Een retour-e-mailadres vertellen niet altijd het volledige verhaal van die e-mail van bron. Elke e-mail bevat echter volledige informatie over het pad het duurde van de afzender ISP naar uw inbox. Deze informatie wordt opgeslagen in de headers van e-mail, dat zichtbaar is in de meeste online-postvakken en e-mail clientsoftware.
Opening e-mailkopballen
Vrijwel alle e-mailclients geven u de mogelijkheid om te lezen van de e-mailkopballen. In Gmail, bijvoorbeeld, opent u het bericht, klikt u op de pijl omlaag naast de knop beantwoorden en klik vervolgens op 'Toon origineel' in het menu dat verschijnt als het bericht met een volledige header wilt weergeven. In Thunderbird, klikt u op "Andere acties" naast het e-mailbericht en klik vervolgens op de "View Source" optie om de volledige bericht met de kop te zien. In Microsoft Outlook, klikt u op het menu "Bestand" en vervolgens uitgezocht "Vermogen" om een dialoogvenster met daarin een hoofdstuk Internetheaders.
Lezing Headers
Headers lijken te hebben een heleboel onleesbaar informatie; wat u zoekt is naast een veld gemarkeerd "Received:". Vindt u dit rechtstreeks in het achterhoofd dat de header achteruit is gebouwd: de laatste "Received:" actie van de boodschap, die van dat bericht levering naar uw mailbox was, verschijnt eerst, dus u Schuif naar de onderkant van de koptekst moet te vinden zijn oorsprong. In sommige programma's, zoals Outlook, is de informatie al georganiseerd en in goed beschreven velden geplaatst. Alternatief, kunt u de e-mailkoptekst in een header parsing, zoals de aangeboden door Google Toolbox programma plakken (zie bronnen). Parsers reverse vaak achteruit gebouwde headers, plaatsen van de eerste actie op de e-mail aan de bovenkant.
Identificatie van de ISP
Het vinden van de oorspronkelijke ISP komt neer op het identificeren van de eerste server die het bericht heeft ontvangen. In een niet-geparseerde bericht, dit is een van de laatste items gemarkeerd met een "Received:" voorafgaand aan het. De reden is het niet altijd de eerste server is omdat sommige organisaties servers die handeling als tussenpersoon in het leveringsproces hebben. Om de informatie te analyseren, op zoek naar de tekst die volgt. Het veld kan bijvoorbeeld de volgende:
van BL2PR03MB228.myispemail03.blank.vision.com ([169.254.50.146])
met mapi id 15.00.0775.005; Vr, 27 Sep 2013 19:17:03 + 0000.De informatie vóór de haakjes is de naam en het IP-adres van een e-mailserver, die meestal de van oorsprong ISP is.
Opzoeken van het OT
Immers, geven DNS-namen en IP-adressen niet altijd een duidelijk beeld van de ISP. Uitvoeren om te lossen dit, een WHOIS lookup van het IP-adres dat je hebt gevonden. Een WHOIS lookup een query op een grote database van openbare IP-adressen en hun eigenaren, dus voer het IP-adres in de WHOIS lookup (zie bronnen) om informatie over de eigenaar te krijgen. Dit moet u vertellen de exacte ISP door afzender. Wees gewaarschuwd, echter dat sommige spam berichten gebruik gesmeed of "vervalst" mail headers te verbergen hun werkelijke oorsprong.