Oder Mäil analysieren

eMäils werden als Text verschickt, auch Binärdateien wie Grafiken sind in ASCII codiert. Man kann also Mäils wie Textdateien behandeln (und mein Mäilprogramm bietet an, die zu lesen).

Am Anfang, im sog. "Header", stehen Informationen über den Mäilversand. Nicht alle sind für Lauen verständlich, aber mit etwas Englisch kann man schon was erkennen.

Vor allem die Zeilen, die mir "received:" beginnen, da teilt ein Rechner mit, wer er ist von wo er die Mäil, die er weiterleitet, erhalten hat (jeweils Rechnername, falls vorhanden, und IP-Adresse). Das wird immer an den Anfang gehängt, also stehen die received:-Zeilen alle am Anfang (ggf. dazwischen weiter Infozeilen z.B. über Virensuche).

Wenn dann die logisch erste (also im Text letzte) received:-Zeile einen ganz anderen Absender ergibt als in "From:" (Absender), ist das verdächtig. Genauso wenn in der Kette der Rechner, die die Mäil jeweils weiterleiten, eine Unstimmigkeit ist, also ein Rechner A den Empfang meldet, aber die nächste Station von Rechner B bekommen hat.

So was kann harmlos sein (z.B. verschiedene IPs und/oder Namen im internen Firmennetz und im Internet). Aber wenn es Gründe gibt, vorsichtig oder gar misstrauisch zu sein, ist das ein weiteres Indiz.

Habe letztens auch mal bei meiner Bank angerufen und nachgefragt, ob eine Mäil von ihnen echt ist. Schließlich sollte ich da auf einen Link klicken, und ich konnte den wahren Absender nicht mit ihr in Verbindung klicken. Andererseits war der Absender keiner der "üblichen Verdächtigen" (erkennbar Privatanschluss, und/oder aus Russland o.ä.), also hab ich angerufen, Die Mäil war echt ... offenbar hatten die einen Dienstleister mit dem Versand der Massenmäil beauftragt, oder so ähnlich.

Besser als umgekehrt: Sieht sehr echt aus, und der Klick stiehlt meine Daten oder was weiß ich was passiert ...