Wie kann ich den Quellcode einer E-Mail anzeigen?

Der E-Mail-Quellcode (auch 'Roh-Header' oder 'Original-Nachricht' genannt) enthält alle technischen Metadaten. So zeigen Sie ihn an: Gmail → auf ⋮ klicken, dann 'Original anzeigen'; Outlook → 'Aktionen' dann 'Nachrichtendetails anzeigen'; Apple Mail → Menü 'Nachricht' dann 'Alle Header anzeigen'. Fügen Sie den Text dann in unseren Analyzer ein.

Wo finde ich den vollständigen E-Mail-Header in Outlook, Gmail oder Thunderbird?

Gmail: E-Mail öffnen → 3 Punkte (⋮) → "Original anzeigen". Outlook: E-Mail öffnen → "Aktionen" → "Nachrichtendetails anzeigen" (im Web: ⋯ → "Quelle anzeigen"). Thunderbird: Menü "Ansicht" → "Nachrichten-Quelltext" (oder Strg+U). Apple Mail: Menü "Nachricht" → "Alle Header anzeigen". Kopieren Sie den kompletten Text und fügen Sie ihn oben ein.

Wie lese ich die Received-Zeilen richtig?

Die Received-Header werden von unten nach oben gelesen. Die unterste Received-Zeile ist der erste Server (der ursprüngliche Sendeserver), die oberste der letzte (Ihr Posteingang). So verfolgen Sie den Zustellweg in der richtigen Reihenfolge und sehen jeden Zwischenserver (Relay).

Wie finde ich die echte Absender-IP-Adresse im Header heraus?

Die echte Absender-IP-Adresse steht in der untersten Received-Zeile, meist in Klammern hinter dem Servernamen (z. B. "Received: from mail.captaindns.com (203.0.113.5)"). Diese erste IP zeigt, von wo die E-Mail tatsächlich versendet wurde, und lässt sich mit SPF und der Domain des Absenders abgleichen.

Was steht in den Authentication-Results und wie interpretiere ich sie?

Die Zeile "Authentication-Results" fasst die Sicherheitsprüfungen zusammen: spf=, dkim= und dmarc= mit dem Ergebnis pass, fail oder softfail. "pass" heißt geprüft und bestanden, "fail" durchgefallen, "softfail" verdächtig, aber nicht hart abgelehnt. Steht überall pass, ist der Absender authentifiziert; ein fail bei dmarc deutet auf Spoofing oder ein Alignment-Problem hin.

Wie erkenne ich am Header, ob eine E-Mail echt oder Phishing ist?

Vergleichen Sie den From-Header mit dem Envelope-From (Return-Path) und der Domain in der untersten Received-Zeile. Stimmen sie nicht überein und stehen SPF, DKIM oder DMARC auf fail, ist die E-Mail mit hoher Wahrscheinlichkeit gefälscht. Ein gültiges DMARC-Alignment ist das stärkste Zeichen für einen echten Absender.

E-Mail Header analysieren - kostenloser Online-Analyzer

Warum E-Mail Header analysieren?

E-Mail-Header (auch "E-Mail-Quellcode", "Roh-Header", "Kopfzeile" oder "Original-Nachricht" genannt) zeichnen jeden Schritt der Reise Ihrer Nachricht auf: Sendeserver, Zustellweg (Received-Zeilen), Sicherheitsprüfungen (SPF/DKIM/DMARC), Anti-Spam-Bewertungen. Mit diesem kostenlosen E-Mail Header Analyzer lesen Sie die Kopfzeile aus und dekodieren sie für eine vollständige Zustellbarkeitsdiagnose. Ohne Analyse arbeiten Sie im Blindflug.

Drei Hauptanwendungsfälle:

E-Mails im Spam → herausfinden, ob es an SPF, DKIM, DMARC oder am Inhalt liegt
E-Mail nicht zugestellt → erkennen, wo die Nachricht im Zustellweg stoppte und warum
E-Mail-Authentizität prüfen → Phishing- und Spoofing-Versuche anhand der Header-Daten aufdecken

Wenn Sie die einzelnen Felder Schritt für Schritt verstehen möchten, hilft der Leitfaden E-Mail-Header lesen und verstehen weiter.

So verwenden Sie den Analyzer in 3 Schritten

Schritt 1: Rohen Header extrahieren

Gmail / Google Workspace:

Öffnen Sie die E-Mail
Klicken Sie auf die 3 Punkte (⋮) → "Original anzeigen"
Kopieren Sie den gesamten Text

Outlook / Microsoft 365:

Öffnen Sie die E-Mail
Klicken Sie auf "Aktionen" (⋯) → "Nachrichtendetails anzeigen"
Kopieren Sie den Inhalt

Apple Mail:

Öffnen Sie die E-Mail
Menü "Nachricht" → "Alle Header anzeigen"
Kopieren Sie den Text

Schritt 2: In Analyzer einfügen

Fügen Sie den kompletten rohen Header im obigen Formular ein. Das Tool analysiert automatisch:

✅ SPF-, DKIM-, DMARC-, BIMI-Authentifizierung
✅ Anti-Spam-Bewertungen (Gmail, Microsoft usw.)
✅ Routing und Zwischenserver
✅ Anomalien und Spoofing-Risiken

Schritt 3: Ergebnisse lesen

Sie erhalten einen klaren Bericht mit:

Authentifizierungsstatus (pass/fail für jedes Protokoll)
Fehlergrund (falls zutreffend)
Empfohlene Maßnahmen zur Behebung

Was ist ein E-Mail-Header?

Ein E-Mail-Header (auch "E-Mail-Quellcode", "Roh-Header", "Original-Nachricht" genannt) ist die komplette Historie einer Nachricht: wer sie gesendet hat, über welchen Server, welche Prüfungen durchgeführt wurden und welches Urteil gefällt wurde. Zu wissen, wie man den E-Mail-Quellcode anzeigt, hilft Ihnen zu verstehen, was genau passiert ist.

Im Gegensatz zum E-Mail-Body (den Sie sehen) ist der Header unveränderlich: er kann nach dem Versand nicht gefälscht werden. Deshalb verwenden Sicherheitsermittler und E-Mail-Administratoren ihn, um die Authentizität einer E-Mail zu prüfen und Phishing-Versuche zu erkennen.

Vereinfachtes Beispiel:

From: alice@captaindns.com
To: bob@captaindns.com
Date: 19 Jan 2026 10:30:00 +0000
Authentication-Results: pass spf=pass dkim=pass dmarc=pass
X-Spam-Score: 2.1 (LOW)
Received: from mail.captaindns.com (203.0.113.5) by mail.captaindns.com

Received-Zeilen lesen und die echte Absender-IP finden

Die Received-Header sind das Herzstück der Header-Analyse: jeder Server, den die E-Mail durchläuft, fügt oben eine neue Zeile hinzu. Deshalb liest man den Received-Header von unten nach oben:

Unterste Received-Zeile = der erste Server (der ursprüngliche Sendeserver). Hier steht in Klammern die echte Absender-IP-Adresse, zum Beispiel (203.0.113.5).
Oberste Received-Zeile = der letzte Server vor Ihrem Posteingang.

So lässt sich der gesamte Zustellweg der E-Mail nachverfolgen und prüfen, ob die ermittelte Absender-IP zur Domain des Absenders passt. Weicht sie ab, ist das ein erstes Indiz für Spoofing oder einen gefälschten Absender.

From-Header, Return-Path und Envelope-From

Eine E-Mail hat zwei Absenderangaben, die oft verwechselt werden:

From-Header: die sichtbare Adresse, die der Empfänger sieht. Sie ist leicht fälschbar.
Return-Path / Envelope-From (mailfrom): die technische Absenderadresse, gegen die SPF geprüft wird.

Beim DMARC-Alignment wird verglichen, ob die Domain im From-Header mit der über SPF (Envelope-From) oder DKIM authentifizierten Domain übereinstimmt. Nur wenn beides zusammenpasst, gilt DMARC als bestanden.

Authentication-Results richtig interpretieren

Die Zeile Authentication-Results ist das wichtigste Urteil im Header. Sie fasst SPF, DKIM und DMARC mit einem Status zusammen:

Status	Bedeutung
pass	Prüfung bestanden, der Absender ist legitim authentifiziert
fail	Prüfung durchgefallen, Absender oder Signatur stimmen nicht
softfail	verdächtig, aber nicht hart abgelehnt (typisch bei SPF `~all`)
none	keine Richtlinie veröffentlicht oder keine Signatur vorhanden

Ein Beispiel: Authentication-Results: spf=pass dkim=pass dmarc=pass bedeutet, dass die E-Mail vollständig authentifiziert ist. Steht dagegen dmarc=fail, liegt meist ein Alignment-Problem oder ein Spoofing-Versuch vor.

Um die zugrunde liegenden DNS-Einträge direkt zu prüfen:

SPF Record prüfen → ist der Sendeserver autorisiert?
DKIM-Eintrag prüfen → ist die Signatur gültig?
DMARC-Richtlinie prüfen → wie ist die Policy konfiguriert?

Was analysiert das Tool genau?

E-Mail-Authentifizierung (SPF, DKIM, DMARC, BIMI)

Protokoll	Prüft	Ergebnis
SPF	Ist der Sendeserver autorisiert?	✅ Pass / ❌ Fail
DKIM	Wurde die E-Mail während der Übertragung geändert?	✅ Pass / ❌ Fail
DMARC	Ist der Absender mit SPF/DKIM aligned?	✅ Pass / ❌ Fail
BIMI	Markenlogo authentifiziert?	✅ Vorhanden / ❌ Fehlend

Anti-Spam-Bewertungen

Der Analyzer zeigt Bewertungen von:

Gmail (Spam-Score, finales Urteil)
Microsoft 365 (Outlook, Exchange)
Andere Anbieter (in Headern erkannt)

Routing und Server

Vollständige Verfolgung des E-Mail-Pfads:

Ursprünglicher Sendeserver
Zwischenserver (Relays)
Finaler Empfangsserver
Verzögerungen und Zeitstempel

Anomalie-Erkennung

Das Tool markiert automatisch:

⚠️ Potenzielles Spoofing (From ≠ echte Domain)
⚠️ Fehlgeschlagenes DMARC-Alignment
⚠️ Ungültiges DKIM-Zertifikat
⚠️ Verdächtiges Routing (zu viele Relays)

Warum landen meine E-Mails im Spam?

Das ist die häufigste Frage. Die Header-Analyse zeigt in der Regel eine dieser Ursachen:

Ursache	Was der Header zeigt	Lösung
SPF fehlgeschlagen	`spf=fail` oder `spf=softfail`	Fügen Sie den Sendeserver zu Ihrem SPF-Eintrag hinzu
DKIM ungültig	`dkim=fail` oder `dkim=none`	Konfigurieren oder reparieren Sie die DKIM-Signatur
DMARC fehlgeschlagen	`dmarc=fail` mit `p=reject` oder `p=quarantine`	Korrigieren Sie SPF/DKIM, um die Domain auszurichten
Hoher Spam-Score	`X-Spam-Score: 8.5` oder ähnlich	Überprüfen Sie den Inhalt (Links, Bilder, Schlüsselwörter)
IP auf Blacklist	RBL- oder Blocklist-Erwähnungen in Headern	Überprüfen Sie die Reputation Ihrer Sende-IP

Tipp: Fügen Sie Ihre Header im Analyzer oben ein, um genau zu identifizieren, welche Ursache Ihre E-Mails betrifft. Eine vollständige Diagnose mit allen Spam-Ursachen finden Sie im Leitfaden Warum E-Mails im Spam landen.

Praxisnahe Anwendungsfälle

Vorfall 1: Alle Ihre E-Mails landen im Spam

Symptom: Sie versenden Newsletter, aber 80% landen im Spam.

Diagnose: Fügen Sie eine Spam-E-Mail in den Analyzer ein.

SPF = ❌ Fail → Ihr Server ist nicht autorisiert
DKIM = ✅ Pass
DMARC = ❌ Fail (SPF fehlgeschlagen)

Maßnahme: Fügen Sie Ihren Server zu Ihrem SPF-Eintrag hinzu.

Vorfall 2: Eine bestimmte E-Mail kommt nicht an

Symptom: Sie senden eine wichtige E-Mail, der Empfänger erhält sie nicht.

Diagnose: Bitten Sie den Empfänger, die Header zu prüfen.

Routing = ✅ An Microsoft zugestellt
Urteil = ❌ Von Anti-Spam-Filter abgelehnt
Spam-Score = 8.5 (SEHR HOCH)

Maßnahme: Prüfen Sie Links, Anhänge oder Inhalte, die den Filter auslösen.

Vorfall 3: Sie vermuten Phishing

Symptom: Eine E-Mail behauptet, von Ihrer Bank zu kommen, aber etwas scheint falsch.

Diagnose: Fügen Sie den Header in den Analyzer ein.

From = noreply@captaindns.com
SPF = ❌ Fail (nicht autorisierte Domain)
DKIM = ❌ Fail (ungültige Signatur)
DMARC = ❌ Fail

Schlussfolgerung: Es ist Phishing. Die E-Mail kommt nicht wirklich von Ihrer Bank. Um zu prüfen, ob die URLs in der E-Mail als bösartig gemeldet sind, verwenden Sie den Phishing URL Checker.

Vorfall 4: Weiterleitung schlägt fehl

Symptom: Sie leiten E-Mails an einen Kollegen weiter, aber sie landen im Spam.

Diagnose: Der Analyzer zeigt:

Routing = 3 Server (Original → Ihr Server → Server des Kollegen)
DKIM = ❌ Fail (Signatur nach Weiterleitung gebrochen)
SPF = ✅ Pass (aber DMARC schlägt fehl)

Maßnahme: Konfigurieren Sie DMARC mit p=none oder verwenden Sie ARC (Authenticated Received Chain).

FAQ - Häufig gestellte Fragen

F: Was ist genau ein E-Mail-Header?

A: Es ist die komplette Historie einer E-Mail: Absender, Empfänger, durchquerte Server, Sicherheitsprüfungen (SPF/DKIM/DMARC), Anti-Spam-Urteile. Der Header kann nicht gefälscht werden.

F: Wie extrahiere ich Header aus meiner E-Mail?

A: Das hängt von Ihrem Client ab:

Gmail: E-Mail öffnen → 3 Punkte (⋮) → "Original anzeigen"
Outlook: E-Mail öffnen → "Aktionen" → "Nachrichtendetails anzeigen"
Apple Mail: Menü "Nachricht" → "Alle Header anzeigen"

F: Warum landet meine E-Mail im Spam?

A: Die häufigsten Gründe:

SPF fehlgeschlagen: Ihr Sendeserver ist nicht autorisiert
DKIM ungültig: E-Mail wurde geändert oder Signatur ist defekt
DMARC fehlgeschlagen: SPF oder DKIM fehlgeschlagen + Domain nicht aligned
Inhalt: Verdächtige Links, Anhänge oder "Spam"-Schlüsselwörter
Reputation: Ihre IP oder Domain hat schlechte Reputation

F: Was ist der Unterschied zwischen SPF, DKIM und DMARC?

SPF: "Wer darf von meiner Domain senden?" (Whitelist von IPs/Servern)
DKIM: "Wurde diese E-Mail geändert?" (kryptographische Signatur)
DMARC: "Sind SPF und DKIM aligned?" (Authentifizierungsrichtlinie)

Analogie: SPF = Liste autorisierter Kuriere, DKIM = Siegel auf Paket, DMARC = Überprüfung, dass Siegel und Kurier übereinstimmen.

F: Ist das Tool kostenlos?

A: Ja, der Header-Analyzer ist 100% kostenlos ohne Anmeldung. Fügen Sie Ihre Header ein und erhalten Sie sofortige Ergebnisse.

F: Sind meine Header sicher?

A: Ja. Header enthalten niemals sensible Daten (keine Passwörter, kein privater Inhalt). Sie enthalten nur technische Informationen (Server, Domains, Urteile). Wir speichern Ihre Daten nicht.

F: Was soll ich nach der Analyse tun?

A: Das hängt von den Ergebnissen ab:

SPF fehlgeschlagen → Fügen Sie Ihren Server zu Ihrem SPF-Eintrag hinzu
DKIM fehlgeschlagen → Prüfen Sie Ihren DKIM-Schlüssel oder regenerieren Sie ihn
DMARC fehlgeschlagen → Konfigurieren Sie DMARC mit geeigneter Richtlinie
Hoher Spam → Prüfen Sie den Inhalt

Ergänzende Tools

Tool	Zweck
SPF Inspector	SPF-Eintrag überprüfen und korrigieren
DKIM Inspector	DKIM-Signatur validieren
DMARC Inspector	DMARC-Richtlinie konfigurieren und testen
DNS-Propagierungsprüfer	Bestätigen, dass DNS-Einträge global propagiert sind
IP-Blacklist-Checker	Prüfen, ob Ihre IP auf einer Blacklist steht
Domain-Blacklist-Checker	Prüfen, ob Ihre Domain auf einer Blacklist steht
Phishing URL Checker	Prüfe ob eine URL als Phishing oder Malware gemeldet ist
DMARC-Monitoring	Empfangen und analysieren Sie Ihre aggregierten DMARC-Berichte automatisch

Nützliche Ressourcen

RFC 5322 - Internet-Nachrichtenformat (offizielle Header-Spezifikation)
Google - E-Mails authentifizieren (Gmail-Leitfaden)
Microsoft - E-Mail-Authentifizierung (Outlook/Microsoft 365-Leitfaden)

E-Mail Header analysieren

SPF, DKIM, DMARC und Anti-Spam in 10 Sekunden prüfen

Schritt-für-Schritt-Anleitung

SPF, DKIM, DMARC im Header prüfen

Spam-Score und Spam-Filter

Zustellweg und Absender-IP

Spoofing und Phishing erkennen