E-Mail-Header lesen und Zustellprobleme diagnostizieren

15. April 2026 • Von DMARCFlow Team

2026-04-15 · 8 Min. Lesezeit

Was sind E-Mail-Header?

Jede E-Mail-Nachricht besteht aus zwei Teilen: dem Body — dem Inhalt, den du liest — und den Headern, einem Block strukturierter Metadaten, der den Weg der Nachricht vom Absender zum Empfänger beschreibt. Header protokollieren jeden Server, den die Nachricht passiert hat, die dabei durchgeführten Authentifizierungsprüfungen, Zeitstempel, Spam-Filter-Urteile und vieles mehr.

Die meisten E-Mail-Clients blenden Header standardmäßig aus, da sie nicht für den normalen Lesebetrieb gedacht sind. Wenn eine Nachricht aber im Spam landet, abgelehnt wird oder ungewöhnlich lange unterwegs ist, sind Header die primäre Diagnosequelle. Wer sie lesen kann, verwandelt ein verwirrendes Zustellproblem in ein lösbares.

Wie du E-Mail-Header anzeigst

Der Zugriff auf vollständige Header variiert je nach E-Mail-Client:

  • Gmail: Öffne die Nachricht, klicke auf das Drei-Punkte-Menü oben rechts in der Nachricht und wähle Original anzeigen. Damit öffnet sich ein neuer Tab mit der vollständigen Rohnachricht inklusive aller Header.
  • Outlook (Desktop): Öffne die Nachricht und gehe zu Datei → Eigenschaften. Das Feld „Internetkopfzeilen" am unteren Ende des Dialogs enthält den vollständigen Header-Block.
  • Apple Mail: Öffne die Nachricht und gehe zu Darstellung → Nachricht → Alle Header. Du kannst auch die Tastenkombination Umschalt + Cmd + H verwenden.
  • Thunderbird: Öffne die Nachricht und gehe zu Ansicht → Nachrichtenquelltext (oder drücke Strg + U). Die Header erscheinen ganz oben im Rohquelltext.

Sobald du die Rohheader hast, kopiere sie und füge sie in ein Tool wie den DMARCFlow E-Mail-Header-Analyzer ein, um eine strukturierte, leicht lesbare Aufbereitung zu erhalten.

Die Received-Header verstehen

Die wichtigsten Header für die Nachverfolgung des Zustellwegs einer Nachricht sind die Received:-Header. Jeder Mailserver, der die Nachricht verarbeitet, stellt einen neuen Received:-Header voran, der sich selbst, den Server, von dem er die Nachricht erhalten hat, und den Zeitstempel beschreibt.

Ein entscheidender Punkt, der viele verwirrt: Received-Header stehen in umgekehrter chronologischer Reihenfolge. Der Header ganz unten ist der erste Hop — der Ursprungsserver. Der Header ganz oben ist der letzte Hop — der Server, der die Nachricht in deinen Posteingang zugestellt hat. Von unten nach oben zu lesen ergibt den vollständigen Weg.

Jeder Received:-Header enthält typischerweise:

  • from — der Server, der diesen Hop gesendet hat (Hostname und IP)
  • by — der Server, der diesen Hop empfangen hat
  • with — das verwendete Protokoll (SMTP, ESMTP, ESMTPS)
  • for — die Empfängeradresse
  • Ein Zeitstempel, der angibt, wann dieser Hop stattgefunden hat

Durch den Vergleich von Zeitstempeln zwischen aufeinanderfolgenden Hops kannst du Verzögerungen identifizieren. Eine Lücke von mehreren Minuten zwischen zwei Hops deutet häufig auf Greylisting hin — eine Technik, bei der empfangende Server unbekannte Absender vorübergehend abweisen, um Spam-Bots herauszufiltern, die keine erneuten Versuche unternehmen.

Der Authentication-Results-Header

Der Authentication-Results:-Header wird vom empfangenden Mailserver hinzugefügt und dokumentiert das Ergebnis der SPF-, DKIM- und DMARC-Prüfungen für die eingehende Nachricht. Er ist einer der nützlichsten Header zur Diagnose von Authentifizierungsfehlern. Eine fehlerfreie Nachricht sieht so aus:

Authentication-Results: mx.example.com;
  spf=pass (google.com: domain of absender@deinedomaim.de designates 203.0.113.1 as permitted sender)
  dkim=pass header.i=@deinedomaim.de header.s=selector1
  dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=deinedomaim.de

Wenn eines dieser Felder statt pass fail oder softfail anzeigt, ist das ein direktes Signal, deine SPF-, DKIM- oder DMARC-Konfiguration zu untersuchen. Der Wert in Klammern erklärt oft den Grund — zum Beispiel welche IP-Adresse gegen SPF geprüft wurde oder welcher DKIM-Selektor verwendet wurde.

X-Spam-Header und Spam-Scores

Viele empfangende Server führen Spam-Scoring-Software aus — am häufigsten SpamAssassin — und betten ihr Urteil in X-Spam-*-Header ein, bevor die Nachricht zugestellt wird. Häufige Header sind:

  • X-Spam-Status: — Meistens Yes oder No, gefolgt vom numerischen Score und einer Liste ausgelöster Regeln, zum Beispiel: X-Spam-Status: Yes, score=7.8 required=5.0 tests=BAYES_99,HTML_MESSAGE,MISSING_DATE
  • X-Spam-Score: — Der rohe numerische Score. Alles über dem Schwellenwert (typischerweise 5.0 für SpamAssassin) wird als Spam behandelt.
  • X-Spam-Flag: — Ein einfaches YES- oder NO-Indikator.

Die Liste der ausgelösten Regelnamen ist besonders aufschlussreich. Regeln wie BAYES_99 bedeuten, dass der Bayes-Filter mit hoher Konfidenz davon ausgeht, dass es sich um Spam handelt. Regeln wie MISSING_DATE, NO_RECEIVED oder FORGED_RCVD_TRAIL deuten auf strukturelle oder technische Probleme beim Aufbau der Nachricht selbst hin.

Häufige Probleme anhand der Header diagnostizieren

Mit den Headern lassen sich die meisten Zustellprobleme auf eine überschaubare Anzahl von Grundursachen zurückführen:

  • SPF-Fehler: Der Authentication-Results-Header zeigt spf=fail und nennt die sendende IP. Diese IP ist nicht im SPF-Record deiner Domain gelistet. Entweder aktualisierst du deinen SPF-Record, um den betreffenden Dienst aufzunehmen, oder die Nachricht wurde von einer nicht autorisierten Quelle versendet, der du nachgehen solltest.
  • DKIM-Fehler: dkim=fail bedeutet typischerweise, dass die DKIM-Signatur nicht verifiziert werden konnte. Häufige Ursachen: der Nachrichtentext wurde während der Übertragung verändert (durch eine Mailingliste, einen Weiterleitungsdienst oder einen Content-Security-Scanner), der DKIM-Schlüssel wurde rotiert, ohne den DNS-Eintrag zu aktualisieren, oder der im Header referenzierte Selektor existiert nicht im DNS.
  • DMARC-Fehler: dmarc=fail bedeutet, dass weder SPF noch DKIM bestanden haben und mit der From-Domain ausgerichtet waren. Auch wenn SPF für ein Relay eines Drittanbieters besteht — wenn die Domain dieses Relays nicht mit deiner From-Header-Domain übereinstimmt, schlägt DMARC trotzdem fehl. Das ist die häufigste Ursache beim Wechsel zu einem neuen E-Mail-Dienstleister.
  • Lange Verzögerungen zwischen Received-Hops: Eine Lücke von 5–15 Minuten deutet meist auf Greylisting hin. Eine Lücke von mehreren Stunden kann auf einen Warteschlangenrückstau auf einem der Zwischenserver hinweisen — möglicherweise, weil der Zielserver deine sendende IP drosselt.
  • Hoher Spam-Score durch Content-Regeln: Der Nachrichteninhalt selbst löst Filter aus. Überprüfe die ausgelösten Regeln. Häufige Auslöser sind übermäßige HTML-Formatierung, reine Bild-E-Mails ohne Text, Spam-Trigger-Wörter oder ein ungünstiges Text-zu-HTML-Verhältnis.

Den DMARCFlow E-Mail-Header-Analyzer nutzen

Rohheader manuell zu lesen erfordert Erfahrung und Zeit. Der DMARCFlow E-Mail-Header-Analyzer automatisiert diesen Prozess: Füge deine vollständigen Rohheader in das Tool ein, und du erhältst eine strukturierte Analyse des Zustellwegs, der Authentifizierungsergebnisse, der Spam-Scores und eine verständliche Zusammenfassung aller gefundenen Probleme. Das ist der schnellste Weg, von der Frage „Warum ist diese Nachricht im Spam gelandet?" zu einer konkreten Antwort und einem Plan zur Behebung zu gelangen.

E-Mail-Header jetzt analysieren

Füge deine Rohheader ein und erhalte sofort eine strukturierte Aufbereitung deines Zustellwegs, deiner Authentifizierungsergebnisse und Spam-Scores. Diagnose von Zustellproblemen in Sekunden.

Header-Analyzer öffnen