Internet-e-mails zijn ontworpen om het IP-adres van de computer te vervoeren van waaruit de e-mail is verzonden. Dit IP-adres wordt samen met het bericht opgeslagen in een e-mailheader die aan de ontvanger is afgeleverd. E-mailheaders kunnen worden gezien als enveloppen voor post. Ze bevatten het elektronische equivalent van adressering en poststempels die de routering van e-mail van bron tot bestemming weergeven.
IP-adressen zoeken in e-mailheaders
Veel mensen hebben nog nooit een e-mailheader gezien, omdat moderne e-mailclients de headers vaak verbergen voor weergave. Headers worden echter altijd samen met de inhoud van het bericht geleverd. De meeste e-mailclients bieden een optie om weergave van deze headers indien gewenst in te schakelen.
Internet-e-mailheaders bevatten verschillende tekstregels. Sommige regels beginnen met de woorden Ontvangen van. Het volgen van deze woorden is een IP-adres, zoals in het volgende fictieve voorbeeld:
Ontvangen: van teela.mit.edu (65.54.185.39)
door mail1.aol.com met SMTP; 30 juni 2003 02:27:02 -0000
Deze tekstregels worden automatisch ingevoegd door e-mailservers die het bericht routeren. Als er slechts één regel "Received: from" in de kop wordt weergegeven, kan een persoon erop vertrouwen dat dit het daadwerkelijke IP-adres van de afzender is.
Meervoud begrijpen 'Ontvangen: van' regels
In sommige situaties verschijnen er echter meerdere regels "Received: from" in een e-mailkoptekst. Dit gebeurt wanneer het bericht door meerdere e-mailservers gaat. Als alternatief zullen sommige e-mailspammers aanvullende nepregels "Ontvangen: van" in de koppen zelf stoppen om ontvangers in verwarring te brengen.
Om het juiste IP-adres te identificeren wanneer meerdere "Received: from" -regels erbij betrokken zijn, is een klein beetje detectivewerk vereist. Als er geen vervalste informatie is ingevoegd, bevindt het juiste IP-adres zich in de laatste regel "Ontvangen: van" van de kop. Dit is een goede eenvoudige regel om te volgen bij het kijken naar e-mail van vrienden of familie.
Inzicht in vervalste e-mailheaders
Als vervalste headerinformatie door een spammer is ingevoegd, moeten verschillende regels worden toegepast om het IP-adres van een afzender te identificeren. Het juiste IP-adres zal normaal niet voorkomen in de laatste regel "Ontvangen: van", omdat informatie die vervalst is door een afzender altijd onder aan een e-mailkop verschijnt.
Om het juiste adres te vinden, start u in dit geval vanaf de laatste regel "Ontvangen: van" en volgt u het pad dat het bericht volgt door omhoog te lopen door de koptekst. De "door" (verzend) locatie vermeld in elke "Ontvangen" kop moet overeenstemmen met de "van" (ontvangende) locatie vermeld in de volgende "Ontvangen" koptekst hieronder. Negeer alle vermeldingen die domeinnamen of IP-adressen bevatten die niet overeenkomen met de rest van de koptekstketen. De laatste regel "Ontvangen: van" bevat geldige informatie en bevat het echte adres van de afzender.
Merk op dat veel spammers hun e-mails rechtstreeks verzenden in plaats van via internet-e-mailservers. In deze gevallen worden alle koptekstregels "Ontvangen: van", behalve de eerste, vervalst. De eerste kopregel "Ontvangen: van" bevat dan het echte IP-adres van de afzender in dit scenario.
Internet e-mailservices en IP-adressen
Ten slotte verschillen de populaire op internet gebaseerde e-mailservices sterk van elkaar in het gebruik van IP-adressen in e-mailheaders. Gebruik deze tips om IP-adressen in dergelijke e-mails te identificeren.
- Google's Gmail-service laat de IP-adresgegevens van de afzender weg van alle headers. In plaats daarvan wordt alleen het IP-adres van de e-mailserver van Gmail weergegeven in Ontvangen: van. Dit betekent dat het onmogelijk is om het echte IP-adres van een afzender te vinden in een ontvangen Gmail.
- De Hotmail-service van Microsoft biedt een uitgebreide headerregel met de naam "X-Originating-IP" die het daadwerkelijke IP-adres van de afzender bevat.
- E-mails van Yahoo! bevat het IP-adres van de afzender in het laatste item Ontvangen:.
