JPKCom DB

Mail Header Analyzer — Manual

Vollständige Funktionsbeschreibung des Mail Header Analyzer: alle fünf Tabs, Received-Routen, SPF/DKIM/DMARC, Spam-Analyse, Upload und Datenschutz.

Zurück zur Übersicht: Mail Header Analyzer · Tool live öffnen: www.jpkc.com/tools/mail-header/

Dieses Manual beschreibt den Mail Header Analyzer vollständig: wie die Oberfläche aufgebaut ist, was jeder der fünf Tabs anzeigt, wie das Tool die Header intern zerlegt und welche Grenzen der reine Browser-Betrieb mit sich bringt. Die Oberfläche des Tools ist auf Englisch — die Labels werden hier deshalb in ihrer englischen Original-Schreibweise genannt (mit deutscher Erläuterung), damit du dich im echten Interface zurechtfindest.

Aufbau der Oberfläche

Das Tool besteht aus einer Karte mit fünf Reitern (Tabs):

  1. Parse — die Eingabe-Ansicht, in der du die Header einfügst und die Analyse startest.
  2. Overview — Zusammenfassung der wichtigsten Felder.
  3. Route — der Zustellweg als Zeitachse.
  4. Security — SPF/DKIM/DMARC und Spam-Analyse.
  5. All Headers — durchsuchbare Tabelle aller Header.

Beim Start ist nur der Parse-Tab aktiv; die vier Auswertungs-Tabs sind ausgegraut und werden erst freigeschaltet, sobald du erfolgreich analysiert hast. Nach einem Klick auf Analyze springt das Tool automatisch zum Overview-Tab. Ein erneutes Clear deaktiviert die vier Tabs wieder und bringt dich zurück zur Eingabe.

Ablauf

Der typische Ablauf hat drei Schritte:

  1. Header beschaffen — die rohen Kopfzeilen aus deinem Mail-Programm holen (siehe Header beziehen).
  2. Einfügen oder hochladen — in das große Textfeld einfügen, eine Datei über Upload wählen oder sie per Drag-and-drop ablegen.
  3. Analyze klicken (oder Strg+Enter im Textfeld). Die vier Auswertungs-Tabs füllen sich, und du landest in der Übersicht.

Parse-Tab

Der Parse-Tab ist die Kommandozentrale. Oben steht ein großes, dunkles Textfeld in Monospace-Schrift (Raw Email Headers), in das du die Kopfzeilen einfügst. Darüber sitzt eine Knopfgruppe:

  • Upload — öffnet einen Datei-Dialog und akzeptiert .eml- und .txt-Dateien. Die Datei wird lokal gelesen, der Header-Teil extrahiert (siehe Datei-Upload) und sofort analysiert.
  • Example — füllt das Feld mit einem realistischen Beispiel-Header (eine über Postfix und Google zugestellte Mail mit SPF-, DKIM-, DMARC- und Spam-Headern). Ideal zum Kennenlernen; danach noch einmal selbst Analyze drücken.
  • Clear — leert das Feld, setzt alle Ansichten zurück und deaktiviert die Auswertungs-Tabs.

Darunter liegt der Analyze-Knopf, der die eigentliche Analyse auslöst. Ein Tastaturkürzel Strg+Enter im Textfeld tut dasselbe. Du kannst eine Datei außerdem direkt auf das Textfeld ziehen — beim Drüberziehen hebt es sich optisch hervor, beim Loslassen wird der Inhalt geladen und analysiert.

Ganz unten erklärt eine Hilfe-Karte (How to get email headers), wie du an die Header kommst — siehe Header beziehen.

Fügst du nichts ein und klickst Analyze, weist dich ein Hinweis darauf hin („Please paste email headers first."). Lässt sich aus dem Text keine einzige Kopfzeile herauslesen, kommt „Could not parse any headers." mit dem Hinweis auf das Key: Value-Format.

Overview-Tab

Die Übersicht zeigt zwei Blöcke. Zuoberst — falls vorhanden — eine Authentication Summary: kompakte Badges für SPF, DKIM und DMARC mit ihrem jeweiligen Status. Darunter die Karte Key Fields, eine Tabelle mit den zentralen Kopfzeilen, sofern sie in den Headern vorkommen:

From, To, CC, Subject, Date, Reply-To, Return-Path, Message-ID, MIME-Version, Content-Type, X-Mailer und User-Agent.

Jeder Wert hat ein kleines Kopier-Symbol, mit dem du ihn einzeln in die Zwischenablage legst. Felder, die in der Mail nicht vorkommen, werden weggelassen; fehlen alle, erscheint „No common header fields found.". Kommt ein Feld mehrfach vor, zeigt die Übersicht den ersten Treffer — die vollständige Liste inklusive Dubletten findest du im All-Headers-Tab.

Route-Tab

Der Route-Tab rekonstruiert den Zustellweg aus den Received-Headern. Mailserver schreiben diese Zeilen beim Empfang von oben nach unten in umgekehrter Reihenfolge (neueste zuerst); das Tool dreht sie um, sodass die Zeitachse vom Absender (Hop 1, grün) zum Empfänger (letzter Hop, blau) läuft. Zwischenstationen sind grau nummeriert.

Pro Hop zeigt eine Karte:

  • from und by — der absendende und der annehmende Server, aus der Received-Zeile extrahiert.
  • Protokoll — das Übertragungsprotokoll hinter with (z. B. ESMTP, ESMTPS, SMTP; „Microsoft SMTP Server" wird als Microsoft SMTP ausgewiesen).
  • TLS-Status — wurde der Hop verschlüsselt übertragen? Erkennt das Tool Hinweise auf Transportverschlüsselung (ESMTPS/ESMTPSA, STARTTLS, SSL, version=TLS…, TLSv1.x, with HTTPS), zeigt es ein grünes Schloss samt TLS-Version (z. B. TLS 1.3); andernfalls ein gelbes „No TLS".
  • Zeitstempel — wann dieser Server die Nachricht annahm, umgerechnet in deine lokale Zeitzone. Daneben steht die ursprüngliche Zeitzone, die der Server protokolliert hat (z. B. UTC+01:00 oder UTC-08:00 (PST)).

Zwischen zwei Hops zeigt das Tool die Wartezeit als Lücke an: „Held at Server X for 2m 14s before Server Y accepted it". Der Zeitstempel markiert immer, wann ein Server die Nachricht annahm — die Differenz gehört also zur Wartezeit beim vorherigen Server (Queue, Greylisting), nicht zu einem einzelnen Hop. Die Lücken sind nach Dauer eingefärbt: bis 10 Sekunden „fast", bis 1 Minute „normal", bis 5 Minuten „langsam", darüber „sehr langsam". Ist eine Differenz negativ, gehen die Server-Uhren auseinander; das Tool meldet dann ehrlich einen Clock-Skew statt einer erfundenen Wartezeit.

Am Ende fasst eine Zeile die Gesamt-Laufzeit (Total transit time) und die Zahl der Hops zusammen — und benennt, falls eine Station heraussticht, die längste Wartezeit und wo sie auftrat. Fehlen Received-Header, erscheint stattdessen „No Received headers found.".

Security-Tab

Der Security-Tab bündelt die Authentifizierung in drei Karten — SPF, DKIM und DMARC — mit je einem farbigen Status-Badge und dem rohen Ergebnis-String:

  • SPF wird aus dem Authentication-Results-Header gelesen (spf=…); fehlt er dort, fällt das Tool auf den Received-SPF-Header zurück. Erkannte Status: pass, fail, softfail, neutral, none, temperror, permerror.
  • DKIM ebenfalls aus Authentication-Results (dkim=…; Status pass, fail, neutral, none, temperror, permerror). Findet sich kein Ergebnis, aber ein DKIM-Signature-Header, weist das Tool das als „DKIM-Signature header present (no verification result found)" mit Status neutral aus — die Mail wurde signiert, ob die Signatur stimmt, hat aber niemand geprüft.
  • DMARC aus Authentication-Results (dmarc=…; Status pass, fail, none, bestguesspass).

Fehlt eine Prüfung ganz, zeigt die Karte „NOT FOUND". Darunter folgt die Karte Spam Analysis, gespeist aus X-Spam-Score, X-Spam-Status, X-Spam-Flag und X-Spam-Level. Ein vorhandener Score wird eingefärbt: bis 0 grün, unter 5 gelb, ab 5 rot — denn bei SpamAssassin-artigen Filtern bedeutet ein höherer Wert mehr Spam-Verdacht. Ganz unten zeigt die Karte Raw Authentication-Results den oder die ungefilterten Original-Header, damit du nichts verpasst, was die Karten nicht ausgewertet haben.

All-Headers-Tab

Hier siehst du jede geparste Kopfzeile in der Reihenfolge, in der sie in der Mail stand — durchnummeriert, mit Header-Name und Wert. Jeder Wert hat ein Kopier-Symbol. Über der Tabelle:

  • ein Suchfeld (Search headers…), das die Tabelle live filtert (Treffer in Name oder Wert; Groß-/Kleinschreibung egal);
  • Copy All — legt den kompletten Roh-Header-Text in die Zwischenablage;
  • Download — speichert die Header als Textdatei email-headers.txt.

Eine Zeile unter der Tabelle nennt die Gesamtzahl gefundener Header. Anders als die Übersicht zeigt dieser Tab auch Dubletten (mehrfach vorkommende Header wie mehrere Received-Zeilen) vollständig an.

Header beziehen

Die Hilfe-Karte im Parse-Tab fasst zusammen, wie du an die rohen Header kommst:

  • Gmail — Mail öffnen → More (Drei-Punkte-Menü) → Show original → Header kopieren.
  • Outlook — Mail öffnen → FileProperties → aus Internet Headers kopieren.
  • Thunderbird — Mail öffnen → Strg+U → Header (oberhalb der Leerzeile) kopieren.

Wichtig ist immer nur der Header-Teil — alles bis zur ersten Leerzeile. Den Body brauchst du nicht; lädst du eine ganze .eml-Datei hoch, schneidet das Tool den Body ohnehin selbst ab.

Wie geparst wird

Header-Format und Unfolding

Das Tool zerlegt den Text zeilenweise in Key: Value-Paare. Zuvor führt es das RFC-5322-Unfolding durch: Zeilen, die mit einem Leerzeichen oder Tab beginnen, sind Fortsetzungen der vorherigen Kopfzeile und werden wieder an sie angehängt — so bleiben lange, umgebrochene Header (etwa Received- oder DKIM-Signature-Zeilen) als Einheit erhalten. Leerzeilen markieren das Ende der Header und werden übersprungen. Reihenfolge und Dubletten bleiben erhalten — wichtig, weil Received mehrfach vorkommt.

Datei-Upload

Upload und Drag-and-drop akzeptieren .eml- und .txt-Dateien. Das Tool liest die Datei lokal als Text und trennt den Header-Teil am ersten Leerzeilen-Umbruch ab (erst \r\n\r\n, ersatzweise \n\n). Findet sich keine Leerzeile, wird der gesamte Inhalt als Header behandelt. Der Body wird verworfen; eine Meldung nennt die Zahl der geladenen Header-Zeilen und ob ein Body entfernt wurde. Anschließend startet die Analyse automatisch.

Betriebsgrenzen und Datenschutz

  • Vollständig clientseitig: Parsen, Routen-Berechnung, Authentifizierungs- und Spam-Auswertung sowie das Datei-Lesen laufen ausschließlich im Browser. Es gibt kein Backend, kein API, keinen Upload-Endpunkt — deine Header verlassen den Rechner nicht.
  • Lokaler Verlauf: Analysierte Header werden in einem browser-lokalen Verlauf des Tools abgelegt und lassen sich nach einem Reload wiederherstellen. Das bleibt auf deinem Gerät, ist aber auf einem geteilten Rechner einen Gedanken wert.
  • Heuristisches Parsen: Die Auswertung von Received-Zeilen, TLS-Hinweisen und Zeitstempeln ist auf gängige Formate (Postfix, Exchange/Microsoft, Google) ausgelegt. Exotische oder fehlerhaft formatierte Header können unvollständig erkannt werden — der All-Headers-Tab zeigt dann immer noch den Rohwert.
  • Keine DNS-Live-Prüfung: Das Tool liest nur, was in den Headern steht. Es fragt keine DNS-Einträge ab und verifiziert keine DKIM-Signatur kryptografisch — es zeigt die Ergebnisse, die der empfangende Mailserver bereits in Authentication-Results notiert hat.

Für den Einstieg und die Zielgruppen siehe die Übersichtsseite. Konkrete Durchläufe stehen in den Beispielen, Strategie und Stolperfallen in den Tipps & Tricks. Ausprobieren kannst du alles direkt im Tool.