Es ist allgemein bekannt, dass E-Mails über ihre IP-Adresse zurückverfolgt werden können. Viele Menschen haben diese Tatsache wahrscheinlich aus Krimiserien mitgenommen. Man könnte fälschlicherweise annehmen, dass es schwierig ist, diese Informationen zu erhalten und man entweder einen Hacker oder einen richterlichen Beschluss benötigt. Das ist aber nicht der Fall. Es ist wichtig, sich bewusst zu sein, dass Ihre IP-Adresse öffentlich zugänglich ist und Sie somit online identifiziert werden können. Wenn diese Adresse mit einer E-Mail verknüpft ist, wird sie zu einer persönlichen Information.
Dennoch ist es relativ unkompliziert, die IP-Adresse des Absenders einer E-Mail herauszufinden. Im Folgenden wird erläutert, wie dies funktioniert.
E-Mail-Header
Eine E-Mail besteht nicht nur aus dem Textkörper, den Sie beim Empfang sehen. Jede E-Mail, die Sie versenden, beinhaltet eine Vielzahl von zusätzlichen Informationen, die im E-Mail-Header gespeichert sind. Die meisten modernen E-Mail-Programme und -Dienste zeigen diese Header standardmäßig nicht an, da die darin enthaltenen Details für die meisten Benutzer nicht relevant sind. Für technisch weniger versierte Personen kann diese Fülle an Information eher verwirrend sein.
Alle E-Mails haben Header, und alle E-Mail-Clients und -Dienste können diese anzeigen. Die Informationen im Header umfassen unter anderem den Weg, den die E-Mail genommen hat, um Sie zu erreichen. Wenn Sie also eine weitergeleitete E-Mail erhalten, können Sie im Header sehen, wer der ursprüngliche Absender war, auch wenn der Textkörper der Nachricht bereinigt wurde. Die IP-Adresse des Absenders ist im Feld „Received:from“ des Headers zu finden.
Analyse des „Received:from“-Feldes
Bei einfachen E-Mails, also solchen, bei denen ein Absender eine Nachricht direkt an einen Empfänger sendet, erscheint das Feld „Received:from“ nur einmal. Bei weitergeleiteten Nachrichten gibt es jedoch mehrere Einträge dieses Feldes im Header. Bei Spam- oder Phishing-E-Mails gestaltet sich das Auffinden der Absender-IP-Adresse etwas komplizierter.
Bei weitergeleiteten E-Mails ist der letzte Eintrag des Feldes „Received:from“ im Header die IP-Adresse der Person, die die Nachricht an Sie weitergeleitet hat.
Bei Spam-Nachrichten ist es schwieriger. Spammer fälschen die Informationen im E-Mail-Header bewusst (was durchaus möglich ist), bevor sie die Nachricht versenden. Um die echte IP-Adresse zu finden, müssen Sie den Weg der E-Mail nachvollziehen: Beginnen Sie mit dem letzten „Received:from“-Eintrag und gleichen Sie diesen mit dem „by“-Feld des vorherigen „Received:from“-Eintrags ab.
Das „by“-Feld zeigt Ihnen, von welchem Ort die vorherige E-Mail gesendet wurde. Diese Information sollte mit den „Received:from“-Informationen des nächsten Feldes übereinstimmen.
Ausnahmen bei der Ermittlung
Wie bereits erwähnt, gibt es Ausnahmen bei der Ermittlung der Absender-IP-Adresse. Eine wesentliche Ausnahme ist Gmail. Wenn der Absender die Weboberfläche oder eine offizielle Google Mail-App zum Versenden der E-Mail genutzt hat, sind die IP-Informationen nicht direkt vorhanden. Die im „Received:from“-Eintrag angegebene IP ist dann die Server-IP von Google. Dies ist eine absichtliche Maßnahme von Google.
Allerdings gibt es auch hier Ausnahmen. Wenn jemand eine Gmail-Adresse verwendet, diese jedoch mit einem E-Mail-Client wie Outlook oder Thunderbird eingerichtet hat, wird die IP-Adresse von diesen Clients der E-Mail hinzugefügt. Voraussetzung hierfür ist, dass die E-Mail von einem solchen Client gesendet wird. Auch E-Mail-Dienste wie Live Mail und Yahoo Mail fügen die IP-Adresse des Absenders dem E-Mail-Header hinzu.