Oft ist es interessant, mehr über eine Mail im Posteingang zu erfahren als nur die Mail-Adresse des Absenders, den Betreff oder das Sendedatum. In Wirklichkeit werden auch mehr Infos übertragen. So zum Beispiel die IP-Adresse des Absenders, und sogar der Name seines Computers – wenn er eine Mail-App wie Thunderbird oder Outlook benutzt hat.
Besonders in Zeiten von Phishing-Attacken, Spam und gefälschten E-Mails kann es hilfreich sein zu wissen, von welchem Server oder welcher IP-Adresse eine verdächtige Mail tatsächlich stammt. Die E-Mail-Header enthalten diese Informationen – ihr müsst nur wissen, wo ihr suchen müsst.
So geht’s in Outlook (Microsoft 365 / Outlook 2016-2024)
- Öffnet die entsprechende E-Mail durch einen Doppelklick, sodass sie in einem eigenen Fenster angezeigt wird.
- Klickt oben im Menüband auf „Datei“.
- Wählt „Eigenschaften“ aus dem Menü.
- Im Dialogfeld findet ihr unten das große Textfeld „Internetkopfzeilen“. Hier steht der komplette E-Mail-Header mit allen technischen Informationen.
- Scrollt in diesem Feld nach unten und sucht nach Zeilen, die mit „Received: from“ beginnen. Die letzte dieser Zeilen zeigt euch die ursprüngliche Quelle der E-Mail.
Ein typischer Header-Eintrag sieht etwa so aus:
Received: from mail-server01 (smtp.example.com. [192.168.1.100]) by outlook.office365.com with ESMTPS id AB12cd34ef56gh78 (version=TLSv1.3 cipher=TLS_AES_256_GCM_SHA384); Mon, 15 Feb 2026 14:32:18 +0100
Alternative: Nachrichtenoptionen in neueren Outlook-Versionen
In aktuellen Outlook-Versionen gibt es einen noch direkteren Weg:
- Öffnet die E-Mail in der Vollansicht.
- Klickt auf die drei Punkte („…“) in der oberen Menüleiste.
- Wählt „Nachrichtenoptionen anzeigen“ oder „Nachrichtenquelle anzeigen“.
- Hier werden euch die Header-Informationen übersichtlich angezeigt.
Was verraten die Header-Informationen?
Die E-Mail-Header sind wie ein digitaler Reisepass – sie dokumentieren den kompletten Weg einer E-Mail vom Absender bis zu eurem Posteingang. Dabei erfahrt ihr:
IP-Adresse des Absenders: Diese steht meist in eckigen Klammern, zum Beispiel [192.168.1.100]. Mit Tools wie whatismyipaddress.com könnt ihr herausfinden, aus welcher Region oder von welchem Provider diese IP stammt.
Servername: Der Name des Computers oder Servers, von dem die Mail gesendet wurde. Bei privaten Nutzern kann das der Computername sein, bei Unternehmen meist der Firmen-Mailserver.
Zeitstempel: Wann die Mail tatsächlich versendet wurde – manchmal weicht das vom angezeigten Datum ab.
Verschlüsselung: Ob die Mail verschlüsselt übertragen wurde (ESMTPS, TLS-Version).
Header in anderen E-Mail-Clients anzeigen
Gmail: Öffnet die E-Mail, klickt auf die drei Punkte rechts oben und wählt „Original anzeigen“.
Thunderbird: Drückt Strg+U oder geht auf „Ansicht“ > „Nachrichtenquelltext“.
Apple Mail: Geht auf „Darstellung“ > „Nachricht“ > „Alle Kopfzeilen“.
Vorsicht bei der Interpretation
Bedenkt, dass Header-Informationen nicht immer eindeutig sind. Clevere Spammer verwenden oft kompromittierte Server oder fälschen Header-Daten. Die IP-Adresse kann auch zu einem VPN-Server oder Proxy gehören, nicht zum tatsächlichen Absender.
Trotzdem sind diese Informationen wertvoll für eine erste Einschätzung, besonders wenn ihr verdächtige Mails erhalten habt. Bei wirklich kritischen Fällen solltet ihr die Header-Daten an euren IT-Administrator oder an die Polizei weiterleiten – die können eine tiefergehende Analyse durchführen.
Fazit
Die E-Mail-Header zu analysieren ist kein Hexenwerk und kann euch helfen, verdächtige Mails zu identifizieren oder einfach mehr über die Herkunft einer Nachricht zu erfahren. Mit wenigen Klicks kommt ihr an Informationen, die normalerweise im Hintergrund verborgen bleiben. Ein nützliches Tool für alle, die ihre E-Mail-Sicherheit ernst nehmen.
Zuletzt aktualisiert am 25.04.2026
