Das ist wie mit der klassischen Briefpost. Da kannst du auch als Absender auf den Umschlag schreiben, was immer du willst.
Normalerweise sind die Fälschungen aber nicht perfekt und man kann sie einfach erkennen, wenn man sich den Header angeguckt. Den siehst du, wenn du z.B. in Thunderbird den Nachrichtenquelltext anzeigen lässt.
Eine E-Mail besteht immer aus zwei Teilen, dem Header und dem Body. Der Body ist der eigentlich Text (oder auch das HTML bei buntigen Mails von Leuten, die keine Ahnung haben). Der Header enthält die Verwaltungsinformationen und ist normalerweise nicht sichtbar. Abgesehen von ein paar Feldern wie Absender, Empfänger, Datum, Betreff und so.
Im Mailheader siehst du u.a. einen Received:-Header von jedem Server, über den die E-Mail gegangen ist, in chronologisch umgekehrter Reihenfolge. Das heißt, dein Mailserver bzw. der deines Providers steht ganz oben. Und der Mailserver des Absender steht normalerweise ganz unten, allerdings kann das auch gefälscht sein. Der Hacker kann vor dem Abschicken der Mail beliebig viele falsche Received:-Einträge einfügen, aber er kann nicht mehr verhindern, dass danach korrekte Einträge oben angefügt werden. Also muss man das Transaktionslog von oben nach unten aufdröseln, um den Weg der Mail zurückverfolgen zu können.
Hier mal ein Beispiel einer Erpressermail aus meinem Postfach. Sie beginnt mit den Worten: "Wie Sie vielleicht bemerkt haben, habe ich Ihnen eine E-Mail von Ihrem Konto aus gesendet. Dies bedeutet, dass ich vollen Zugriff auf Ihr Konto habe." Außerdem habe unser toller Hacker auch Zugang auf meinen Rechner und mit der gar nicht vorhandenen Kamera (offenbar geht er davon aus, dass die Leute Laptops einsetzen) Aufnahmen von mir gemacht. Beim Masturbieren und so. Ich möchte ihm doch bitte 357 Euro in Bitcoin zahlen, sonst würde er das veröffentlichen.
Und tatsächlich stehe ich als Absender in der Mail drin. Aber schauen wir uns mal den Header (auszugsweise) an:
Code:
Received: from localhost.localdomain ([127.0.0.1] helo=server01.meinefirma.test)
by server01.meinefirma.test with esmtp (Exim 4.90_1)
(envelope-from <ich@meinefirma.de>)
id 1gxgm2-0003KM-2h
for ich@localhost; Sun, 24 Feb 2019 00:32:02 +0100
Received: from mail.meinhoster.de [78.46.5.205]
by server01.meinefirma.test with POP3 (fetchmail-6.3.26)
for <ich@localhost> (single-drop); Sun, 24 Feb 2019 00:32:02 +0100 (CET)
Received: from [168.0.149.50] (helo=cliente50.rede149.ftth.d1telecom.com.br)
by host0815.meinhoster.de with esmtp (Exim 4.89_1)
(envelope-from <ich@meinefirma.de>)
id 1gxgfU-00033o-DJ
for ich@meinefirma.de; Sun, 24 Feb 2019 00:25:22 +0100
From: <ich@meinefirma.de>
To: <ich@meinefirma.de>
Subject: Hohe Gefahr. Konto wurde angegriffen.
Der hellblaue Eintrag ist von meinem Mailserver (server01.meinefirma.test), der mir die Mail in meinen Posteingang wirft. Der grüne Eintrag zeigt, dass mein Mailserver die Mail vom Server meines Hosters bekommen hat. Interessant ist also der dritte, gelbe Eintrag. Das ist der erste von außerhalb meines Netzes. Der stammt von meinem Hoster und ist deshalb vermutlich korrekt. Und da siehst du, dass er diese Mail bekommen hat von der IP 168.0.149.50 und dass sich dieser Rechner mit dem Namen "cliente50.rede149.ftth.d1telecom.com.br" bei ihm vorgestellt hat (helo=blabla). Ein kurzer Blick ins DNS verrät, dass das diesmal sogar stimmt. Allgemein muss es das nicht, aber die IP ist immer richtig.
Die Mail kam also von einer IP aus Brasilien und wurde "ganz normal" eingeworfen. Hätte dieser Hacker tatsächlich Zugriff auf meinen Rechner und die Mail von dort versendet, dann wäre sie von einer IP aus Deutschland eingeliefert worden. Ich würde außerdem sehen, wie die Mail zweimal durch meinen Mailserver läuft. Einmal beim Verschicken und einmal wieder beim Empfangen, mit dem Eintrag meines Providers dazwischen. Auch das fehlt hier. Ein weiteres Indiz ist die Tatsache, dass kein Eintrag folgender Art vorhanden ist:
Code:
X-Authenticated-Sender: ich@meinefirma.de
Der Mailserver meines Providers benutzt SMTP-Auth und würde normalerweise so einen Eintrag setzen, wenn sie von meinem System aus verschickt worden wäre. Auch Return-Path und Message-ID entsprechen nicht dem, was echte Mails von meinem System aus bei sich stehen hätten.
In Kurzform: Diese Fälschungen sind sehr primitiv und machen sich zunutze, dass heutzutage kaum noch jemand versteht, wie E-Mail eigentlich funktioniert. Das ist so wie wenn ich dir einen Brief mit der Post schicke, deine Adresse als Absender drauf schreibe und dann als Beweis dafür anführe, dass ich Zugang zu deiner Wohnung hatte. Denn wie sollte ich sonst so einen Brief geschrieben haben können?
EDIT: Mit der oben beschrieben Methode kannst du erkennen, ob eine Mail wirklich von dem System stammt, von dem sie zu sein behauptet. Das heißt aber nicht zwangsläufig, dass sie vertrauenswürdig ist. Es gibt auch Malware, die tatsächlich die Kontrolle über einen Rechner übernimmt, dann die dort einsehbaren E-Mails durchforstet und sich selbst an die Leute in diesem Posteingang verschickt. Mit den Texten, die dazu gespeichert sind. Sieht dann super echt aus. Du kennst den Absender, der Text scheint zu passen (hast du ja schließlich alles schon mal gekriegt) und an den Headern sieht man nichts auffälliges. Infektiös ist die Mail trotzdem.
Daher der Hinweis: Nur weil eine Mail tatsächlich vom Absender X stammt, ist sie nicht automatisch vertrauenswürdig. Dafür ist der o.g. Test nicht geeignet. Er ist lediglich ein Ausschlusskriterium, mit dem man recht einfach checken kann, ob die Mail vom Arbeitgeber oder besten Kumpel denn überhaupt echt sein kann.