E-Mail-Adressen clever erweitern: So erkennen Sie den wahren Absender
Autor: DerSchneider
Einleitung
Die E-Mail ist älter als das World Wide Web – und dennoch eine der am meisten genutzten, aber auch missbrauchten digitalen Kommunikationsformen. Wer täglich Dutzende Nachrichten empfängt, steht vor einem Problem: Woher kommt wirklich diese Nachricht? Ist sie von service@amazon.de oder doch von einem Betrüger? Und wenn ich mich auf einer Webseite registriere – wie verhindere ich, dass meine Hauptadresse in Spam-Datenbanken landet?
Die Antwort liegt in Erweiterungen der E-Mail-Adresse, die sowohl auf Empfänger- als auch auf Absenderseite die Identifikation ermöglichen. Der folgende Artikel beleuchtet die historischen Wurzeln, die technischen Verfahren (von einfachem Plus-Tagging bis zu kryptografischen Standards wie DKIM) und zeigt, wie Privatanwender wie Unternehmen von diesen Erweiterungen profitieren.
Hauptteil
1. Historische Grundlagen: Die E-Mail-Adresse als einfacher Identifier
Das E-Mail-System wurde in den frühen 1970er Jahren von Ray Tomlinson entwickelt. Die Adresse folgt dem Schema local@domain – wobei der lokale Teil ursprünglich nur einen Benutzernamen auf einem bestimmten Rechner bezeichnete. Eine Erweiterbarkeit war nicht vorgesehen.
Erst mit der Verbreitung von Mailservern in den 1990ern entstand das Bedürfnis, Nachrichten automatisch zu filtern oder zu kategorisieren. Die erste dokumentierte Erweiterungstechnik ist das Subaddressing (auch Plus-Tagging genannt), das im RFC 5233 (2008) standardisiert wurde, aber bereits in Sendmail (1980er) und später in qmail (1997) implementiert war.
*Tabelle 1: Historische Meilensteine der E-Mail-Adresserweiterung*
| Jahr | Entwicklung | Bedeutung |
|---|---|---|
| 1971 | Erste E-Mail über ARPANET | Keine Erweiterung |
| 1982 | RFC 821 (SMTP) | Lokaler Teil ist frei interpretierbar |
| 1997 | qmail unterstützt „User-Delimiters“ (+) | Praktische Nutzung von Tags |
| 2008 | RFC 5233 (Subaddressing) | Standardisierung für alle Mailserver |
| 2011 | RFC 6376 (DKIM) | Kryptografische Absenderidentifikation |
| 2015 | RFC 7208 (SPF) | Framework zur Absenderautorisierung |
2. Die einfache Methode: Subaddressing und ihre Tücken
Wie funktioniert Plus-Tagging?
Sie ändern Ihre E-Mail-Adresse von max@beispiel.de zu max+netflix@beispiel.de. Der Mailserver ignoriert alles nach dem Pluszeichen und liefert an max aus. Sie sehen sofort, dass eine Mail an die +netflix-Adresse von Netflix stammt – oder von einem Spammer, der diese Adresse erbeutet hat.
Vorteile:
- Keine extra Software
- Einfache Filterregeln in jedem E-Mail-Client möglich
- Ideal zur Erkennung von Datenlecks
Nachteile:
- Viele Webformulare akzeptieren das Pluszeichen nicht (fälschlicherweise als ungültig erachtet)
- Manche Dienste (z. B. PayPal, Banken) entfernen den Tag vor dem Speichern
- Der Absender kann den Tag sehen – er ist nicht geheim
Punkt-Variation (nur bei Gmail/Google Mail):
Gmail ignoriert Punkte im lokalen Teil. max.mustermann@gmail.com ist identisch mit maxmustermann@gmail.com. Man kann also ma.x.mustermann@gmail.com verwenden, ohne dass der Dienst dies bemerkt – aber das Tag ist nur für den Menschen erkennbar, nicht maschinell auswertbar.
3. Professionelle Absenderidentifikation: SPF, DKIM und DMARC
Während Plus-Tagging dem Empfänger hilft, den Verwendungszweck einer Adresse zu erkennen, zielen moderne Standards darauf ab, den tatsächlichen Absender einer E-Mail zu authentifizieren. Dies ist für Unternehmen und Domäneninhaber essenziell, um Phishing zu bekämpfen.
SPF (Sender Policy Framework, RFC 7208)
Die Domain veröffentlicht im DNS, welche IP-Adressen oder Server berechtigt sind, E-Mails im Namen dieser Domain zu versenden. Erweiterung: v=spf1 include:_spf.google.com ~all – der Empfänger kann prüfen, ob die Quelle erlaubt ist.
DKIM (DomainKeys Identified Mail, RFC 6376)
Der sendende Server fügt einen digitalen Header-Bereich hinzu, signiert mit einem privaten Schlüssel. Der Empfänger prüft die Signatur mit dem öffentlichen Schlüssel aus dem DNS. So wird die Integrität und Absenderidentität kryptografisch gesichert.
DMARC (Domain-based Message Authentication, Reporting & Conformance, RFC 7489)
DMARC setzt SPF und DKIM zusammen und definiert, wie ein Empfänger mit nicht-authentifizierten E-Mails umgehen soll (z. B. ablehnen oder in Quarantäne). Zusätzlich liefert DMARC Berichte über versendete E-Mails – eine indirekte Form der Absenderidentifikation.
Tabelle 2: Vergleich der Identifikationsmethoden
| Methode | Wer kann es nutzen? | Schutzziel | Identifikation des Absenders |
|---|---|---|---|
| Plus-Tagging | Jeder E-Mail-Nutzer (mit Unterstützung des Providers) | Eigene Filterung | Erkennung des Dienstes (Tag) |
| SPF | Domaininhaber | Verhindert Adressfälschung (Envelope-From) | Erlaubte Server |
| DKIM | Domaininhaber | Integrität + Signatur des Absenders | Kryptografisch signierte Domain |
| DMARC | Domaininhaber mit SPF+DKIM | Policy für Nicht-Übereinstimmung | Bericht über missbrauchte Adressen |
4. Grenzen und Missbrauchsmöglichkeiten
Keine Methode ist perfekt:
- Plus-Tagging kann von Absendern ignoriert oder umgangen werden (z. B. durch Entfernen des Tags im Reply-To-Header).
- SPF scheitert bei Weiterleitungen (Forwarding), weil der ursprüngliche Envelope-From verloren geht.
- DKIM erfordert eine korrekte Implementierung – viele kleine Anbieter haben keine DKIM-Signatur.
- DMARC im Modus
rejectkann legitime Mails blockieren, wenn ein Dienst nicht richtig konfiguriert ist.
Zudem gibt es die Möglichkeit des Display-Name-Spoofings: Der Absender trägt im „Von“-Feld einen vertrauenswürdigen Namen ein, aber die eigentliche Adresse ist eine andere. Das erkennt keine der oben genannten Methoden. Erst Mail-Clients mit Warnhinweisen oder Machine-Learning-Filtern helfen hier.
5. Zukünftige Implikationen: BIMI und E-Mail-Standardisierung
BIMI (Brand Indicators for Message Identification) ist ein neuer Standard, der es Marken erlaubt, ihr Logo neben authentifizierten E-Mails anzeigen zu lassen. Voraussetzung: DMARC in reject oder quarantine sowie ein geprüftes Logo. Das ist eine direkte Erweiterung der visuellen Absenderidentifikation für den menschlichen Empfänger.
Mit dem Aufkommen von E-Mail-Tracking und KI-unterstützten Phishing-Angriffen werden sich die Erweiterungsmethoden weiterentwickeln müssen. Experten fordern eine obligatorische Authentifizierung aller E-Mail-Domains (ähnlich wie HTTPS für Webseiten).
Fazit und Ausblick
Die Erweiterung von E-Mail-Adressen zur Absenderidentifikation ist kein einzelner Trick, sondern ein mehrschichtiges System. Für Privatpersonen bleibt das Plus-Tagging das praktischste Werkzeug, um Registrierungen nachzuverfolgen. Für Unternehmen und Domänenbetreiber sind SPF, DKIM und DMARC heute unverzichtbar, um Identitätsbetrug zu erschweren.
Allerdings: Die Technik allein schützt nicht vor menschlicher Leichtgläubigkeit. Wer eine gefälschte E-Mail mit einem authentischen DKIM-Signatur von einer echten, aber gekaperten Domain erhält, muss immer noch den Inhalt hinterfragen.
In Zukunft werden wir standardisierte Anzeigen der Absenderidentität direkt im Mail-Client sehen – ähnlich dem grünen Schloss im Browser. Bis dahin gilt: Erweitern Sie Ihre E-Mail-Adressen mit Bedacht, und prüfen Sie bei wichtigen Nachrichten immer die tatsächliche Absenderadresse, nicht nur den angezeigten Namen.
Quellen
- RFC 5233: „Sieve Email Filtering: Subaddress Extension“ (2008)
- RFC 7208: „Sender Policy Framework (SPF)“ (2014)
- RFC 6376: „DomainKeys Identified Mail (DKIM)“ (2011)
- RFC 7489: „Domain-based Message Authentication, Reporting & Conformance (DMARC)“ (2015)
- Google Workspace Admin-Hilfe: „E-Mail-Authentifizierung mit SPF, DKIM und DMARC“ (abgerufen 2026)
- M. W. Lucas: „Absolute OpenBSD“ (Kapitel zu E-Mail, 3. Auflage, 2013)
- Heise online: „BIMI – Das Firmenlogo in der E-Mail“ (2021)
Kommentar abschicken