SPAM oder kein SPAM – Wie erkenne ich das?

SPAM-Mail ist zu einer digitalen Plage geworden. Manchmal ist es natürlich leicht, unerwünschte Mail anhand der fehlerhaften Sprache oder der ungewöhnlichen Anrede zu erkennen. Oft sind auch die Absenderadressen offensichtlich falsch. Aber es gibt auch Kriminelle, die ihre wahre Identität sehr gut verschleiern. Macht man hier einen Fehler und klickt auf einen Link und öffnet den Anhang, kann das erhebliche negative Folgen nach sich ziehen.

Es ist vergleichsweise einfach, die Absenderadresse in E-Mails zu fälschen. Man darf dieser Information deshalb auch nicht uneingeschränkt vertrauen. In diesem Beitrag zeigen wir, wie man im Verdachtsfall mit unterschiedlichen Mailprogrammen auf die erweiterten Informationen, die in Emails vorhanden sind, zugreifen kann.

Die Absenderadresse in einer E-Mail ist vergleichbar mit dem Absender, der bei herkömmlichen Briefen oben links oder hinten auf dem Umschlag steht: Beides lässt sich sehr leicht fälschen. Allerdings werden bei elektronischer Post noch sehr viel mehr Informationen mitgeschickt, als bei normalen Briefen, wo es möglicherweise nur noch den Poststempel gibt. Bei E-Mail werden alle Stationen, die auf dem Weg vom Absender zum Empfänger durchlaufen werden, in den Kopfzeilen mitgeschickt. Jede Station fügt ganz oben eine "Received" (englisch für "empfangen") Zeile hinzu. Man muss also weiterblättern und die "Received" Zeile unmittelbar vor der "From" (englisch für "von" bzw. Absender) Zeile finden und die Informationen dort vergleichen.
Unten auf dieser Seite wird beschrieben, wie man die normalerweise unsichtbaren Informationen einer E-Mail sichtbar macht. Die letzte Zeile mit "Received" beginnend enthält Informationen über den Ursprung einer E-Mail. Dies kann nicht so leicht gefälscht werden. Am schnellsten findet man diese Zeile mit der Suchfunktion (STRG+F).
Unten sind einige Beispiele aufgelistet mit Erklärung, worauf zu achten ist, um SPAM als SPAM zu identifizieren. Bleiben Sie trotzdem wachsam: Auch wenn die Hinweise unten nicht zutreffen, kann es sich um SPAM handeln oder das Konto des vermeintlichen Absenders wurde tatsächlich "gehackt".
Zum Seitenanfang

Sender, die vorgeben, Mitarbeiter der Uni-Mainz zu sein.

So könnte die Zeile aussehen, wenn eine Email von einem Uni Mainz Konto aus verschickt wurde:
Received: from e16-1c.zdv.Uni-Mainz.DE ([fe80::c654:44ff:feea:90c6]) by
e16-1c.zdv.Uni-Mainz.DE ([fe80::c654:44ff:feea:90c6%17]) with mapi id
15.01.2242.008; Mon, 10 May 2021 12:30:41 +0200

Die "Received from"-Adresse endet auf Uni-Mainz.DE. Es müssen sogar alle "Received from"-Adressen auf Uni-Mainz.DE enden. So weit, so gut. Achten Sie trotzdem auch auf andere Hinweise, die auf Betrug hindeuten können.

In dieser E-Mail wurde der Empfänger mit einem angeblichen Video von seiner Webcam erpresst. Der Erpresser hat es außerdem so aussehen lassen, als käme die E-Mail von dem eigenen Konto des Empfängers. Er hat ein Lösegeld gefordert, damit das Video gelöscht wird.

Received: from static.vnpt.vn ([14.166.125.133])
  by ironport-2.zdv.net with ESMTP; 25 Jan 2021 01:47:33 +0100
From: <wwwa1@uni-mainz.de>
To: <wwwa1@uni-mainz.de>
Hier wurde der Anzeigename manipuliert. Da die Ursprungsadresse jedoch nicht auf Uni-Mainz.DE endet (vnpt.vn) kann man davon ausgehen, dass die Mail nicht von einem gehackten Uni-Account kommt, sondern gefälscht wurde. Die ganze Email ist eine einzige Lüge und vermutlich ist gar nichts Gefährliches passiert.
Zum Seitenanfang

Sender, die vorgeben, aus Deutschland zu kommen.

In dem folgenden Beispiel wurde die "From"-Adresse gefälscht - der Absender gibt sich als Max Muster aus, mit einer deutschen Email-Adresse, die entsprechend auf ".de" endet. Die letzte "Received" Zeile offenbart jedoch, dass der Absender in Italien sitzt, da die Adresse auf ".it" endet.

Received: from eis.libero.it ([213.209.6.254]:52510 helo=oxapps-36-165.iol.local)
	by sub1.freenet.de with esmtpsa (ID minprivatm@fn.de) (TLSv1.2:ECDHE-RSA-AES128-GCM-SHA256:128) (port 465) (Exim 4.92 #3)
	id 1lVgrC-0002vB-6R; Sun, 11 Apr 2021 22:38:58 +0200
Date: Sun, 11 Apr 2021 22:38:57 +0200 (CEST)
From: Max Muster <minprivatm@fn.de>
VORSICHT: In diesem Fall handelt es sich mit hoher Wahrscheinlichkeit um SPAM.
Zum Seitenanfang

Bei Verdacht, die Domain von Absender und Mail-Server vergleichen

In dem nächsten Beispiel geht es konkret um eine E-Mail von der GSI. Aber auch ganz allgemein erwarten Sie, dass der Domain Teil der Absender-Adresse übereinstimmt mit der Internet-Adresse des Mail-Servers in der letzten "Received" Zeile. Die E-Mail Adresse von der GSI endet vermutlich auf @gsi.de. Entsprechend wollen Sie Domain "gsi.de" auch in der "Received" Zeile sehen:

Received: by tplx99.gsi.de (Postfix, from userid 4711) id DDE01607F9; Thu,  4
          Feb 2021 09:26:23 +0100 (CET)
Wir können in diesem Beitrag auch nur eine Handvoll Beispiele abdecken. Man muss natürlich immer mit wachen Augen lesen und darüber nachdenken, ob die E-Mail überhaupt sinnvoll ist.
Zum Seitenanfang

Thunderbird

Zuerst auf die Schaltfläche "Mehr" drücken, dann "Quelltext anzeigen" anklicken. STRG+U ist der Hotkey hierfür.Man kann sich die Kopfzeilen auch immer anzeigen lassen. Dafür ganz oben auf Ansicht -> Kopfzeilen -> Alle klicken. Falls die Schaltflächen oben nicht da sind können diese mit der "Alt"-Taste herbeigerufen werden.


Im App-Menü am oberen Bildschirmrand "Darstellung" anklicken.


Im nächsten Kontextmenü auf "E-Mail" zeigen um ein weiteres Menü aufzuklappen.

 


Nun zu "Reine Datei" navigieren und auswählen. Alternativ kann das Fenster auch mit ⌘H (alt + command + H) geöffnet werden.

Zum Seitenanfang

Outlook

Verdächtige Mail mit Doppelklick in einem neuen Fenster öffnen. Im Menü -> Datei -> Eigenschaften

ODER:

Auf das Markierte Symbol klicken

Tipp: Das gesamte Textfeld markieren und in einen Editor einfügen um die komplette Kopfzeile anzusehen.

Zum Seitenanfang

Outlook im Web

Die fragwürdige E-Mail mit der rechten Maustaste anklicken, dann "Nachrichtendetails anzeigen" auswählen.

Zum Seitenanfang
Veröffentlicht am | Veröffentlicht in Allgemein