Headers Lezen

Om te achterhalen waar een spam- of virusmail vandaan komt, zijn de volledige headers van de betreffende e-mail nuttig. Hierin staat informatie over de afzender, maar ook over de wegen die een e-mail heeft afgelegd. Omdat de informatie in de headers complex is, vindt u hieronder een toelichting. De uitleg bestaat uit verschillende delen:

  1. De regels die aan elke e-mail worden toegekend
  2. De regels waaruit u kunt achterhalen waar een e-mail oorspronkelijk vandaan komt
  3. Meer lezen over het interpreteren van volledige headers
  4. De regels die XS4ALL toekent wanneer u de spamfilters gebruikt

XS4ALL beschrijft ook hoe u de volledige headers bij de meestgebruikte e-mailprogramma's opvraagt: Outlook Express, Outlook, Outlook 2010, Windows Thunderbird, Mac OS X Thunderbird en Mac OS X Mail.

De regels die aan elke e-mail worden toegekend:

From:

Dit is het adres waarvandaan de e-mail is verzonden. Normaal wordt dit door uw e-mailprogramma ingevuld. Dit is, in het geval van spam of een virus, echter niet per definitie waar. Een virus stuurt zichzelf door naar willekeurige adressen, maar kan er ook voor zorgen dat het From-veld veranderd wordt in een fictief e-mailadres of een adres wat gevonden is in een bestand op de computer van de verzender. Ook spammers gebruiken geregeld fictieve e-mailadressen.

To:

In dit veld vindt u het adres aan welke de e-mail is gericht. Helaas wordt dit veld door spammers nogal eens vervalst. Hierdoor kan het voorkomen dat het adres in dit veld niet overeen komt met het adres waar het bericht wordt afgeleverd. Een spam e-mail kan daardoor bij u terechtkomen zonder dat uw e-mailadres in het To-veld staat.

Cc:

Cc staat letterlijk voor Carbon Copy. U kent het carbon-papier wellicht nog wel, hiermee kunt u een exacte kopie krijgen van hetgeen u op een vel papier typt of schrijft. Het Cc-veld werkt hetzelfde, de e-mailadressen die in dit veld zijn ingevuld, ontvangen een kopie van het verstuurde e-mailbericht. Het Cc-veld kan echter vervalst worden door spammers, net als het To-veld.

Bcc:

Bcc betekent Blind Carbon Copy. De e-mailadressen die in dit veld opgenomen zijn, ontvangen een kopie zonder dat de andere ontvangers dit zien. Dat verklaart het woord 'Blind'. Het kan verwarrend zijn om een e-mail te ontvangen waarbij u niet in het To- of Cc-veld staat. U kunt er bij zo'n e-mail van uit gaan dat uw e-mailadres in het Bcc-veld ingevuld was. Soms staat er in een header een lege Bcc-regel. Meestal geeft dat aan dat er gebruik is gemaakt van een Blind Carbon Copy. Andersom geldt dat niet: als het Bcc-veld gebruikt is, kunt u dat niet per definitie terugzien in de headers.

Subject:

In dit veld hoort een korte samenvatting van het te verzenden bericht ingevuld te worden. Het is niet verplicht dit veld in te vullen, maar de netiquette schrijft het wel voor.

Date:

Dit is de datum en tijd waarop het e-mailbericht verzonden is. Dit betekent dus dat de tijd in dit veld gebaseerd is op het tijdstip waarop de verzender van de e-mail op de 'Send'-button heeft gedrukt. Het slaat dus niet op het tijdstip waarop de verzender deze e-mail heeft geschreven.

Reply-To:

In dit veld staat het e-mailadres waar antwoorden op die e-mail heen gestuurd worden. Ontbreekt het Reply-To-veld, dan wordt een antwoord gestuurd naar het adres in het From-veld. Het veld wordt soms gebruikt om een onvolkomenheid in de mailconfiguratie op te lossen, als het From-adres wat gebruikt wordt niet geldig is. Is het From-adres bijvoorbeeld 'naam@popserver.lan.domeinnaam.nl', maar het legitieme adres is 'naam@domeinnaam.nl', dan kan de gebruiker in het Reply-To-veld 'naam@domeinnaam.nl' invullen.

In-Reply-To:

In deze regel staat de Message-ID van het bericht waarop gereageerd is. Een Message-ID is een unieke specificatie die aan een e-mailbericht wordt toegekend. Deze informatie is niet van belang voor de mailservers die dit bericht onderweg tegenkomt, maar wel voor uw e-mailprogramma. Als u een 'threaded' e-mailprogramma gebruikt (een e-mailprogramma dat e-mails groepeert die antwoorden op elkaar zijn) is de informatie in het In-Reply-To-veld belangrijk.

De regels waaruit u kunt achterhalen waar een e-mail oorspronkelijk vandaan komt:

Received:

In de headers van een e-mailbericht zijn een aantal Received-regels toegevoegd. Deze regels worden toegevoegd door mailservers die dit bericht hebben 'afgehandeld'. Hoe meer mailservers een e-mailbericht onderweg is tegengekomen, hoe meer Received-regels er aan de header worden toegevoegd. Elke mailserver voegt een Received-regel bovenaan een bericht toe. Als u de regels van onder naar boven leest, kunt u dus precies zien welk pad het bericht afgelegd heeft. De onderste Received-regel bevat de computer die het bericht verzonden heeft. Een voorbeeld zal dit verduidelijken:

From osafj@netposta.net Tue Jun 4 12:02:38 2002
Return-Path: <osafj@netposta.net>
X-XS4ALL-To: <uw_adres@maildrop8.xs4all.nl>
Received: from mailpop8.xs4all.nl (mailpop8.xs4all.nl [194.109.127.48])
     by maildrop8.xs4all.nl (8.11.6/8.11.1) with ESMTP id g54A2c961492
     for <uw_adres@maildrop8.xs4all.nl>; Tue, 4 Jun 2002 12:02:38 +0200 (CEST)
     (envelope-from osafj@netposta.net)
Received: from mxzilla2.xs4all.nl (mxzilla2.xs4all.nl [194.109.6.50])
     by mailpop8.xs4all.nl (8.12.0/8.12.0) with ESMTP id g54A2uSu059144
     for <uw_adres@mailpop8.xs4all.nl>; Tue, 4 Jun 2002 12:02:56 +0200 (CEST)
X-XS4ALL-DNSBL-Checked: mxzilla2.xs4all.nl checked 130.161.38.38 against DNS blacklists
Received: from dutepp0.et.tudelft.nl (dutepp0.et.tudelft.nl [130.161.38.38])
     by mxzilla2.xs4all.nl (8.12.3/8.12.3) with ESMTP id g54A2cYp027578
     for <uw_adres@xs4all.nl>; Tue, 4 Jun 2002 12:02:38 +0200 (CEST)
Received: from mail.cofco.com ([202.108.109.131])
     by dutepp0.et.tudelft.nl (8.10.1/8.8.8/CARDIT) with ESMTP id g54A2X505363;
     Tue, 4 Jun 2002 12:02:34 +0200
Received: from [207.191.163.65] by mail.cofco.com
     (Netscape Messaging Server 3.5) with SMTP id AAA417E;
     Tue, 4 Jun 2002 17:57:39 +0800
From: "Roxy" <osafj@netposta.net>
To: "xbpglyyre@yahoo.com" <xbpglyyre@yahoo.com>
Subject: RE: 6.25 30 YR Fixed Home Loan, No Points flu
MIME-Version: 1.0
Content-Type: text/html;
    charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Date: Tue, 4 Jun 2002 17:57:39 +0800
Message-ID: <77550479159E.AAA417E@mail.cofco.com>
Status: RO
Content-Length: 6512

In dit voorbeeld is duidelijk zichtbaar welk pad de e-mail heeft afgelegd. Lees de headers van onderaf, vanaf de rode regel, naar boven. De rode header maakt duidelijk welke machine het bericht oorspronkelijk heeft verzonden (207.191.163.65) en aan wie het is verzonden (mail.cofco.com).

Zo is deze header verder naar boven te lezen: mail.cofco.com stuurt het verder aan dutepp0.et.tudelft.nl waarna die het aan mxzilla2.xs4all.nl verstuurt. Die laatste verstuurt de e-mail naar mailpop8.xs4all.nl, die het op zijn beurt aan maildrop8.xs4all.nl aflevert.

U ziet aan deze headers hoe een server die een e-mail ontvangt, in een volgende regel (daarboven) terugkomt als de verzender. Is dit in een e-mail niet het geval, dan kunt u er vanuit gaan dat de onderste regel vervalst is. Alle regels die daarop volgen zijn dan ook niet meer te vertrouwen.

Uit een Received-header kunt u meestal de volgende onderdelen aflezen:
- de naam van de verzendende computer, zoals deze zichzelf noemt
- de werkelijke hostname en IP adres van de verzender
- de naam van de ontvanger
- de software-versie van de ontvanger
- aan wie het bericht gericht is
- de datum en tijd

Het is echter wel zo dat elk van deze onderdelen kan ontbreken, bijvoorbeeld als de header is vervalst. Dit maakt het lezen van headers zo complex. Als u moeite hebt uw headers te lezen, maar wel spammers wilt aanpakken, kunt u gebruik maken van de diensten van Spamcop. Deze dienst leest de headers en rapporteert haar bevindingen bij de juiste provider, die vervolgens de spammer 'aanpakt' (afhankelijk van het beleid van die provider).

Meer lezen over het interpreteren van volledige headers

In dit artikel hebben we de belangrijkste regels uit een header toegelicht. Op internet zijn een aantal interessante pagina's te vinden waar u nog meer kunt lezen over het interpreteren van headers:

De regels die XS4ALL toekent wanneer u de spamfilters gebruikt

X-XS4ALL-DNSBL-Checked:

Deze regel betekent dat dit bericht gecontroleerd is aan de hand van een aantal blacklists. Als u de spamfilters hebt geactiveerd in het Service Centre, dan wordt van elke e-mail gekeken of de afzender op een van de blacklists staat. Is dit het geval, dan wordt een nieuwe regel aan de header toegekend: X-XS4ALL-DNSBL-Warning.

X-XS4ALL-DNSBL-Warning:

Een e-mail die deze regel in de headers heeft, is afgeleverd door een mailserver die op een of een aantal blacklists voorkomt. Op basis van deze header wordt het e-mailbericht behandeld als spam. Zie voor meer informatie de Spam pagina's.

X-XS4All-Spam-Score:

In deze regel staat de spam score. Is deze groter dan 5 dan wordt de e-mail beschouwd als spam.

X-XS4All-Spam:

In deze regel staat 'YES' of 'NO'. Bij de 'YES' wordt de e-mail door XS4ALL beschouwd als spam.