Een e-mail bestaat uit twee (2) delen: De header en de body. Om te achterhalen waar een spam- of virusmail vandaan komt, zijn de volledige headers van de betreffende e-mail nuttig. Hierin staat informatie over de afzender, maar ook over de wegen die een e-mail heeft afgelegd.
De header wordt gevormd door een aantal regels, vanaf de eerste tot aan de eerste lege regel. Alles wat na de eerste lege regel komt, is de body, het feitelijke bericht.

Het formaat is:

<Header>: <inhoud>

Zonder de <’s en >’s.

Headers lezen

Return-Path: <abuse@example.com>
Delivered-To: info@example.org
Received: (qmail 11690 invoked by uid 0); 23 Jun 2006 12:57:33 -0000
Received: from smtp-vbr2.xs4all.nl (194.109.24.22)
by net3-nl-mail-07.ad.vevida.net with SMTP; 23 Jun 2006 12:57:33 -0000
Received: from [192.168.42.191] (kantoor.example.com [82.93.xx.xxx])
by smtp-vbr2.xs4all.nl (8.13.6/8.13.6) with ESMTP id k5NCvXNK094019
for <info@example.org>; Fri, 23 Jun 2006 14:57:33 +0200 (CEST)
(envelope-from abuse@example.com)
Message-ID: <449BE537.60909@example.com>
Date: Fri, 23 Jun 2006 14:57:27 +0200
From: Abusedesk VEVIDA Services BV <abuse@example.com>
Organization: VEVIDA Services BV
User-Agent: Thunderbird 1.5.0.4 (Windows/20060516)
MIME-Version: 1.0
To: info@example.org
Subject: test voorbeeld
Content-Type: text/plain; charset=ISO-8859-15; format=flowed
Content-Transfer-Encoding: 7bit
X-Virus-Scanned: by XS4ALL Virus Scanner
X-Spam-Status: No, hits=0.0 required=5.0, tests=none, version=3.0.2

Hier kunnen we uit afleiden dat info@example.org de ontvanger (To:) is en Abusedesk VEVIDA Services BV de verzender (From:).
Het onderwerp (Subject:) is test voorbeeld en de e-mail was verstuurd om 14:57:27 uur. Maar er is nog meer:

Received: from [192.168.42.191] (kantoor.example.com [82.93.xx.xxx])
by smtp-vbr2.xs4all.nl (8.13.6/8.13.6) with ESMTP id k5NCvXNK094019
for <info@example.org>; Fri, 23 Jun 2006 14:57:33 +0200 (CEST)
(envelope-from abuse@example.com)

Uit deze header valt af te leiden dat [192.168.42.191] (een intern IP adres) de e-mail via kantoor.example.com [82.93.xx.xxx] de e-mail verstuurd heeft met smtp-vbr2.xs4all.nl. De envelope-from is abuse@example.com.

Received: from smtp-vbr2.xs4all.nl (194.109.24.22)
by net3-nl-mail-07.ad.vevida.net with SMTP; 23 Jun 2006 12:57:33 -0000

De server smtp-vbr2.xs4all.nl stuurt de e-mail de e-mail door naar net3-nl-mail-07.ad.vevida.net. Dit gebeurde op het tijdstip 12:57:33 -0000 (14:57:33 +0200).

Delivered-To: info@example.org
Received: (qmail 11690 invoked by uid 0); 23 Jun 2006 12:57:33 -0000

Qmail pikt de e-mail op en levert deze af in de box info@example.org.

Zoals uit dit voorbeeld duidelijk wordt, Received:-headers worden van onder naar boven gelezen, om de route vanaf de bron te volgen. Doe dit vanaf de server die vertrouwd wordt.
Bijvoorbeeld:

Received: (qmail 11345 invoked by uid 0); 22 Jun 2006 17:51:51 -0000
Received: from net2-nl-mail-09.ad.vevida.net (HELO net2-nl-mail-09.vevida.net)
(80.84.240.248)
by net3-nl-mail-12.ad.vevida.net with SMTP; 22 Jun 2006 17:51:51 -0000
Received: from lpzxiua (unknown [80.239.120.94])
by net2-nl-mail-09.vevida.net (Postfix) with SMTP id 72824D5364
for <hostmaster@example.com>; Thu, 22 Jun 2006 19:51:48 +0200 (CEST)
Received: from jrttm.ndeox ([80.239.139.118])
by lpzxiua (8.13.2/8.13.2) with SMTP id k5MHs4sU070395;
Thu, 22 Jun 2006 19:54:04 +0200

Deze onderste Received: header is vervalst, waarschijnlijk door spamware

Received: from jrttm.ndeox ([80.239.139.118])
by lpzxiua (8.13.2/8.13.2) with SMTP id k5MHs4sU070395;
Thu, 22 Jun 2006 19:54:04 +0200

De PC/server met het IP adres 80.239.139.118 noemt zich jrttm.ndeox. Hier zijn twee zaken mee mis:

  • jrttm.ndeox is geen geldige hostnaam;
  • de server heet bondageseile.de:
$ host 80.239.139.118
118.139.239.80.in-addr.arpa is an alias for 118.0-25.139.239.80.in-addr.arpa.
118.0-25.139.239.80.in-addr.arpa domain name pointer bondageseile.de.

De mailserver die nog te vertrouwen is, is net2-nl-mail-09.vevida.net, de daadwerkelijke verzendende PC moet daarom zijn: [80.239.120.94].

Client programma’s zoals abuse! en SamSpade (maar ook instanties / websites zoals Spamcop) kunnen helpen met het parsen (interpreteren, uitlezen) van headers en hebben de mogelijkheid de juiste abuse adressen er bij te vinden.

Hoe kan ik de headers te zien krijgen?

Mailprogramma’s hebben daar elk zo hun oplossing voor. Hieronder staat een lijstje van mail programma’s met bijbehorende informatie.

Outlook

  • Open een e-mail, klik op Opties (Options) in het menu Beeld (View);
    door het aanpassen van een registry key is het vaak mogelijk om in het pop-up window de hele e-mail te zien te krijgen en niet slechts de header.

Mozilla Mail, Thunderbird

  • Met de sneltoets combinatie ctrl-u krijg je een nieuw scherm met alle headers en het bericht zelf te zien.

Netscape

  • Open de mail;
  • Met de sneltoets combinatie ctrl-u (onder Windows) of alt-v (onder Linux) krijg je een nieuw scherm met alle headers en het bericht zelf.

Outlook Express

  • Klik op Eigenschappen (Properties) in het menu Bestand (File);
  • Klik op het tabblad Details en vervolgens Internet headers (Message source);
  • De sneltoets F3 geeft hetzelfde resultaat;

Nota bene

Met ‘select all’ (meestal: control-a) selecteer je de hele mail, inclusief headers en body, en met de sneltoets combinatie control-c kopieer je de hele mail. Dit plak je dan in een nieuwe e-mail (meestal: control-v).

« Terug

Gerelateerde artikelen

Klantenservice

Niet gevonden wat je zocht? Neem contact op met onze klantenservice:

We zijn je graag van dienst.