Eine Absender-E-Mail-Adresse sagt Ihnen nicht immer die vollständige Geschichte der Quelle dieser E-Mail. Jede gesendete E-Mail enthält jedoch vollständige Informationen über den Weg, den sie vom ISP des Absenders zu Ihrem Posteingang genommen hat. Diese Informationen werden im E-Mail-Header gespeichert, der in den meisten Online-Postfächern und E-Mail-Client-Software angezeigt werden kann.
Öffnen von E-Mail-Headern
Praktisch alle E-Mail-Clients bieten Ihnen die Möglichkeit, E-Mail-Header zu lesen. Öffnen Sie beispielsweise in Gmail die Nachricht, klicken Sie auf den Abwärtspfeil neben der Schaltfläche "Antworten" und klicken Sie dann im angezeigten Menü auf "Original anzeigen", um die Nachricht mit einer vollständigen Kopfzeile anzuzeigen. Klicken Sie in Thunderbird neben der E-Mail-Nachricht auf "Andere Aktionen" und dann auf die Option "Quelle anzeigen", um die vollständige Nachricht mit der Kopfzeile anzuzeigen. Klicken Sie in Microsoft Outlook auf das Menü "Datei" und wählen Sie dann "Eigenschaften", um ein Dialogfeld mit einem Abschnitt mit Internet-Headern anzuzeigen.
Kopfzeilen lesen
Header scheinen viele verstümmelte Informationen zu enthalten; Was Sie suchen, befindet sich neben einem Feld mit der Aufschrift „Empfangen:“. Sie können dies direkt lesen, wobei Sie daran denken, dass die Kopfzeile rückwärts aufgebaut ist: Die letzte „Empfangen:“-Aktion der Nachricht, die diese Nachricht an Ihre Mailbox gesendet hat, wird zuerst angezeigt, Sie müssen also zum Ende der Kopfzeile scrollen seinen Ursprung zu finden. In einigen Programmen wie Outlook sind die Informationen bereits organisiert und in gut beschriebene Felder platziert. Alternativ können Sie den E-Mail-Header in ein Header-Parsing-Tool einfügen, wie es beispielsweise von Google Toolbox angeboten wird (siehe Ressourcen). Parser kehren häufig rückwärts konstruierte Header um und platzieren die erste Aktion in der E-Mail oben.
Identifizieren des ISP
Um den Ursprungs-ISP zu finden, muss der erste Server identifiziert werden, der die Nachricht empfangen hat. In einer ungeparsten Nachricht gehört dies zu den letzten Elementen, die mit einem „Received:“ davor gekennzeichnet sind. Der Grund, warum es nicht immer der allererste Server ist, liegt darin, dass einige Unternehmen Server haben, die als Vermittler im Bereitstellungsprozess fungieren. Um die Informationen zu analysieren, suchen Sie nach dem folgenden Text. Das Feld kann beispielsweise Folgendes enthalten:
von BL2PR03MB228.myispemail03.blank.vision.com ([169.254.50.146]) mit Mapi-ID 15.00.0775.005; Fr, 27.09.2013 19:17:03 +0000.
Die Informationen vor den Klammern sind der Name und die IP-Adresse eines Mailservers, bei dem es sich normalerweise um den ursprünglichen ISP handelt.
Nachschlagen der IP
Natürlich geben DNS-Namen und IP-Adressen nicht immer ein klares Bild des ISPs. Um dies zu beheben, führen Sie eine WHOIS-Suche der gefundenen IP-Adresse durch. Eine WHOIS-Suche fragt eine große Datenbank mit öffentlichen IP-Adressen und deren Besitzern ab. Geben Sie die IP-Adresse in die WHOIS-Suche ein (siehe Ressourcen), um Informationen über den Besitzer zu erhalten. Dies sollte Ihnen den genauen ISP nach Absender mitteilen. Seien Sie jedoch gewarnt, dass einige Spam-Nachrichten gefälschte oder „gefälschte“ E-Mail-Header verwenden, um ihren tatsächlichen Ursprung zu verbergen.