E-Mail-Header-Analyzer — Anleitung & Referenz

Was sind E-Mail-Header?

Jede E-Mail enthält eine Reihe versteckter Metadatenfelder, die sogenannten Header. Sie werden von jedem Mailserver auf dem Übertragungsweg eingetragen und dokumentieren den vollständigen Weg der Nachricht vom Absender bis zum Empfänger. Die meisten E-Mail-Clients blenden sie standardmäßig aus — sichtbar sind normalerweise nur Von, An, Betreff und Datum — doch die Rohdaten enthalten deutlich mehr Informationen.

Header folgen dem RFC 5322-Format: ein Feld pro Zeile, bestehend aus Feldname, Doppelpunkt und Wert. Mehrzeilige Werte werden mit führendem Leerzeichen (Folding) fortgesetzt. Der neueste Header steht oben, ältere darunter.

Received: from mail.example.com (203.0.113.42)
         by mx.empfaenger.de with ESMTPS
         for <nutzer@empfaenger.de>; Thu, 1 May 2026 09:12:34 +0000
Authentication-Results: mx.empfaenger.de;
                       spf=pass smtp.mailfrom=example.com;
                       dkim=pass header.d=example.com;
                       dmarc=pass header.from=example.com
From: Alice <alice@example.com>
To: Bob <bob@empfaenger.de>
Subject: Hallo
Date: Thu, 1 May 2026 09:12:30 +0000
Message-ID: <eindeutige-id@example.com>

Jeder Received:-Header wird von einem Mailserver hinzugefügt, der die Nachricht weiterleitet. Von unten nach oben gelesen ergibt sich der vollständige Zustellungsweg.

Was dieses Tool besonders macht

Die meisten Header-Analyzer zeigen die Rohwerte in einer Tabelle oder als flache Liste an. Dieses Tool geht weiter: Es löst DNS-Einträge in Echtzeit auf, verfolgt Authentifizierungsketten und dekodiert proprietäre Microsoft 365-Header — um nicht nur was passiert ist zu zeigen, sondern warum und an welcher genauen Stelle etwas schiefgelaufen ist.

SPF

SPF-Record-Visualisierung

Das Tool ruft den aktuellen SPF-Record der Absenderdomain ab und stellt jeden Mechanismus als farbiges Token dar. Der genaue Mechanismus, auf den die sendende IP-Adresse gepasst hat — ob direkt per ip4:, über einen a:-Eintrag oder ein verschachteltes include: — wird im Record hervorgehoben. So ist auf einen Blick erkennbar, warum SPF bestanden wurde oder welche Regel zum Fehler geführt hat.

SPF

Include-Ketten-Verfolgung

Wenn der treffende Mechanismus ein include:-Verweis ist, verfolgt das Tool die Kette rekursiv: Es löst den SPF-Record jeder referenzierten Domain auf, bis es den finalen Mechanismus findet, der auf die IP gepasst hat. Der vollständige Include-Pfad wird angezeigt (z. B. include:spf.protection.outlook.com → ip4:40.92.0.0/15), damit klar ist, welcher IP-Bereich den Absender autorisiert.

DMARC

Alignment-Analyse

Bei einem DMARC-Fehler zeigt das Tool eine Alignment-Tabelle: Die From:-Header-Domain wird mit der DKIM-Signierdomain (d=) und der SPF-Envelope-From-Domain verglichen. Jedes Paar wird als ausgerichtet oder nicht ausgerichtet gekennzeichnet, sodass sofort ersichtlich ist, ob es sich um ein DKIM-Alignment-Problem, ein SPF-Alignment-Problem oder beides handelt. Lösungshinweise (z. B. benutzerdefinierter Return-Path-CNAME) werden direkt angezeigt.

DKIM

Live-Abfrage des öffentlichen Schlüssels

Für jeden DKIM-Signature:-Header wird selector._domainkey.domain in Echtzeit per DNS abgefragt, um zu prüfen, ob der öffentliche Schlüssel noch in DNS existiert, widerrufen wurde (leeres p=) oder nie veröffentlicht wurde. Stimmt der aktuelle DNS-Stand nicht mit dem Ergebnis zur Zustellzeit überein, weist das Tool auf die Abweichung hin — nützlich, um festzustellen, ob DKIM wegen eines Signierfehlers oder einer späteren Schlüsselrotation fehlschlug.

ARC

Unabhängige ARC-Kettenauswertung

ARC (Authenticated Received Chain) ermöglicht es Zwischenstellen wie Mailinglisten oder Weiterleitungsdiensten, die ursprünglichen Authentifizierungsergebnisse zu erhalten, nachdem sie eine Nachricht modifiziert haben. Das Tool zeigt die vollständige ARC-Kette als visuelle Abfolge von Knoten (i=1, i=2, …), jeweils mit dem Chain-Validation-Wert (cv=none/pass/fail) und den unabhängigen SPF/DKIM/DMARC-Ergebnissen dieses Hops — getrennt von der endgültigen Zustellungsauthentifizierung.

M365

Exchange Online Header-Analyse

Microsoft 365 fügt mehrere proprietäre Header hinzu, die die meisten Analyzer ignorieren. Dieses Tool dekodiert X-Forefront-Antispam-Report, X-Microsoft-Antispam und X-MS-Exchange-Organization-* und zeigt: ob Exchange die Nachricht als intern oder extern eingestuft hat (AuthAs), den Spam Confidence Level (SCL) und Bulk Complaint Level (BCL) mit Erläuterung, das Spam-Filter-Urteil (SFV) und die Nachrichtenkategorie (CAT). Hybride On-Premises-Szenarien werden über den FromEntityHeader-Wert erkannt.

Flow

Mailflow-Diagramm

Der Zustellungsweg wird als interaktives Diagramm dargestellt: Für jeden Hop sind sendender und empfangender Hostname, IP-Adressen, Zeitstempel und die Zeitdifferenz zwischen den Hops sichtbar. IP-Adressen werden als intern (RFC 1918 / Link-Local), Microsoft 365-Infrastruktur oder extern klassifiziert. Fehlende IP-Adressen werden per DNS-Auflösung ergänzt.

M365

Hybrid-Organisations-Erkennung

Wenn eine Nachricht von einem lokalen Exchange-Server über einen Microsoft 365-Hybridconnector eingeht, kann Exchange Online sie fälschlicherweise als anonym (extern) klassifizieren, obwohl sie intern stammt. Das Tool erkennt dieses Muster — AuthAs=Anonymous kombiniert mit FromEntityHeader=HybridOnPrem — und zeigt eine Warnung mit möglichen Ursachen und den Auswirkungen auf Mailflow-Richtlinien.

Referenz: Standard-Headerfelder

Die häufigsten Felder, denen Sie in E-Mail-Headern begegnen:

Header	Inhalt
Received:	Wird von jedem Mailserver auf dem Zustellungsweg hinzugefügt. Von unten nach oben gelesen ergibt sich die Route. Enthält sendenden Host, empfangenden Host, Protokoll und Zeitstempel.
Authentication-Results:	Zusammenfassung der SPF-, DKIM- und DMARC-Prüfungen durch den empfangenden Server. Die maßgebliche Quelle für Pass/Fail-Ergebnisse.
DKIM-Signature:	Kryptografische Signatur über ausgewählte Header und den Nachrichtenkörper. Enthält die Signatur-Domain (`d=`), den Selektor (`s=`), den Algorithmus (`a=`) und die Liste der signierten Header (`h=`).
ARC-Seal:	Teil des ARC-Sets. Versiegelt die am jeweiligen Hop hinzugefügten ARC-Header (`i=`) und enthält den Chain-Validation-Wert (`cv=`).
ARC-Message-Signature:	Ähnlich einer DKIM-Signatur, die von der Zwischenstelle hinzugefügt wird und den Zustand der Nachricht zum Zeitpunkt der Weiterleitung abdeckt.
ARC-Authentication-Results:	Momentaufnahme der Authentifizierungsergebnisse (SPF, DKIM, DMARC) aus Sicht der Zwischenstelle, bevor sie die Nachricht modifiziert oder weitergeleitet hat.
Return-Path:	Die Envelope-Absenderadresse (SMTP MAIL FROM). Wird für SPF-Prüfungen und Bounce-Handling verwendet. Kann von der sichtbaren `From:`-Adresse abweichen.
Message-ID:	Global eindeutiger Bezeichner, der vom Ursprungsserver vergeben wird. Dient zur Thread-Bildung und zum Nachverfolgen einer bestimmten Nachricht in Logs.
X-Originating-IP:	IP-Adresse des Clients, der die Nachricht beim ersten Mailserver eingeliefert hat. Nützlich zur Ermittlung des wahren Ursprungs von Webmail-Nachrichten.
X-Forefront-Antispam-Report:	Proprietärer Microsoft 365-Header. Enthält das Spam-Filter-Urteil (SFV), den Spam Confidence Level (SCL), die Kategorie (CAT), die Client-IP (CIP), das Land (CTRY) und weitere Filtersignale.
X-Microsoft-Antispam:	Proprietärer Microsoft 365-Header. Enthält den Bulk Complaint Level (BCL), der Massen-/Newsletter-E-Mails getrennt von Spam klassifiziert.
X-MS-Exchange-Organization-SCL:	Der Spam Confidence Level, wie er von Exchange Online-Transportregeln gesetzt oder überschrieben wurde. Werte von -1 (Bypass) bis 9 (eindeutiger Spam).
X-MS-Exchange-Organization-AuthAs:	Ob Exchange den Absender als Internal oder Anonymous (extern) eingestuft hat. Wird von Mailflow-Regeln genutzt, um interne und externe Nachrichten unterschiedlich zu behandeln.

SPF, DKIM, DMARC — Kurzreferenz

SPF (Sender Policy Framework)

SPF ermöglicht es einem Domain-Inhaber, in DNS zu veröffentlichen, welche Mailserver berechtigt sind, E-Mails im Namen dieser Domain zu versenden. Der empfangende Server vergleicht die sendende IP mit dem TXT-Eintrag der Domain, die im SMTP-Befehl MAIL FROM (Envelope-Absender) angegeben ist. Häufige Mechanismen:

ip4:1.2.3.0/24 — eine IPv4-Adresse oder einen Adressbereich autorisieren
ip6:2001:db8::/32 — eine IPv6-Adresse oder einen Adressbereich autorisieren
a: / mx: — IPs aus A- oder MX-Einträgen autorisieren
include:andere.domain — SPF-Record einer anderen Domain einbinden (verwendet von ESPs wie Microsoft 365, Google, SendGrid)
~all — Softfail: nicht aufgeführte IPs sind wahrscheinlich nicht autorisiert (zugestellt, aber markiert)
-all — Hardfail: nicht aufgeführte IPs sind nicht autorisiert (sollte abgelehnt werden)

SPF-Alignment für DMARC: Die Envelope-From-Domain (die SPF prüft) muss auf organisatorischer Ebene mit der From:-Header-Domain übereinstimmen. Viele ESPs verwenden standardmäßig ihre eigene Return-Path-Domain, was das SPF-Alignment bricht — sofern kein benutzerdefinierter Return-Path-CNAME konfiguriert ist.

DKIM (DomainKeys Identified Mail)

DKIM versieht die Nachricht mit einer kryptografischen Signatur. Der sendende Server signiert ausgewählte Header und den Nachrichtenkörper mit einem privaten Schlüssel; der öffentliche Schlüssel wird in DNS unter selektor._domainkey.domain veröffentlicht. Empfangende Server verifizieren die Signatur. DKIM übersteht Weiterleitungen und Relaying (solange die signierten Header und der Körper unverändert bleiben) — anders als SPF, das an die sendende IP gebunden ist.

DKIM-Alignment für DMARC: Die Signatur-Domain (d=-Tag) muss auf organisatorischer Ebene mit der From:-Header-Domain übereinstimmen. Signiert der ESP mit seiner eigenen Domain, schlägt das DKIM-Alignment fehl — auch wenn die Signatur kryptografisch gültig ist.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC verbindet SPF und DKIM. Eine Domain veröffentlicht eine DMARC-Richtlinie in DNS unter _dmarc.domain und legt fest, was Empfänger mit Nachrichten tun sollen, die sowohl SPF-Alignment als auch DKIM-Alignment nicht bestehen: p=none (nur überwachen), p=quarantine (als Spam markieren) oder p=reject (ablehnen). DMARC gilt als bestanden, wenn mindestens eines von SPF oder DKIM mit korrektem Alignment bestanden wird.

ARC (Authenticated Received Chain)

Wenn eine Mailingliste oder ein Weiterleitungsdienst eine Nachricht erneut versendet, bricht das SPF (neue sendende IP) und oft auch DKIM (veränderter Betreff oder Fußzeilen). ARC erlaubt diesen Zwischenstellen, einen signierten Snapshot der ursprünglichen Authentifizierungsergebnisse zu hinterlegen. Jeder Zwischenserver fügt drei Header hinzu (ARC-Seal, ARC-Message-Signature, ARC-Authentication-Results) mit einer Instanznummer. Der finale Empfänger kann die ARC-Kette auswerten und entscheiden, ob er der ursprünglichen Authentifizierung vertraut — auch wenn SPF und DKIM jetzt fehlschlagen.

So verwenden Sie das Tool

Header kopieren. In den meisten E-Mail-Clients: Nachricht öffnen, „Original anzeigen", „Quelltext" oder „Nachrichtendetails" suchen (je nach Client — nach „Roh", „Header" oder einer Tastenkombination wie Strg+U suchen). Den gesamten Text markieren und kopieren.
In den Analyzer einfügen. Die kopierten Header in das Textfeld auf der Hauptseite einfügen. Sie können auch eine .eml-Datei direkt per Drag & Drop einfügen.
Analysieren klicken. Das Tool parst die Header und fragt live DNS-Einträge für SPF- und DKIM-Verifizierung ab. Die Ergebnisse erscheinen sofort.
Abschnitte durchgehen. Mit der Abschnittsnavigation können Sie direkt zu Mailflow, Authentifizierung (SPF/DKIM/DMARC/ARC), Exchange-Analyse, Standard-Headern oder Validierungswarnungen springen. DNS-Record-Blöcke und DKIM-Signatur-Blöcke lassen sich aufklappen.

Die gesamte Verarbeitung findet ausschließlich in Ihrem Browser statt. Keine Header-Daten werden an einen Server übermittelt. Die einzigen externen Anfragen sind DNS-Abfragen über den DoH-Endpunkt von Cloudflare (cloudflare-dns.com), der Domain-Namen auflöst, aber keine Header-Inhalte überträgt.

Bereit, Ihre Header zu analysieren?

E-Mail-Header-Analyzer öffnen