Elke e-mail die in je postvak belandt, bestaat uit een header en een body die worden gescheiden door een lege regel. De body bevat over het algemeen wat voor jou van belang is: de inhoud van het bericht. Van de e-mail header, de eerste regel van de mail, zie je normaal gesproken alleen een paar verplichte details, zoals de afzender, het onderwerp en de verzenddatum. De header bevat echter nog meer informatie, vooral over de afzender en de weg die het bericht heeft afgelegd. Deze informatie wordt over het algemeen verborgen door de mailapplicatie, maar kan op verzoek worden getoond. Als je bijvoorbeeld twijfelt over de authenticiteit van een mail kun je van deze mogelijkheid gebruikmaken en de volledige e-mail header bekijken.
De header van een e-mail is grofweg verdeeld in twee categorieën: message headers en envelope headers. Message headers worden direct gegenereerd door de afzender en vervolgens op weg naar de ontvanger gestuurd. Onderweg wordt de e-mail voorzien van envelope headers die worden gegenereerd door de mailservers die betrokken zijn bij het versturen. Deze extra informatie, de zogenaamde received regels, zijn van wezenlijk belang voor het traceren van de e-mails. Elke regel van een e-mail header begint met een keyword (de naam), gevolgd door een dubbele punt en het onderwerp.
From: de informatie over de afzender of auteur in de vorm van een e-mailadres. Er zijn ook e-mailclients die meerdere afzenders toestaan. Wanneer de technische afzender niet de auteur van de e-mail is, wordt dit vermeld in de aanvullende “sender” regel.
To: in deze mail header regel staan de ontvangers vermeld, gescheiden door komma’s. De informatie hoeft niet te corresponderen met de “envelope-to”-informatie die is doorgegeven aan het transferprotocol. Het kan dus zijn dat jouw e-mailadres in deze regel helemaal niet voorkomt.
Voorbeeld: To: ontvanger , ontvanger 2
Cc: Deze optie bevat het adres/de adressen van een of meerdere ontvanger(s) die een kopie van de e-mail moeten ontvangen.
Voorbeeld: kopie-ontvanger , kopie-ontvanger 2
Subject: het onderwerp laat de ontvanger in het kort weten wat de inhoud van de e-mail is. De afzender moet vooral het belang van de inhoud duidelijk maken aan de lezer.
Voorbeeld: Cc: Re: Uw afspraken voor het komende jaar
Return-Path: wanneer deze regel beschikbaar is, staat hij bijna altijd aan het begin en geeft hij de mailserver een retouroptie voor het geval aflevering niet mogelijk is. Het hier getoonde e-mailadres is gelijk aan het adres dat de server ontvangt via de “envelope-from”-informatie.
Voorbeeld: Return-Path: return-adress@example.com
Received: received regels worden gegenereerd door de mailservers die betrokken zijn bij de verzending. Er zijn minstens twee van deze regels per e-mail header, omdat er één server wordt gebruikt voor het versturen en één voor het ontvangen. Deze regels laten de route zien die de e-mail heeft afgelegd, inclusief datum en adressen van de betrokken mailservers (meestal tussen vierkante haakjes).
Voorbeeld: Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])
by mailserver.recipient.com with SMTP
for ; Thu, 24 dec 2015 17:36:20
+0200 (EST)
Message-ID: elke e-mail bevat een eigen identificatie, meestal van de mailserver of van het mailprogramma van de afzender. Het eerste deel van dit ID bestaat uit een tekenreeks en het tweede deel uit een domeinnaam, gescheiden door een apenstaartje “@”.
Content-Type: In deze regel van de mail header staat informatie over het type en de karakterset van de bodytekst. De afzonderlijke parameters zijn gescheiden door een puntkomma.
Met behulp van een grondige e-mail header analyse van de vaak verborgen informatie in de mail header kun je de route de je e-mail heeft afgelegd traceren, en controleren of de vermeende afzender ook de daadwerkelijke afzender is. Vooral als je een e-mail hebt ontvangen waarvan je de authenticiteit betwijfelt, moet je absoluut de header bekijken. Hieronder wordt uitgelegd hoe je de e-mail header kunt bekijken en met welke trucs spammers te werk gaan.
E-mail header analyse: zo werkt het
Voor je de header kan gaan analyseren, heb je eerst het volledige uittreksel nodig. Omdat gangbare e-mailprogramma’s de inhoud verbergen die relevant is voor de transfer, is het noodzakelijk deze eerst zichtbaar te maken. In Microsoft Outlook open je daarvoor bijvoorbeeld het betreffende bericht en vervolgens de volledige adresregel via “File → Info → Properties”. In Mozilla Thunderbird activeer je deze informatie in het applicatiemenu door te klikken op “View → Headers → All”.
Om de afzender te identificeren, zoek je in de volledige header naar het IP-adres en de naam van de eerste server die betrokken is geweest bij het verzenden van het bericht. Doorzoek daarvoor eenvoudig de verschillende received regels van boven af aan (jouw mailserver) totdat je de uitgaande mailserver vindt. Die staat meestal in de onderste received regel. Wanneer er daaronder meer informatie is toegevoegd, gaat het waarschijnlijk om een poging tot fraude. In dat geval kun je ervan uitgaan dat je de uitgaande server al hebt gevonden. Vervolgens kopieer je het IP-adres dat in de received regel staat naar een IP-webtool naar keuze, zoals bijv. de site Network-Tools.com (http://network-tools.com). Dan ontvang je informatie over de locatie van de server. Deze informatie moet overeenkomen met de naam van de server die staat aangegeven in de regel met de tijdzone.
In plaats van zelf op zoek te gaan naar tegenstrijdigheden in de received informatie van de e-mail header, kun je ook gebruikmaken van gratis programma’s, zoals eToolz. Daar kun je onder “E-Mail Header Analyzer” het volledige header-uittreksel in het veld “E-mail Header” plakken en het zoeken starten. De applicatie maakt vervolgens een lijst met alle betrokken mailservers in chronologische volgorde. Achter “sent from:” zie je het IP-adres van de eerste server, dat je handmatig kunt controleren met behulp van Network-Tools.com.
Zo worden e-mail headers gemanipuleerd
Meestal zitten spammers niet te wachten op antwoord op hun spamberichten en willen ze anoniem blijven. Dat is de reden dat informatie in “from”- en “return-path”-regels van spamberichten zelden waarheidsgetrouw is. De eigenlijke auteur gebruikt daarvoor valse identiteiten. In het recente verleden ontvingen veel mensen zogenaamde e-mails van bijv. DHL, banken of zelfs van de overheid. Afgezien van het feit dat er in zulke berichten altijd werd gevraagd om een externe link te openen, leken de gebruikte nepadressen maar weinig op de originele adressen. Zo konden ze snel als spam worden ontmaskerd door een e-mail header analyzer. Het is echter lastig om de makers van zulke spamberichten te identificeren. Door het gebruik van een onjuist geconfigureerde mailserver of door het versturen via een geïnfecteerde computer die dienstdoet als tussenstation tijdens het versturen, voorkomen veel spammers dat ze kunnen worden geïdentificeerd door de e-mail header.
De received informatie is het enige element van de e-mail header dat niet kan worden vervalst. Dat komt doordat spammers geen toegang hebben tot het laatste stuk van de received informatie die normaal gesproken ook het uitgangs-IP bevat, omdat dit door de mailserver van de ontvanger wordt gegenereerd. Het manipuleren van de regels helpt spammers in zoverre dat ze daarmee verwarring kunnen scheppen en anderen op een dwaalspoor kunnen brengen. Ze kunnen bijvoorbeeld hun eigen server niet aan het begin van de reeks te zetten, maar als deel van de route voorstellen.
