Iedereen die wel eens een e-mail heeft ontvangen of verstuurd, iedereen tegenwoordig, weet dat bij het openen van een e-mail altijd de verzender, ontvanger en het onderwerp van de e-mail worden getoond. Deze stukjes informatie worden verplicht getoond uit de e-mailheader. Wist u dat er nog veel meer informatie uit de e-mailheader gehaald kan worden? In deze blog nemen we u mee in de wereld van de e-mailheaders en zult u ontdekken waarom het handig kan zijn om deze te bekijken!
Wat is een e-mailheader?
Allereerst is het goed om te weten dat een e-mail uit twee verschillende onderdelen bestaat: de ‘header’ en de ‘body’. De body bevat de inhoud van de e-mail, zoals de tekst en de afbeeldingen. In een ruwe weergave van de e-mail worden de afbeeldingen weergegeven als base64-gecodeerde strings. De header bevat stukjes informatie over de herkomst, de genomen route en bestemming van de e-mail. De header bestaat zelf ook weer uit drie onderdelen:
- Message Header (of ‘Message Information’) welke gegenereerd wordt door de verzender
- X-headers, die toegevoegd worden door beveiligingssoftware (firewalls, spamfilters etc.)
- Envelope Headers, hierin staat informatie over de e-mailservers die betrokken waren bij de verzending
Zo leest u een e-mailheader
Allereerst moet u de header van de e-mail zichtbaar maken. In Outlook kunt u dat bijvoorbeeld doen door het bericht te openen en vervolgens op ‘Bestand’ en ‘Eigenschappen’ te klikken. Er is echter ook forensische software beschikbaar die de headers leesbaar maakt. Elk veld in de header begint met een kernwoord gevolgd door een dubbele punt, zoals ‘To:’, ‘From:’ of ‘Subject:’. Niet alle headers zijn altijd aanwezig in elke e-mail. Dit is afhankelijk van de route die de e-mail aflegt en welke soorten software deze onderweg tegenkomt. U leest e-mailheaders chronologisch van beneden naar boven. Op internet zijn er ook websites en tools te vinden die u helpen bij het beter leesbaar maken van een e-mailheader, zoals https://mxtoolbox.com/EmailHeaders.aspx.
Wanneer u er een wil onderzoeken
Dit kan vooral handig zijn als u de e-mail niet helemaal vertrouwt, bijvoorbeeld in het geval van een erg goed gemaakte phishingmail. Als uit het bericht en het e-mailadres van de afzender niet meteen duidelijk wordt of het bericht betrouwbaar is, kan het een goed idee zijn om de header te bekijken. Omdat de informatie uit de Message Header gegenereerd wordt door de verzender, zijn dit de velden die het makkelijkst te manipuleren (ofwel te ‘spoofen’) zijn. Dit deel van de header bevat informatie over het afzender e-mailadres, de ontvanger en het onderwerp van de e-mail, en is het minst betrouwbaar als u de daadwerkelijke afzender van een e-mail wilt achterhalen. Hiervoor kunt u het beste op zoek gaan naar informatie over de eerste server die betrokken was bij het versturen van de e-mail. Deze staat vaak helemaal onderaan in de header in het eerste ‘Received:’ veld.
Dit is belangrijk bij e-mail forensics
Er zijn verschillende artefacten in een e-mailheader die van waarde (kunnen) zijn bij een onderzoek. Veel ervan helpen de onderzoekers te bepalen of een e-mail authentiek is of niet. Hiervoor kan gekeken worden naar onder andere de SPF (Sender Policy Framework) en DKIM (DomainKeys Identified Mail) records in de header.
- De SPF record geeft aan welke server e-mails mag versturen namens een domein.
- De DKIM header bevat een soort handtekening, waarmee de authenticiteit van een e-mail aangetoond kan worden.
- Ook de Thread Index record kan erg handig zijn bij e-mail forensics. Deze kan gebruikt worden om meerdere berichten aan elkaar te koppelen als zijnde onderdeel van dezelfde conversatie.
Deze en andere records uit een e-mailheader kunnen door ons op de juiste wijze geïnterpreteerd worden, om zo waardevolle informatie te achterhalen voor een onderzoek.
Tot slot
Een e-mailheader kan er vrij overweldigend uitzien, maar als u weet waar u op moet letten, kan zo’n header u veel informatie opleveren. Onthoud echter altijd: bij twijfel, klik nergens op!
Heeft u hulp nodig bij het onderzoeken van e-mails, phishing of fraude? Neem dan gerust contact met ons op. We staan voor u klaar om u te helpen.
