Hoe kom ik erachter waar een e-mail echt vandaan komt?

Aug 8, 2025
Cloud en internet
ONGECAAKTE CONTENT

Dat er een e-mail in je inbox verschijnt met het label [email protected], wil nog niet zeggen dat Bill er echt iets mee te maken had. Lees verder terwijl we onderzoeken hoe we erin kunnen duiken en zien waar een verdachte e-mail eigenlijk vandaan kwam.

De vraag- en antwoordsessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een community-drive groep van Q & A-websites.

De vraag

SuperUser-lezer Sirwan wil weten hoe hij erachter kan komen waar e-mails eigenlijk vandaan komen:

Hoe weet ik waar een e-mail echt vandaan komt?
Is er een manier om erachter te komen?
Ik heb gehoord over e-mailkopteksten, maar ik weet niet waar ik e-mailkopteksten kan zien, bijvoorbeeld in Gmail.

Laten we deze e-mailkopteksten eens bekijken.

De antwoorden

SuperUser-bijdrager Tomas biedt een zeer gedetailleerde en inzichtelijke reactie:

Zie een voorbeeld van zwendel die naar mij is gestuurd, alsof het van mijn vriendin is, beweert dat ze is beroofd en mij om financiële hulp vraagt. Ik heb de namen veranderd - stel dat ik Bill ben, de oplichter heeft een e-mail gestuurd naar [email protected] , doen alsof hij is [email protected] . Merk op dat Bill heeft doorgestuurd naar [email protected] .

Gebruik eerst in Gmail toon origineel :

Vervolgens worden de volledige e-mail en de bijbehorende kopteksten geopend: 

Bezorgd aan: [email protected]
Ontvangen: door 10.64.21.33 met SMTP-id s1csp177937iee;
        Ma 8 juli 2013 04:11:00 -0700 (PDT)
X-ontvangen: door 10.14.47.73 met SMTP-id s49mr24756966eeb.71.1373281860071;
        Ma, 08 jul 2013 04:11:00 -0700 (PDT)
Retourpad: <[email protected]>
Ontvangen: van maxipes.logix.cz (maxipes.logix.cz.[2a01:348:0:6:5d59:50c3:0:b0b1])
        door mx.google.com met ESMTPS-id j47si6975462eeg.108.2013.07.08.04.10.59
        voor <[email protected]>
        (versie = TLSv1-cijfer = RC4-SHA-bits = 128/128);
        Ma, 08 jul 2013 04:11:00 -0700 (PDT)
Ontvangen-SPF: neutraal (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 is niet toegestaan ​​of geweigerd door de record voor beste gok voor domein van SRS0=Znlt=QW=yahoo.com=alice@domain .com) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;
Authenticatie-resultaten: mx.google.com;
       spf = neutraal (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 is niet toegestaan ​​noch geweigerd door de record voor beste gok voor domein van [email protected] ) [email protected]
Ontvangen: door maxipes.logix.cz (Postfix, van userid 604)
    id C923E5D3A45; Ma 8 juli 2013 23:10:50 +1200 (NZST)
X-Original-To: [email protected]
X-Greylist: vertraagd 00:06:34 door SQLgrey-1.8.0-rc1
Ontvangen: van elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    door maxipes.logix.cz (Postfix) met ESMTP-id B43175D3A44
    voor <[email protected]>; Ma 8 juli 2013 23:10:48 +1200 (NZST)
Ontvangen: van [168.62.170.129] (helo = laurence39)
    door elasmtp-curtail.atl.sa.earthlink.net met esmtpa (Exim 4.67)
    (envelop-van <[email protected]>)
    id 1Uw98w-0006KI-6y
    voor [email protected]; Ma, 08 juli 2013 06:58:06 -0400
Van: "Alice" <[email protected]>
Onderwerp: Verschrikkelijk reisprobleem ..... Antwoord zo snel mogelijk
Aan: [email protected]
Inhoudstype: multipart / alternatief; boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70"
MIME-versie: 1.0
Antwoord aan: [email protected]
Datum: ma, 8 juli 2013 10:58:06 + 0000
Bericht-ID: <[email protected]>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-oorsprong-IP: 168.62.170.129

[... I have cut the email body ...]

De kopteksten moeten chronologisch van onder naar boven worden gelezen - de oudste staan ​​onderaan. Elke nieuwe server die onderweg is, zal zijn eigen bericht toevoegen - te beginnen met Ontvangen . Bijvoorbeeld: 

Ontvangen: van maxipes.logix.cz (maxipes.logix.cz.[2a01:348:0:6:5d59:50c3:0:b0b1])
        door mx.google.com met ESMTPS-id j47si6975462eeg.108.2013.07.08.04.10.59
        voor <[email protected]>
        (versie = TLSv1-cijfer = RC4-SHA-bits = 128/128);
        Ma, 08 jul 2013 04:11:00 -0700 (PDT)

Dit zegt dat mx.google.com heeft de mail ontvangen van maxipes.logix.cz Bij Ma, 08 jul 2013 04:11:00 -0700 (PDT) .

Nu, om het echt afzender van uw e-mail, is uw doel om de laatste vertrouwde gateway te vinden - de laatste wanneer u de kopteksten van bovenaf leest, d.w.z. eerst in chronologische volgorde. Laten we beginnen met het zoeken naar de mailserver van Bill. Hiervoor vraagt ​​u het MX-record voor het domein op. Je kunt wat gebruiken online hulpmiddelen , of onder Linux kun je het opvragen op de opdrachtregel (merk op dat de echte domeinnaam is gewijzigd in domain.com ): 

~ $ host -t MX domein.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

Dus je ziet dat de mailserver voor domein.com is maxipes.logix.cz of broucek.logix.cz . Daarom is de laatste (eerste chronologisch) vertrouwde "hop" - of laatste vertrouwde "Ontvangen record" of hoe je het ook noemt - deze: 

Ontvangen: van elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    door maxipes.logix.cz (Postfix) met ESMTP-id B43175D3A44
    voor <[email protected]>; Ma 8 juli 2013 23:10:48 +1200 (NZST)

U kunt hierop vertrouwen omdat dit is opgenomen door de mailserver van Bill voor domain.com . Deze server heeft het van 209.86.89.64 . Dit kan en is vaak de echte afzender van de e-mail - in dit geval de oplichter! Jij kan controleer dit IP-adres op een zwarte lijst . - Kijk, hij staat op 3 zwarte lijsten! Er is nog een record eronder: 

Ontvangen: van [168.62.170.129] (helo = laurence39)
    door elasmtp-curtail.atl.sa.earthlink.net met esmtpa (Exim 4.67)
    (envelop-van <[email protected]>)
    id 1Uw98w-0006KI-6y
    voor [email protected]; Ma, 08 juli 2013 06:58:06 -0400

maar je kunt dit eigenlijk niet vertrouwen, want dat zou gewoon kunnen worden toegevoegd door de oplichter om zijn sporen uit te wissen en / of een vals spoor leggen . Er is natuurlijk nog steeds de mogelijkheid dat de server 209.86.89.64 is onschuldig en fungeerde alleen als relais voor de echte aanvaller bij 168.62.170.129 , maar dan wordt de estafette vaak als schuldig beschouwd en vaak op de zwarte lijst gezet. In dit geval, 168.62.170.129 is schoon dus we kunnen er bijna zeker van zijn dat de aanval is gedaan vanaf 209.86.89.64 .

En natuurlijk, zoals we weten, gebruikt Alice Yahoo! en elasmtp-curtail.atl.sa.earthlink.net staat niet op de Yahoo! netwerk (misschien wilt u controleer de IP Whois-informatie opnieuw ), kunnen we veilig concluderen dat deze e-mail niet van Alice afkomstig was en dat we haar geen geld mogen sturen naar haar geclaimde vakantie in de Filippijnen.

Twee andere bijdragers, Ex Umbris en Vijay, hebben respectievelijk de volgende services aanbevolen voor hulp bij het decoderen van e-mailheaders: SpamCop en De Google-tool voor koptekstanalyse .

.entry-inhoud .entry-footer

How Can I Find Out Where An Email Really Came From? (5 Solutions!!)

How Email Really Works?

How Email Really Works VIDEO

How To Really Stop Getting Spam Email

Email Validation Process: How Email Verification Really Works? |The Concept Behind Verifying Emails

How To Get The Email Addresses You Really Need!

How Much Do E-Mail Scammers Really Make?

How To Write An Email (No, Really) | Victoria Turk | TEDxAthens

How YouTube REALLY Works

How To Know If An Email Is Real

Cloud en internet - Meest populaire artikelen

De 3 beste manieren om een ​​venster altijd op de voorgrond te zetten op Windows

Cloud en internet Aug 28, 2025

Windows biedt gebruikers geen ingebouwde manier om een ​​venster altijd bovenaan te plaatsen. Hiervoor zijn veel tools van derden, maar deze zijn vaak opgeblazen en onhandig. La..

Hoe u een Facebook-groep verlaat

Cloud en internet Aug 21, 2025

ONGECAAKTE CONTENT Een van de meest vervelende functies van Facebook is dat al je vrienden je kunnen toevoegen aan een Facebook-groep. Ik heb verschillende kennissen gehad die Her..

Hoe u uw Minecraft-game via internet kunt delen

Cloud en internet Jan 23, 2025

Als je je lokale Minecraft-game wilt delen met vrienden via internet, is dit iets ingewikkelder dan alleen maar op een knop drukken. Laten we eens kijken naar de instellingen achter..

Apple Live Photos met iedereen delen

Cloud en internet Nov 23, 2024

ONGECAAKTE CONTENT Live Photos is een handige innovatie die Apple onlangs in iOS 9 heeft geïntroduceerd, waarmee gebruikers in feite korte video's kunnen maken die als foto's wor..

Inzicht in de nieuwe synchronisatie-instellingen in Windows 10

Cloud en internet Jul 27, 2025

ONGECAAKTE CONTENT Windows-synchronisatie-instellingen maken sinds Windows 8 deel uit van het besturingssysteem, maar in Windows 10 krijgen ze een make-over en een broodnodige con..

Hoe u uw eigen Usenet-indexer kunt bouwen

Cloud en internet Dec 10, 2024

ONGECAAKTE CONTENT Er zijn tal van NZB-indexers zoals NZB Matrix en NZB's (dot) ORG, maar ze indexeren alleen SOMMIGE van Usenet. Hier leest u hoe u uw e..

Hoe u uw browsergegevens kunt synchroniseren met Firefox Sync

Cloud en internet Dec 14, 2024

Met Firefox Sync heeft u overal toegang tot uw geopende tabbladen, bladwijzers, geschiedenis, wachtwoorden en voorkeuren, of u nu een laptop, desktop of smartphone gebruikt. Firefox..

Hoe u meerdere bookmarklets samen kunt ordenen en combineren

Cloud en internet Jun 25, 2025

Bookmarklets zijn een geweldige aanvulling op elke browser, maar net als gewone bladwijzers kunnen ze ruimte in beslag nemen als u een grote verzameling heeft. Zie hoe gemakkelijk het is om z..

Categorieën