Zo controleer je e-mail headers op echtheid
- 11 okt 2023
- Bijgewerkt 15 mei 2023
- 1 min
Heb je een e-mail gekregen die je niet vertrouwt, stuur dan een mail naar valse-email@kvk.nl. Je kunt de mail zelf ook controleren door naar de e-mailheader te kijken. Hieronder lees je hoe je dat doet.
Waar vind ik de e-mail headers?
Als je een mail opent, kan je de e-mailheaders zelf uitlezen door in Outlook linksbovenin naar Bestand -> Eigenschappen (of File -> Properties) te gaan.Â
NB. Voor elk mailprogramma is er een andere manier om de headers uit te lezen. Een goeie Google search heeft daar het antwoord op.
Hoe lees je de headers?
Lees de e-mailheaders uit via MxToolbox:
Kopieer het hele stuk van internetheaders, plak het in MxToolbox en analyseer de header via Analyze Header.
Waar herken je echte vs. nepmails aan?
Als je deze oefening doet voor zowel de echte als voor de nepmail, dan zie je een aantal verschillen.
VLAG 1
- Allereerst, de Delivery Information. Die is voor de echte mail een stuk netter dan voor de nepmail.
NB. In dit geval haalt enkel de DKIM Authenticated van KVK de standaard niet (vanwege een hash). Belangrijker zijn de DMARC Compliant en de SPF. Die zijn netjes op orde, en KVK heeft een DKIM-handtekening (DKIM Alignment), de nepmail niet.
VLAG 2
- Verder zie je bij Relay Information waar de mail vandaan gestuurd is. In de echte mail komt deze vanaf een mailserver van KVK, namelijk kvk-maildns1.kvk.nl. In de nepmail komt deze van horizon.websitewelcome.com.
Ook zie je dat websitewelcome.com op een Blacklist staat (rode x, rechts), terwijl dat bij KVK niet het geval is.
VLAG 3
- Vlag 3 is de SPF. Die ‘faalt’ voor de nepmail.
Dit zegt in feite: Het domein websitewelcome.com staat niet op de SPF-lijst van KVK, en het IP adres 91.90.124.19 staat er ook niet op, wat betekent dat deze domeinen/IP-adressen niet namens KVK mogen mailen. Op de SPF lijst neemt KVK IP-adressen en domeinen op die namens @kvk.nl mogen mailen. Overigens zal een goed mailprogramma dit meteen signaleren en de nepmail van KVK in de spam/ongewenste folder laten belanden.
VLAG 4
- Vlag 4 is de zogenaamde ‘helo’. De helo vertelt een e-mailserver vanaf welk domein iemand wil mailen, zie ook https://www.computerhope.com/jargon/h/helo.htm. Als je kijkt naar de nepmail, dan zie je dit staan bij Authentication Results:
Authentication-Results s3; spf=neutral (sender IP is 192.185.149.62) smtp.mailfrom=noreply@kvk.nl smtp.helo=gateway34.websitewelcome.com
Dit zegt: ik mail met het e-mailadres noreply@kvk.nl, maar ik ben afkomstig uit gateway34.websitewelcome.com
Bij de echte mail zie je dit:
Received-SPF Pass (protection.outlook.com: domain of kvk.nl designates 176.117.57.201 as permitted sender) receiver=protection.outlook.com; client-ip=176.117.57.201; helo=kvk-maildns1.kvk.nl;
Ofwel: ik mail met het emailadres noreply@kvk.nl, en ik ben afkomstig vanuit maildns1.kvk.nl. Daarnaast ben ik permitted sender en mag ik dus ook mailen vanuit dit e-maildomein (kvk.nl), iets wat niet bij de nepmail benoemd staat.
Dit is een aantal handvaten om te bepalen of een mail daadwerkelijk vanuit een e-mailadres is verzonden, of dat het vermoedelijk om spoofing gaat.
Kort samengevat: Headers in MxToolbox controleren en met name op de DMARC en SPF letten. Dat zegt vaak al genoeg.