<Header>: <inhoud>

Zonder de <’s en >’s.

Headers lezen

Return-Path: 
Delivered-To: [email protected]
Received: (qmail 11690 invoked by uid 0); 23 Jun 2006 12:57:33 -0000
Received: from smtp-vbr2.xs4all.nl (194.109.24.22)
by net3-nl-mail-07.ad.mediawax.be with SMTP; 23 Jun 2006 12:57:33 -0000
Received: from [192.168.42.191] (kantoor.example.com [82.93.xx.xxx])
by smtp-vbr2.xs4all.nl (8.13.6/8.13.6) with ESMTP id k5NCvXNK094019
for ; Fri, 23 Jun 2006 14:57:33 +0200 (CEST)
(envelope-from [email protected])
Message-ID: <[email protected]>
Date: Fri, 23 Jun 2006 14:57:27 +0200
From: Abusedesk Mediawax 
Organization: Mediawax
User-Agent: Thunderbird 1.5.0.4 (Windows/20060516)
MIME-Version: 1.0
To: [email protected]
Subject: test voorbeeld
Content-Type: text/plain; charset=ISO-8859-15; format=flowed
Content-Transfer-Encoding: 7bit
X-Virus-Scanned: by XS4ALL Virus Scanner
X-Spam-Status: No, hits=0.0 required=5.0, tests=none, version=3.0.2

Hier kunnen we uit afleiden dat [email protected] de ontvanger (To:) is en Abusedesk Mediawax  de verzender (From:).
Het onderwerp (Subject:) is test voorbeeld en de e-mail was verstuurd om 14:57:27 uur. Maar er is nog meer:

Received: from [192.168.42.191] (kantoor.example.com [82.93.xx.xxx])
by smtp-vbr2.xs4all.nl (8.13.6/8.13.6) with ESMTP id k5NCvXNK094019
for ; Fri, 23 Jun 2006 14:57:33 +0200 (CEST)
(envelope-from [email protected])

Uit deze header valt af te leiden dat [192.168.42.191] (een intern IP adres) de e-mail via kantoor.example.com [82.93.xx.xxx] de e-mail verstuurd heeft met smtp-vbr2.xs4all.nl.

De envelope-from is [email protected].

Received: from smtp-vbr2.xs4all.nl (194.109.24.22)
by net3-nl-mail-07.ad.mediawax.net with SMTP; 23 Jun 2006 12:57:33 -0000

De server smtp-vbr2.xs4all.nl stuurt de e-mail de e-mail door naar net3-nl-mail-07.ad.mediawax.net. Dit gebeurde op het tijdstip 12:57:33 -0000 (14:57:33 +0200).

Delivered-To: [email protected]
Received: (qmail 11690 invoked by uid 0); 23 Jun 2006 12:57:33 -0000

Qmail pikt de e-mail op en levert deze af in de box [email protected].

Zoals uit dit voorbeeld duidelijk wordt, Received:-headers worden van onder naar boven gelezen, om de route vanaf de bron te volgen. Doe dit vanaf de server die vertrouwd wordt.
Bijvoorbeeld:

Received: (qmail 11345 invoked by uid 0); 22 Jun 2006 17:51:51 -0000
Received: from net2-nl-mail-09.ad.mediawax.net (HELO net2-nl-mail-09.mediawax.net)
(80.84.240.248)
by net3-nl-mail-12.ad.mediawax.net with SMTP; 22 Jun 2006 17:51:51 -0000
Received: from lpzxiua (unknown [80.239.120.94])
by net2-nl-mail-09.mediawax.net (Postfix) with SMTP id 72824D5364
for ; Thu, 22 Jun 2006 19:51:48 +0200 (CEST)
Received: from jrttm.ndeox ([80.239.139.118])
by lpzxiua (8.13.2/8.13.2) with SMTP id k5MHs4sU070395;
Thu, 22 Jun 2006 19:54:04 +0200

Deze onderste Received: header is vervalst, waarschijnlijk door spamware

Received: from jrttm.ndeox ([80.239.139.118])
by lpzxiua (8.13.2/8.13.2) with SMTP id k5MHs4sU070395;
Thu, 22 Jun 2006 19:54:04 +0200

De PC/server met het IP adres 80.239.139.118 noemt zich jrttm.ndeox. Hier zijn twee zaken mee mis:

• jrttm.ndeox is geen geldige hostnaam;
• de server heet bondageseile.de:

$ host 80.239.139.118
118.139.239.80.in-addr.arpa is an alias for 118.0-25.139.239.80.in-addr.arpa.
118.0-25.139.239.80.in-addr.arpa domain name pointer bondageseile.de.

De mailserver die nog te vertrouwen is, is net2-nl-mail-09.mediawax.net, de daadwerkelijke verzendende PC moet daarom zijn: [80.239.120.94].

Client programma’s zoals abuse! en SamSpade (maar ook instanties / websites zoals Spamcop) kunnen helpen met het parsen (interpreteren, uitlezen) van headers en hebben de mogelijkheid de juiste abuse adressen er bij te vinden.

Hoe kan ik de headers te zien krijgen?

Mailprogramma’s hebben daar elk zo hun oplossing voor. Hieronder staat een lijstje van mail programma’s met bijbehorende informatie.

Outlook