E-Mail-Header-Analyzer
Ermittle den Ursprung des Absenders, bestätige die Authentifizierung und erkenne Spoofing direkt aus den rohen E-Mail-Headern.
Kopiere die Header aus deinem E-Mail-Client über „Quelltext anzeigen" / „Original anzeigen".
Alle Netzwerk-Tools, die du je brauchen wirst.
Speziell entwickelte Tools für Ports, IPs, DNS und E-Mail. Komplett kostenlos, alle laufen über externe Probes.
Port-Checker
Beliebigen TCP-Port auf einem beliebigen Host prüfen
DNS-Lookup
IP-Adressen hinter einer Domain nachschlagen
rDNS-Check
Reverse-DNS: IPs Hostnamen zuordnen (PTR)
Ping-Tool
Host-Erreichbarkeit per ICMP prüfen
Speedtest
Download, Upload und Latenz messen
Proxy-Check
VPN- oder Proxy-Nutzung erkennen
Link-Checker
Prüfen, ob URLs erreichbar sind
HTTP-Header-Checker
Antwort-Header untersuchen
Was ist meine IP?
Deine aktuelle öffentliche IP-Adresse anzeigen
IP-Subnetzrechner
Masken, Bereiche und CIDR-Berechnungen durchführen
IP-Konverter
Zwischen IPv4 und IPv6 konvertieren (in beide Richtungen)
ASN-Lookup
Organisation, ISP und IP-Bereiche per ASN nachschlagen
IP-Blacklist-Checker
Prüfen, ob eine IP auf einer Spamliste steht
IPv6-Website-Test
Testen, ob eine Website IPv6 unterstützt (AAAA + Erreichbarkeit)
SPF-Record-Checker
E-Mail-Absenderrichtlinie überprüfen
DMARC-Validator
Richtlinie, Ausrichtung und Berichtskonfiguration lesen
DKIM-Checker
DKIM-Signaturen prüfen
E-Mail-Header-Analyzer
E-Mail-Ursprung und -Routing nachverfolgen
E-Mail-Header-Analyzer: Routing und Authentifizierung in rohen Headern nachverfolgen
Jede E-Mail enthält eine Reihe von Headern, die ihren Weg vom Mailserver des Absenders bis in deinen Posteingang aufzeichnen. Der E-Mail-Header-Analyzer von Pingie analysiert diese rohen Header und zeigt die Routing-Kette, die Authentifizierungsergebnisse und erkannte Auffälligkeiten in einem strukturierten, lesbaren Format an. Das Tool rät nicht und fasst nicht zusammen, sondern extrahiert die tatsächlichen Werte, die die Mailserver in die Nachricht geschrieben haben.
Das Verstehen dieser Werte ist wichtig, egal ob du einen Phishing-Versuch untersuchst, einen Zustellfehler analysierst oder überprüfen möchtest, ob dein ausgehender Mail-Stack korrekt konfiguriert ist.
Was das Tool aus deinen Headern extrahiert
Wenn du rohe Header einfügst und auf „Analysieren" klickst, arbeitet das Tool mehrere verschiedene Ebenen der Nachrichten-Metadaten durch.
- Grundlegende Informationen: Von, An, Betreff, Datum, Message-ID, Return-Path und Reply-To, direkt aus dem Header-Block entnommen.
-
Received-Kette:
Jeder
Received:Header wird extrahiert und chronologisch sortiert, ältester Hop zuerst, mit IP-Adresse, Hostname und Zeitstempel für jeden Server, der die Nachricht verarbeitet hat. -
Sicherheitsstatus:
SPF-, DKIM- und DMARC-Ergebnisse aus dem
Authentication-ResultsHeader, jeweils als „pass", „fail" oder „none" angegeben. - Warnungen: Erkannte Probleme, zum Beispiel eine Abweichung zwischen der From-Domain und der Return-Path-Domain oder mehr als zehn Received-Header (was auf übermäßiges Weiterleiten hinweisen kann).
- Gesamter Sicherheitsstatus: Ein einzelner Pass/Fail-Indikator, der nur positiv ist, wenn SPF, DKIM und DMARC alle bestanden haben und keine Warnungen vorliegen.
Die gesamte Analyse findet innerhalb des Tools statt. Dein Header-Text wird nicht an externe Dienste weitergegeben.
Wie Authentifizierungsergebnisse funktionieren
Die drei Authentifizierungsprüfungen arbeiten jeweils auf einer anderen Ebene der E-Mail-Infrastruktur.
SPF (Sender Policy Framework) prüft, ob die IP-Adresse, die die Nachricht zugestellt hat, in den DNS-Einträgen der sendenden Domain als autorisierter Absender aufgeführt ist. Ein „pass" bedeutet, dass der verbindende Server berechtigt war; ein „fail" bedeutet, dass er es nicht war.
DKIM (DomainKeys Identified Mail) verifiziert eine kryptografische Signatur, die in den Nachrichten-Headern eingebettet ist. Der empfangende Server ruft den öffentlichen Schlüssel der Domain aus dem DNS ab und prüft, ob die Signatur übereinstimmt. Damit wird bestätigt, dass die Nachricht während der Übertragung nicht verändert wurde.
DMARC baut auf SPF und DKIM auf. Es prüft, ob mindestens eine dieser Methoden besteht und ob die authentifizierte Domain mit der sichtbaren From-Adresse übereinstimmt. Der Domain-Inhaber veröffentlicht eine DMARC-Richtlinie im DNS, die empfangenden Servern mitteilt, was bei fehlgeschlagenen Prüfungen zu tun ist.
Du kannst die veröffentlichte DMARC-Richtlinie einer Domain separat mit dem DMARC-Checker prüfen oder einen DKIM-Selektor direkt mit dem DKIM-Checker untersuchen.
So verwendest du den E-Mail-Header-Analyzer
- Öffne deinen E-Mail-Client und suche die Option, die Originalquelle oder den Rohtext der Nachricht anzuzeigen. In Gmail heißt diese Option „Original anzeigen", in Outlook „Nachrichtenquelle anzeigen" und in Apple Mail „Rohtext anzeigen".
-
Markiere und kopiere den gesamten Header-Block, von der ersten
Received:Zeile bis zur Leerzeile vor dem Nachrichteninhalt. - Öffne den E-Mail-Header-Analyzer und füge den kopierten Text in das Eingabefeld ein.
- Klicke auf Analysieren . Das Tool analysiert die Header und zeigt die grundlegenden Informationen, die Received-Kette, den Sicherheitsstatus, Warnungen und den gesamten Sicherheitsstatus an.
- Schau dir die Received-Kette an, um den Weg der Nachricht nachzuverfolgen. Überprüfe den Sicherheitsstatus, um zu sehen, ob SPF, DKIM und DMARC bestanden haben. Lies die Warnungen, um markierte Auffälligkeiten zu verstehen.
Wann eine E-Mail-Header-Prüfung nützlich ist
Es gibt verschiedene praktische Situationen, in denen die Untersuchung roher Header Informationen liefert, die du auf anderem Weg nicht erhalten kannst.
- Phishing-Untersuchung: Eine Abweichung zwischen From- und Return-Path-Domain kann auf Spoofing hinweisen, obwohl sie auch legitim bei Mailinglisten und Weiterleitungsdiensten vorkommt. Das Tool markiert die Abweichung und lässt dich den Kontext selbst beurteilen.
- Zustellungsprobleme analysieren: Die Received-Kette zeigt genau, welche Server die Nachricht verarbeitet haben und wann. Lücken oder unerwartete Hops weisen oft auf falsch konfigurierte Relays oder Spam-Filter hin, die E-Mails umleiten.
- Authentifizierung prüfen: Wenn du SPF, DKIM oder DMARC für eine Domain neu eingerichtet hast, kannst du mit einer Test-E-Mail und einer anschließenden Header-Prüfung bestätigen, ob die Einträge wie vorgesehen funktionieren.
- Compliance-Überprüfung: Sicherheitsteams, die eingehende E-Mails prüfen, können die Authentifizierungsergebnisse nutzen, um zu dokumentieren, ob eine Nachricht die erwarteten Authentifizierungsstandards der Organisation erfüllt hat.
- Weiterleitungsanalyse: Mehr als zehn Received-Header lösen eine Warnung aus. Das hilft dabei, Nachrichten zu identifizieren, die eine ungewöhnlich hohe Anzahl von Relay-Punkten durchlaufen haben, was eine weitere Untersuchung wert ist.
Unterschied zu einem eigenständigen DMARC- oder DKIM-Checker
Ein dedizierter DMARC- oder DKIM-Checker fragt das DNS nach den veröffentlichten Einträgen einer Domain ab. Er zeigt dir, was eine Domain konfiguriert hat, nicht was mit einer bestimmten Nachricht passiert ist. Der E-Mail-Header-Analyzer macht das Gegenteil: Er liest, was die empfangenden Server tatsächlich über eine echte Nachricht während der Übertragung aufgezeichnet haben. Beide Ansätze ergänzen sich. Nutze die DNS-basierten Tools, um deine Konfiguration zu prüfen, und den Header-Analyzer, um zu überprüfen, ob sich eine echte Nachricht wie erwartet verhalten hat.
Für umfassendere DNS-Diagnosen kannst du mit dem DNS-Lookup-Tool jeden Eintragstyp für jede Domain abfragen.
FAQ
Ein E-Mail-Header-Analyzer analysiert den rohen Metadaten-Block, den Mailserver jeder Nachricht während der Übertragung hinzufügen. Jeder Server fügt einen
Received:
Header hinzu, der seine IP, seinen Hostnamen und einen Zeitstempel enthält. Das Tool liest diese Header zusammen mit den Authentifizierungseinträgen für SPF, DKIM und DMARC und stellt den Routing-Pfad sowie die Authentifizierungsergebnisse in einem strukturierten Format dar, anstatt alles als einen einzigen Block aus Rohtext anzuzeigen.
Die Option variiert je nach Client. In Gmail öffnest du die Nachricht, klickst auf das Drei-Punkte-Menü und wählst „Original anzeigen". In Outlook öffnest du die Nachricht, gehst zu „Datei", dann zu „Eigenschaften" und kopierst den Inhalt des Feldes „Internetkopfzeilen". In Apple Mail wählst du die Nachricht aus und klickst auf „Darstellung", dann „Nachricht" und „Rohtext anzeigen". Kopiere den vollständigen Text von der ersten Header-Zeile bis zur Leerzeile vor dem Nachrichteninhalt und füge ihn in den Analyzer ein.
Die Received-Kette ist die Abfolge von
Received:
Headern, die von jedem Mailserver geschrieben wurden, der die Nachricht verarbeitet hat. Das Tool kehrt deren Reihenfolge um, sodass du den Weg chronologisch siehst, vom Ursprungsserver bis zu deinem Posteingang. Jeder Hop zeigt eine IP-Adresse, einen Hostnamen und einen Zeitstempel. Unerwartete IP-Adressen, unbekannte Hostnamen oder große Zeitlücken zwischen Hops können auf Routing-Auffälligkeiten oder absichtliche Verschleierung hinweisen.
Die From-Adresse ist das, was Empfänger in ihrem E-Mail-Client sehen. Der Return-Path ist die Absenderadresse des Umschlags, an die Bounce-Benachrichtigungen gesendet werden. Wenn diese beiden Domains voneinander abweichen, markiert das Tool dies als Warnung, da es ein häufiges Anzeichen für Spoofing ist. Mailinglisten-Dienste und Weiterleitungskonfigurationen erzeugen diese Abweichung jedoch auch legitim. Die Markierung ist ein Hinweis zur weiteren Untersuchung, kein endgültiges Urteil über böswillige Absichten.
Der gesamte Sicherheitsstatus ist ein kombinierter Indikator. Er wird nur als sicher markiert, wenn alle drei Authentifizierungsmethoden (SPF, DKIM und DMARC) ein „pass"-Ergebnis liefern und keine Warnungen vorliegen. Wenn eine einzelne Prüfung fehlschlägt, „none" zurückgibt oder eine Warnung ausgelöst wird, ist der Status nicht sicher. Diese strenge Anforderung stellt sicher, dass die Markierung das vollständige Authentifizierungsbild widerspiegelt und nicht nur eine einzelne bestandene Prüfung.
Ein DMARC-Checker fragt das DNS ab, um die veröffentlichte Richtlinie einer Domain abzurufen. Ein DKIM-Checker ruft den öffentlichen Schlüssel für einen bestimmten Selektor aus dem DNS ab. Beide Tools zeigen dir, was eine Domain theoretisch konfiguriert hat. Der Header-Analyzer liest hingegen, was tatsächlich mit einer echten Nachricht passiert ist: die Authentifizierungsergebnisse, die die empfangenden Server aufgezeichnet haben, den Weg, den die Nachricht genommen hat, und etwaige erkannte Auffälligkeiten.
Jeder Mailserver, der eine Nachricht verarbeitet, fügt einen
Received:
Header hinzu. Eine typische direkte Zustellung umfasst zwei bis vier Hops. Mehr als zehn Hops deuten darauf hin, dass die Nachricht eine ungewöhnlich hohe Anzahl von Relays durchlaufen hat. Das kann bei aggressiven Weiterleitungsketten, falsch konfigurierten Mail-Loops oder absichtlicher Header-Inflation zur Verschleierung des wahren Ursprungs passieren. Die Warnung fordert dich auf, jeden Hop einzeln zu untersuchen, anstatt die Kette als normal zu betrachten.
Nein. Der Analyzer verarbeitet den von dir eingefügten Header-Text, ohne ihn an Drittdienste weiterzugeben. Die Analyse, IP-Extraktion, Hostname-Auflösung aus dem Header-Text und das Lesen der Authentifizierungsergebnisse finden alle innerhalb des Tools statt. Wenn du die vollständigen Datenschutzpraktiken der Website einsehen möchtest, findest du alle relevanten Details in der Datenschutzerklärung .
Ja. Sende eine Test-E-Mail von deiner Domain an einen Posteingang, den du kontrollierst, öffne die rohen Header der empfangenen Kopie und füge sie in das Tool ein. Die Authentifizierungsergebnisse zeigen, ob dein SPF-Eintrag den sendenden Server autorisiert hat, ob deine DKIM-Signatur korrekt verifiziert wurde und ob deine DMARC-Richtlinie wie erwartet ausgewertet wurde. Das ist eine praktische Methode, um zu bestätigen, dass eine neue Mail-Konfiguration funktioniert, bevor du echte Empfänger anschreibst.
Ein Ergebnis von „none" bedeutet, dass der empfangende Server keinen relevanten Eintrag zum Prüfen gefunden hat oder die Prüfung nicht durchgeführt wurde. Bei SPF bedeutet es typischerweise, dass kein SPF-Eintrag für die sendende Domain existiert. Bei DKIM bedeutet es, dass keine Signatur in der Nachricht vorhanden war oder kein passender öffentlicher Schlüssel gefunden wurde. Bei DMARC bedeutet es oft, dass keine DMARC-Richtlinie für die Domain veröffentlicht ist. „None" unterscheidet sich von „fail": Es zeigt das Fehlen eines Eintrags an, keine eindeutige Ablehnung.
Ja. Der Parser extrahiert sowohl IPv4- als auch IPv6-Adressen aus jedem
Received:
Header. Da moderne Mail-Infrastruktur zunehmend IPv6 für die Zustellung nutzt, verarbeitet das Tool beide Formate beim Aufbau der Received-Kette. Jeder Hop zeigt das vom sendenden Server aufgezeichnete Adressformat zusammen mit dem zugehörigen Hostnamen und Zeitstempel an.
Das Tool steht auf Pingie kostenlos zur Verfügung, ohne dass ein Konto oder eine Zahlung erforderlich ist. Du fügst deine Header ein, klickst auf „Analysieren" und erhältst die vollständige strukturierte Ausgabe inklusive Received-Kette, Authentifizierungsstatus, Warnungen und gesamtem Sicherheitsstatus. Für die Standard-Weboberfläche sind keine Nutzungslimits angegeben. Für Fragen zu den Nutzungsbedingungen findest du die relevanten Details auf der Seite mit den Nutzungsbedingungen .