Gibt's dazu irgendwo im Netz eine Erklärung was alles in einem E-Mail Header drinsteht?

Ich glaub das ist schwierig. Eventuell noch über die IP des Absende-servers? Aber auch damit, kann man denke ich nicht mit Sicherheit sagen, dass es eine gefälschte E-mail ist. Es könnte ja sein, dass das Gegenüber einfach einen anderen Server zum versenden verwendet.

Wiki Link zum Email Header:
http://de.wikipedia.org/wiki/Header_(E-Mail)

Ansonsten PGP (Verschlüsselung) verwenden, aber ich glaube, das geht an deiner Frage vorbei.

Naja, relativ sicher ist, zu schauen, welcher Server die E-Mail in Empfang genommen hat.
Die Einträge sind in umgekehrter Reihenfolge, also oben ist der letzte Server. Man muss sich also die letzte Received Zeile anschauen. Bei web.de sieht das z.B. dann so aus:
"Received: from web.de by fmmailgate04.web.de (Postfix) with SMTP id"
Beim nächsten Received eins höher steht dann auch die öffentliche IP vom Server dabei, vom fmmailgate04.web.de steht da "[217.72.192.242]".
Es könnte sein, dass der DNS-Server manipuliert wurde und so die richtige Webadresse dasteht, aber die öffentliche IP lässt sich nicht so einfach verfälschen.
Daher würde ich die überprüfen, z.B. hier: http://www.mxtoolbox.com/SuperTool.aspx
Dort dann ins Feld eintragen "ptr:xxx.xxx.xxx.xxx" (ohne ").

Danach weißt du ungefähr, woher die E-Mail kam und ob das mit der E-Mail-Adresse übereinstimmt.

Hallo,

dier Felder werden hier erklärt http://www.faqs.org/rfcs/rfc2822.html.

(Suche dauert mit Google 1s).

Da die Daten des Header praktisch nicht geprüft werden, kann man sich nur sicher sein, wenn die E-mail signiert ist. (z.B. mit PGP).

Es ist kein Problem, einfach eine E-Mail von "pittiplatsch@schnatterinchen.local" zu verschicken. Bei vielen Mailanbietern kommt sowas sogar an (z.B. Yahoo).

mfg

Es ist kein Problem, einfach eine E-Mail von "pittiplatsch@schnatterinchen.local" zu verschicken. Bei vielen Mailanbietern kommt sowas sogar an (z.B. Yahoo).

mfg
Richtig, aber wenn man meinen Text gelesen hätte, hätte man erfahren, dass man die Quelle einer E-Mail herausfinden kann.

Und wer sagt dass der erste Mailserver die Wahrheit sagt? Oder sich als zweiten Einträgt, mit einem legitimen Mailserver als erste Instanz?

Die Einträge bilden eine Kette und zumindest der Server vom eigenen E-Mail Provider sollte korrekte Daten eintragen, auch, woher er was geschickt bekam. Und sobald da irgendwas nicht stimmig ist, wäre es sehr auffällig - zu auffällig.
Zumal ich spontan nicht wüsste, wie man im Header die öffentliche IP manipulieren kann. Denn es wird immer die eingetragen, die der Server hat.

Außerdem, nicht einmal Spammer machen sich so große Mühen, bei den meisten sind nicht einmal die DNS-Einträge gefälscht. (die man recht leicht mit einem manipulierten DNS Server fälschen kann)

Edit: Sollte es jemand besser wissen, darf ers gerne sagen. Ich bin kein Experte darin. Nur musste ich mal ettliche E-Mail-Header auswerten.

Öhm, es gibt nix leichteres als das fälschen des Headers....
Man kann da problemlos Einträge/Server einfügen - quasi VOR dem eigentlich Block wo die Verbindungen drinstehen.

Dies wird u.A. auch von gewissen Email DOS Attacken gemacht, wo man einen legitimen Emailserver als eigenlichen Ursprung/Source reinschreiben, und damit in möglichst viele Honeypots zu landen versucht.
Dann landet der gefakte Server auf unzähligen Blacklists und schwupps, kann der selber keine regulären Emails mehr verschicken.

Richtig, aber wenn man meinen Text gelesen hätte, hätte man erfahren, dass man die Quelle einer E-Mail herausfinden kann.

In dem oben beschriebenem Beispiel steht dann z.B. server1.schnatterinchen.local mit der IP 192.168.0.1, gefolgt vom legitimen Mailserver des Empfängers. Wie willst du jetzt herausfinden, wo die E-Mail herkam?

mfg

Wie willst du jetzt herausfinden, wo die E-Mail herkam?

mfg
War das die Eingangsfrage? Und bei solchen Angaben ist die Eingangsfrage dann wohl eindeutig. X-D

@Birdman: Klar, davor kannst du alles einfügen, hab ich was anderes behauptet? Nur nicht alles ist gefälscht und daher lässt sich eben rausfinden, ob ein Header gefälscht ist.

[QUOTE=sei laut;7683875]War das die Eingangsfrage? Und bei solchen Angaben ist die Eingangsfrage dann wohl eindeutig. X-D
[QUOTE]

Bei so "schönen" Werten ist es klar, nur kann ich ohne Probleme gültige Wert reinschreiben.

Daher ist es nicht zu prüfen.

Wie schon erwähnt, geht das nur mit Verschlüsellung bzw. Signierung. Vorzugsweise (Open)PGP.

Man kann sich sonst gegenseitig bisschen "beihelfen", aber das bietet trotzdem keine Sicherheit.