen oder Zugang zu Systemen oder bestimmten Diensten verbunden sind.<\/li>\n<\/ul>\n<h2>E-Mail-Header finden<\/h2>\n<p>Leider ist das sichtbare Absenderfeld leicht zu spoofen, d. h. der Name des Absenders kann gef\u00e4lscht werden, damit er glaubw\u00fcrdiger erscheint. In der Kopfzeile wird in der Regel die echte Internetadresse (Domain) des Absenders angegeben. Bei allen E-Mail-Clienten ist es m\u00f6glich den Header einzusehen. F\u00fcr diesen Artikel werden wir den Vorgang bei Microsoft Outlook erkl\u00e4ren, weil er der meistverwendete E-Mail-Client bei modernen Unternehmen ist. Es ist davon auszugehen, dass die Header-Suche bei anderen Mail-Clienten \u00e4hnlich ist. Falls Sie einen anderen E-Mail-Dienst verwenden, k\u00f6nnen Sie sich entweder in den Hilfeinhalten des entsprechenden Clienten schlaumachen oder einfach versuchen die Kopfzeile selbst zu finden.<\/p>\n<p>In Microsoft Outlook:<\/p>\n<ol>\n<li>Doppelklicken Sie auf die E-Mail-Nachricht, die Sie \u00fcberpr\u00fcfen m\u00f6chten, um sie au\u00dferhalb des Lesebereichs zu \u00f6ffnen.<\/li>\n<li>Klicken Sie auf Datei \u2192 <em>Eigenschaften<\/em>.<\/li>\n<li>Kopfzeileninformationen werden im Feld Internetkopfzeilen angezeigt.<\/li>\n<\/ol>\n<p>Bevor die E-Mail im Posteingang des Empf\u00e4ngers ankommt, wird sie m\u00f6glicherweise \u00fcber mehrere Zwischenknoten weitergeleitet. Aus diesem Grund werden Sie in den Kopfzeileninformationen wahrscheinlich mehrmals \u201eReceived\u201c (erhalten) sehen. In der untersten Received-Zeile sind die Informationen \u00fcber den Originalabsender enthalten. Das sieht in etwa so aus:<\/p>\n<div id=\"attachment_27639\" style=\"width: 385px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-27639\" class=\"wp-image-27639 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2021\/10\/26130856\/analyzing-mail-header-received.png\" alt=\"\" width=\"375\" height=\"106\"><p id=\"caption-attachment-27639\" class=\"wp-caption-text\">Kopfzeile mit Received-Eintr\u00e4gen<\/p><\/div>\n<h2>Internetadresse in der Kopfzeile \u00fcberpr\u00fcfen<\/h2>\n<p>Am einfachsten k\u00f6nnen Sie die Informationen aus der Kopfzeile auf unserem <a href=\"https:\/\/opentip.kaspersky.com\/?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______&amp;utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=dach_wpplaceholder_nv0092&amp;utm_content=link&amp;utm_term=dach_kdaily_organic_undefined\" target=\"_blank\" rel=\"noopener nofollow\">Threat Intelligence Portal<\/a> \u00fcberpr\u00fcfen. Einige Features des Portals sind kostenfrei, d. h. Sie k\u00f6nnen die Funktionen nutzen, ohne sich zu registrieren.<\/p>\n<p>Zur \u00dcberpr\u00fcfung der Internetadresse, kopieren Sie die Domain, gehen Sie zum <a href=\"https:\/\/opentip.kaspersky.com\/?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______&amp;utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=dach_wpplaceholder_nv0092&amp;utm_content=link&amp;utm_term=dach_kdaily_organic_undefined\" target=\"_blank\" rel=\"noopener nofollow\">Kasperskys Threat Intelligence Portal<\/a>, klicken Sie auf die Schaltfl\u00e4che <em>Lookup<\/em>, f\u00fcgen Sie die kopierten Daten in das Feld ein und klicken Sie auf den gr\u00fcnen Button <em>Look up<\/em>. Daraufhin erhalten Sie die verf\u00fcgbaren Informationen zur Domain, die Absender-Reputation und WHOIS-Infos. (Whois ist ein Protokoll, dass zur Abfrage von Informationen genutzt wird und steht f\u00fcr die Frage \u201ewho is\u201c, wobei es sich um die Frage handelt, \u201ewer ist\u201c.) Die Antwort auf Ihre Anfrage im Threat Intelligence Portal sieht in etwa so aus:<\/p>\n<div id=\"attachment_27640\" style=\"width: 1492px\" class=\"wp-caption aligncenter\"><img loading=\"lazy\" decoding=\"async\" aria-describedby=\"caption-attachment-27640\" class=\"wp-image-27640 size-full\" src=\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/96\/2021\/10\/26131033\/analyzing-mail-header-openTIP.png\" alt=\"\" width=\"1482\" height=\"735\"><p id=\"caption-attachment-27640\" class=\"wp-caption-text\">Information from Kasperskys Threat Intelligence Portal<\/p><\/div>\n<p>In der ersten Linie wird wahrscheinlich \u201eGood\u201c (gut) oder \u201eUncategorized\u201c (noch nicht klassifiziert) angezeigt. Das bedeutet, dass diese Domain in unserem System nicht als eine Internetadresse verzeichnet ist, die bereits f\u00fcr kriminelle Zwecke verwendet wurde. Bei der Vorbereitung eines Angriffes k\u00f6nnen die Internetverbrecher allerdings eine neue Domain registrieren oder eine legitime, gehackte Domain verwenden, die eine ausgezeichnete Reputation genie\u00dft. \u00dcberpr\u00fcfen Sie sorgf\u00e4ltig welches Unternehmen die Domain registriert hat und ob diese Informationen mit den Absenderdaten \u00fcbereinstimmen. Beispielsweise wird ein Mitarbeiter eines Partnerunternehmens aus der Schweiz bestimmt keine E-Mail \u00fcber eine unbekannte Domain schicken, die in Malaysia registriert wurde.<\/p>\n<p>Nebenbei bemerkt k\u00f6nnen Sie unser Portal auch verwenden, um die Links in dubiosen E-Mails zu \u00fcberpr\u00fcfen. Au\u00dferdem verf\u00fcgt das Portal auch \u00fcber die Schaltfl\u00e4che <em>File Analysis<\/em>. Hier k\u00f6nnen Sie E-Mail-Anh\u00e4nge vor dem \u00d6ffnen scannen lassen, wenn Ihnen eine Datei verd\u00e4chtig vorkommt.<\/p>\n<p>Kasperskys Threat Intelligence Portal bietet eine Menge an n\u00fctzlichen Funktionen, allerdings stehen die meisten nur registrierten Benutzern zur Verf\u00fcgung. Unter der Schaltfl\u00e4che <a href=\"https:\/\/opentip.kaspersky.com\/?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______&amp;utm_source=kdaily&amp;utm_medium=blog&amp;utm_campaign=dach_wpplaceholder_nv0092&amp;utm_content=link&amp;utm_term=dach_kdaily_organic_undefined\" target=\"_blank\" rel=\"noopener nofollow\">About the Portal<\/a>\u00a0finden Sie detaillierte Informationen \u00fcber den Service.<\/p>\n<h2>Schutz vor Phishing und sch\u00e4dlichen E-Mails<\/h2>\n<p>Auch wenn es grunds\u00e4tzlich klug ist verd\u00e4chtige E-Mails zu \u00fcberpr\u00fcfen, ist es noch kl\u00fcger vorher zu verhindern, dass diese E-Mails \u00fcberhaupt in den Posteingang gelangen. Aus diesem Grund empfehlen wir in Unternehmen eine Anti-Phishing-L\u00f6sungen <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security\/mail-server?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">auf Serverebene<\/a> zu verwenden.<\/p>\n<p>Zus\u00e4tzlich sollte auch eine <a href=\"https:\/\/www.kaspersky.de\/small-to-medium-business-security?icid=de_kdailyplacehold_acq_ona_smm__onl_b2b_kasperskydaily_wpplaceholder_______\" target=\"_blank\" rel=\"noopener\">Schutzl\u00f6sung zur Abwehr von Spam und Phishing<\/a> auf den Workstations installiert werden, damit Redirects von Phishing-Links sofort blockiert werden, f\u00fcr den Fall, dass sich doch eine gef\u00e4lschte E-Mail durch geschmuggelt hat und der Betr\u00fcger es schafft den Empf\u00e4nger auszutricksen.<\/p>\n<input type=\"hidden\" class=\"category_for_banner\" value=\"b2b\">\n","protected":false},"excerpt":{"rendered":"<p>Wenn Sie eine E-Mail von dubioser Authentizit\u00e4t erhalten, pr\u00fcfen Sie die Mail sorgf\u00e4ltig \u2013 wir erkl\u00e4ren worauf Sie achten sollten. <\/p>\n","protected":false},"author":2685,"featured_media":27636,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[1424,62,53],"class_list":{"0":"post-27635","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-analyse","10":"tag-e-mail","11":"tag-phishing"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/analyzing-mail-header\/27635\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/analyzing-mail-header\/23519\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/analyzing-mail-header\/19003\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/analyzing-mail-header\/9527\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/analyzing-mail-header\/25608\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/analyzing-mail-header\/23672\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/analyzing-mail-header\/23171\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/analyzing-mail-header\/26307\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/analyzing-mail-header\/25840\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/analyzing-mail-header\/31779\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/analyzing-mail-header\/10196\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/analyzing-mail-header\/42665\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/analyzing-mail-header\/17973\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/analyzing-mail-header\/18341\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/analyzing-mail-header\/15447\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/analyzing-mail-header\/31892\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/analyzing-mail-header\/27768\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/analyzing-mail-header\/24509\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/analyzing-mail-header\/29871\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/analyzing-mail-header\/29673\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/phishing\/","name":"phishing"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27635","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2685"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=27635"}],"version-history":[{"count":5,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27635\/revisions"}],"predecessor-version":[{"id":27638,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/27635\/revisions\/27638"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/27636"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=27635"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=27635"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=27635"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}