E-Mail-Header lesen: So erkennst du den echten Absender

1 - KI & Sicherheit | Betrug & Abzocke

16. Juni 2026

Illustration einer E-Mail-Ansicht mit markierten Header-Zeilen und Schutzsymbol

Eine täuschend echte Mail von „deiner Bank“ – und wie du in zwei Minuten herausfindest, woher sie wirklich kommt.

Kurz & bündig
Woran erkenne ich, ob eine E-Mail wirklich vom angegebenen Absender stammt?

Der angezeigte Absender lässt sich leicht fälschen. Im sogenannten E-Mail-Header – einer Art Poststempel hinter der Nachricht – steht aber die echte Herkunft. Du brauchst nur drei Stellen anzusehen. Findest du dort eine Ungereimtheit, ist die Mail mit hoher Wahrscheinlichkeit Betrug.

Es ist ein ganz normaler Vormittag, als die E-Mail eintrifft. Absender: deine Sparkasse. Logo, Anrede, Tonfall – alles wirkt echt. „Ihr Konto wurde vorübergehend gesperrt. Bitte bestätigen Sie sofort Ihre Daten.“ Früher verrieten sich solche Mails durch holpriges Deutsch und Tippfehler. Heute nicht mehr.

Der Grund: Betrüger nutzen inzwischen Künstliche Intelligenz, um Phishing-Mails zu schreiben. Die Texte sind fehlerfrei, höflich und perfekt auf dich zugeschnitten. Das, woran man Betrug früher erkannte, fällt damit weg. Umso wertvoller ist eine Stelle, die sich auch mit KI kaum fälschen lässt – und genau die schauen wir uns jetzt an.

Eine E-Mail ist wie ein Brief: Die Vorderseite zeigt den angeblichen Absender, der Header verrät die echte Herkunft

Was ist eigentlich dieser „Header“?

Stell dir eine E-Mail wie einen Brief vor. Vorne auf dem Umschlag steht ein Absender – aber den kann jeder hinschreiben, der will. Auf der Rückseite sammeln sich dagegen die Poststempel: Sie zeigen, über welche Stationen der Brief tatsächlich gelaufen ist. Genau das ist der E-Mail-Header. Er ist die Kopfzeile, die normalerweise verborgen bleibt, und er enthält unter anderem die echte technische Adresse des Absenders. Diese Adresse lässt sich – anders als der angezeigte Name – kaum fälschen.

Wo finde ich den Header?

Den Header bekommst du am bequemsten am Computer zu sehen. Wo genau er sich versteckt, hängt vom Mail-Programm ab. Für die zwei häufigsten zeigt dir diese Übersicht den Weg:

Anleitung: In Outlook über Datei, Informationen, Eigenschaften – in GMX über das Drei-Punkte-Menü und Mehr Informationen

Andere Programme nennen die Funktion etwas anders – manchmal heißt sie auch „Quelltext anzeigen“. Findest du sie nicht, frag im Zweifel kurz bei deinem E-Mail-Anbieter nach. Auf dem Smartphone ist der Header oft gar nicht erreichbar; dann öffnest du die Mail einfach am Computer.

Die drei Stellen, auf die es ankommt

Was du dann siehst, wirkt im ersten Moment wie wirres Technik-Kauderwelsch. Keine Sorge – das meiste darfst du getrost überlesen. Wichtig sind nur drei Stellen, hier farbig markiert:

Beispiel-Header mit drei farbig markierten Stellen: Return-Path, die eigene Received-Zeile und der Absender-Server netbenefit.co.uk

1 – Return-Path: der angezeigte Absender

Hier steht, wer angeblich schreibt. Eine kryptische Adresse wie service@spar-kasse-pin.com ist schon ein deutliches Warnzeichen. Aber Achtung: Diese Zeile lässt sich leicht fälschen – hier kann also auch eine seriös aussehende Adresse stehen, und es ist trotzdem Betrug.

2 – Die letzte „Received“-Zeile: dein Anbieter

Die Received-Zeilen liest man von unten nach oben. Die unterste setzt dein eigener E-Mail-Anbieter, sobald die Nachricht bei ihm ankommt. Dieser Zeile kannst du vertrauen – sie kommt von deinem eigenen Server und lässt sich von außen nicht fälschen.

3 – Der Absender-Server: passt er zum Absender?

In unserem Beispiel kam die Mail von einem fremden Server: Received: from lws01.netbenefit.co.uk. Wäre die Mail wirklich von deiner Sparkasse gekommen, stünde hinter „from“ ein Server, der zur Bank selbst gehört – also etwas mit sparkasse.de (oder der Domain deiner örtlichen Sparkasse), zum Beispiel: Received: from mail.sparkasse.de. Der entscheidende Unterschied ist nicht die Technik, sondern die einfache Frage: Gehört der Name hinter „from“ zur Bank – oder zu einem wildfremden Server?

Merksatz

Der angezeigte Absender der im ersten Moment bei der Mail sichtbar angezeigt wird, beweist nichts. Entscheidend ist die eine Frage: Passt der Server, der die Mail verschickt hat, zum angeblichen Absender?
Das klingt vielleicht alles etwas kompliziert, aber wenn man sich angewöhnt bei Mails immer mal auszuprobieren, was unter „Received: from“ steht, dann lernt man Schritt für Schritt den Blick zu schärfen und lernt zwischen echt und unecht zu unterscheiden.

Die einfache Faustregel

Du musst nicht herausfinden, wer der Absender wirklich ist – das ist selbst für Fachleute mühsam. Es reicht völlig, eine einzige Ungereimtheit zu finden. Wie bei einem Tippfehler oder einer fremden Sprache gilt: Ein einziges verdächtiges Zeichen genügt, um eine Mail als Betrug zu entlarven. Du suchst also nicht den Beweis, dass die Mail echt ist, sondern nur einen Hinweis, dass sie es nicht ist.

Für Neugierige – ganz optional

Wenn du es ganz genau wissen willst, kannst du den Server-Namen oder die IP über kostenlose „nslookup“-Dienste im Internet prüfen – das zeigt, zu wem ein Server wirklich gehört. Notwendig ist das aber nicht. Für den Alltag genügt der Blick auf die drei markierten Stellen.

Was du tun kannst, wenn etwas nicht stimmt

Wenn der Header eine Ungereimtheit zeigt – oder du dir auch ohne Header-Check unsicher bist – gilt eine einfache Regel: nichts anklicken, nichts ausfüllen, nicht antworten.

  • Keine Links anklicken und keine Daten eingeben – egal wie dringend die Mail klingt. Seriöse Banken fordern dich niemals per E-Mail auf, Passwörter oder PINs zu bestätigen.
  • Im Zweifel direkt nachfragen – nicht über die Mail, sondern über den Weg, den du kennst: die Telefonnummer auf deiner Bankkarte oder die offizielle Internetseite, die du selbst eintippst.
  • Mail melden und löschen – verschiebe sie in den Spam-Ordner. Verdächtige Mails kannst du auch an die Verbraucherzentrale weiterleiten (phishing@verbraucherzentrale.nrw), die solche Maschen sammelt und davor warnt.

Achtung

Ein passender Header ist kein hundertprozentiger Echtheits-Beweis. Wurde ein echtes Konto von Kriminellen gehackt, kann der Header stimmen, obwohl die Mail betrügerisch ist. Bleib also auch dann misstrauisch, wenn dich etwas zu schnellem Handeln, zu Geldüberweisungen oder zur Eingabe von Zugangsdaten drängt.

So wurde dieser Artikel erstellt

Stand: Juni 2026 – fachliche Grundlage ist die Anleitung der Verbraucherzentrale zum Lesen des E-Mail-Headers (Stand 11/2024). Die Beispiele wurden für die leichtere Verständlichkeit vereinfacht und neutralisiert. Geprüft am Windows-PC mit Outlook und GMX.

Quellen & weiterführende Links

Verbraucherzentrale: So lesen Sie den E-Mail-Header
Verbraucherzentrale: Merkmale einer Phishing-Mail
BSI – Bundesamt für Sicherheit in der Informationstechnik: bsi.bund.de

Unser KI-Helfer

KI Helfer
Hast du noch eine Frage oder ein Problem?

Unser KI-Helfer ist ein intelligenter KI-Sprach-Bot, der speziell auf technische Themen trainiert wurde. Er versteht deine konkrete Frage und gibt dir eine klare, einfache Antwort. Du kannst so lange fragen, bis du es verstanden hast. Probier es ruhig aus – es ist ganz einfach.

Jetzt Frage stellen
Wie funktioniert das?

Kommentar

🔒 Mit dem Absenden erklärst du dich damit einverstanden, dass wir deine Angaben zur internen Auswertung speichern. Die Daten werden nicht veröffentlicht. Weitere Hinweise findest du in unserer Datenschutzerklärung.