Der Anzeigenname von E-Mails besteht aus Klartext, d.h. er ist frei editierbar. Jeder kann dort die Absende-Adresse händisch ändern. Unberechtige Versender identifizieren auf unterschiedliche Weise Mailadressen und verwenden diese dann, um in ihren Phishing-Mails die Absende-Adresse anzugeben. Vergleichbar ist dies mit einem Postbrief, bei dem der falsche Absender aufgedruckt wird.
Die folgende Anleitung zum Identifizieren des wahren Absenders einer E-Mail wurde für Outlook 2016 erstellt. Alle Schritte lassen sich identisch in älteren Outlook- Versionen ab Outlook 2010 nachvollziehen.
1. Öffnen Sie die verdächtige E-Mail in einem extra Fenster
Vorsicht! Klicken Sie auf keinen Fall auf Links oder Anhänge in der E-Mail!
2. Klicken Sie links oben auf den Punkt „Datei“
3. Klicken Sie auf „Informationen“ und dann auf „Eigenschaften“
4. Sehen Sie sich den Bereich „Internetkopfzeilen“ genauer an
Diese können Sie zum besseren Überblick in eine Word-Datei kopieren.
Hier gibt es mehrere Sektionen von „Received“- Alle bei der Nachrichtenzustellung beteiligten Server sind chronologisch gelistet. Der unterste Eintrag gibt den Ursprung der Mail an. Im Beispiel unten ist die IP Adresse „217.72.192.78“ die originale IP-Adresse des Absender-Servers.
5. Einfacher geht das über eine von Microsoft bereitgestellte Seite zur Analyse von E-Mail Kopfzeilen: https://testconnectivity.microsoft.com/MHA/Pages/mha.aspx
Hierhin kopieren Sie den vollständigen Inhalt der Internetkopfzeile und drücken anschließend auf „Analyze headers“
6. Kurz darauf werden Ihnen verschiedenste Infos aus der Internetkopfzeile angezeigt
Unter anderem sind unter dem Punkt „Received Headers“ sämtlich Server aufgelistet, die die Mail durchlaufen hat.Der erste Server in der Liste „Hop 1“ ist der Ursprungsserver der E-Mail.
Peter Robert, Techniker im netcos Team
Bildquelle: https://pixabay.com/de/phishing-betrug-internet-sicherheit-3390518/