Naar inhoud
lightbulb Welkom op de nieuwe kennisbank | We hebben de docs volledig vernieuwd met meer dan 160 features. Bekijk wat nieuw isarrow_forward

Phishing en echtheid controleren met de Forensische weergave

Leer hoe je met het Forensisch-tabblad in Mbox Viewer in heldere taal controleert of een e-mail echt is of phishing.

schedule9 min lezen event2 Jun 2026 updateBijgewerkt 15 wkn open_in_new data_object

Wat is de Forensische weergave?

Elk bericht dat je in Mbox Viewer opent, heeft rechtsboven drie tabbladen: Voorvertoning (Preview), Ruw (Raw) en Forensisch (Forensic). De eerste twee tonen de e-mail zoals je hem normaal leest of als kale brontekst. Het tabblad Forensisch doet iets anders: het pluist de verborgen techniek achter de e-mail uit en vertelt je in begrijpelijke taal of het bericht waarschijnlijk echt is of dat er iets niet klopt.

De meeste phishing-mails zien er op het oog prima uit. Ze gebruiken het logo van je bank, een nette ondertekening en een afzendernaam die je vertrouwt. Wat ze niet kunnen verbergen, is de technische sporenlijst die elke e-mail met zich meedraagt: welke server hem verstuurde, of de afzender wel echt mocht versturen namens dat domein, en via welke route hij bij jou kwam. Dat is precies wat de Forensische weergave leesbaar maakt.

info

Alles blijft op je eigen apparaat

Mbox Viewer werkt 100% lokaal en offline. De forensische analyse wordt volledig in je eigen browser uitgevoerd. Er gaat geen enkele e-mail, header of IP-adres naar een server of de cloud. Je data staat in een lokale database (IndexedDB) op je apparaat en kun je altijd zelf wissen via Instellingen, Database wissen. Meer over de extensie vind je op https://mbox-viewer.online.

De verdachtheidsscore (0 tot 100)

Bovenaan het Forensisch-tabblad zie je een verdachtheidsscore tussen 0 en 100. Dit is een snelle samenvatting: hoe hoger het getal, hoe meer waarschuwingssignalen Mbox Viewer in de e-mail heeft gevonden. Een score dicht bij 0 betekent dat alles klopt wat de extensie kon controleren. Een hoge score betekent dat je voorzichtig moet zijn.

De score is een hulpmiddel, geen eindoordeel. Hij telt de losse signalen bij elkaar op die hieronder worden uitgelegd. Gebruik hem om snel te zien welke berichten je nader moet bekijken, en lees daarna de details om te begrijpen waaróm een bericht verdacht is.

lightbulb

Begin altijd bij de score, eindig bij de details

De score vertelt je waar je moet kijken. De onderdelen eronder vertellen je waarom. Een bericht met score 70 dat alleen externe afbeeldingen bevat is iets heel anders dan een score 70 door naam-spoofing plus een afwijkende Reply-To. Lees dus altijd door.

SPF, DKIM en DMARC: mag deze afzender dit wel?

In het blok Authenticatie zie je drie afkortingen met een uitslag: pass (geslaagd) of fail (mislukt). Samen beantwoorden ze de vraag: heeft deze e-mail echt het domein gebruikt dat erboven staat, of doet iemand alsof?

  • SPF controleert of de server die de mail verstuurde, van het afzenderdomein mocht versturen. Elk domein publiceert een lijstje met toegestane servers. Staat de verzendende server niet op die lijst, dan is SPF fail. Dat is een sterk teken dat iemand zich voordoet als dat domein.
  • DKIM is een digitale handtekening die het verzendende domein op de e-mail zet. Bij ontvangst wordt gecontroleerd of de handtekening klopt en of de inhoud onderweg niet is veranderd. DKIM pass betekent: de mail komt aantoonbaar van dat domein en is onderweg niet geknoeid.
  • DMARC is de bovenliggende regel die zegt wat er moet gebeuren als SPF of DKIM faalt, en of de zichtbare afzender (die je in je inbox ziet) overeenkomt met het domein dat de controle doorstond. DMARC pass is het sterkste teken dat de afzender echt is.

Kort gezegd: drie keer pass is geruststellend. Eén of meer keer fail bij een bericht dat van een belangrijke organisatie (bank, overheid, werkgever) lijkt te komen, is een serieuze rode vlag.

warning

Pass betekent echt, niet veilig

SPF, DKIM en DMARC bewijzen alleen dat een e-mail echt van een bepaald domein komt. Ze zeggen niets over de bedoeling. Een oplichter kan een eigen domein netjes laten slagen op alle drie. Lees daarom altijd ook de andere phishing-signalen, en vertrouw nooit blind op enkel een pass.

De transportketen: de reis die de e-mail aflegde

Elke server die een e-mail onderweg aanraakt, voegt bovenaan een Received-regel toe. Samen vormen die regels de transportketen: een soort stempelboek van het pad dat de mail aflegde, van de verzender tot jouw postvak. Je leest hem van onder naar boven; onderaan staat de eerste server, bovenaan de laatste.

Per stap (hop) toont het Forensisch-tabblad het IP-adres van de server, het tijdstip en of de verbinding met TLS (versleuteling) ging. Dit is nuttig om twee redenen. Ten eerste zie je waar de mail echt vandaan kwam, ongeacht welke afzendernaam in het bericht staat. Ten tweede valt een vreemde route op: een mail die zogenaamd van een Nederlandse bank komt maar via een onbekende server in een ver land binnenkwam, verdient extra argwaan.

Tijdstempels: kloppen de klokken?

Een e-mail heeft een Date-veld (de tijd die de afzender zelf opgaf) en Received-tijden (wanneer servers hem daadwerkelijk doorgaven). Normaal liggen die dicht bij elkaar. Een groot verschil tussen de opgegeven Date en de echte ontvangsttijd kan betekenen dat een datum is vervalst of dat een bericht is teruggedateerd. Het Forensisch-tabblad zet beide naast elkaar zodat je het verschil in één oogopslag ziet.

Hashes: is een bijlage ongewijzigd?

Voor elke bijlage berekent Mbox Viewer hashes: SHA-256, SHA-1 en MD5. Een hash is een soort unieke vingerafdruk van een bestand. Verander je ook maar één teken in het bestand, dan verandert de hele vingerafdruk. Dit is handig op twee manieren: je kunt bewijzen dat een bijlage niet is aangepast (de vingerafdruk blijft gelijk), en je kunt een verdachte bijlage opzoeken in openbare databanken van bekende schadelijke bestanden zonder het bestand zelf te hoeven delen.

Geolocatie van IP-adressen

Bij de servers in de transportketen toont het tabblad waar de IP-adressen ongeveer vandaan komen. Zo zie je in mensentaal of de route logisch is. Komt een zogenaamd lokaal bericht binnen via een land waar de afzender helemaal niets te zoeken heeft, dan is dat een extra puzzelstukje dat richting phishing kan wijzen.

De phishing-signalen die Mbox Viewer herkent

Naast de score en de authenticatie zoekt de Forensische weergave actief naar bekende oplichtingstrucs. Dit zijn de signalen die het benoemt:

  • Naam-spoofing: de getoonde afzendernaam (bijvoorbeeld "Jouw Bank") past niet bij het echte e-mailadres erachter.
  • Afwijkende Reply-To: je antwoord zou naar een heel ander adres gaan dan de afzender. Een klassieke truc om je reactie stiekem om te leiden.
  • Punycode-domeinen: een webadres dat met speciale tekens is nagemaakt zodat het lijkt op een bekend merk (bijvoorbeeld een letter die op een gewone letter lijkt maar dat niet is).
  • Mislukte authenticatie: SPF, DKIM of DMARC faalt, zoals hierboven uitgelegd.
  • Datumverschil: de opgegeven verzenddatum wijkt sterk af van de echte ontvangsttijd.
  • Ontbrekende Message-ID: legitieme mailservers geven elk bericht een uniek kenmerk. Ontbreekt dat, dan is dat ongebruikelijk.
  • Verdachte TLD: het domein eindigt op een extensie die vaak bij misbruik hoort, zoals .tk, .ml of .ga.
  • Tracking-pixel: een onzichtbaar piepklein plaatje dat de afzender laat weten dat je de mail opende. Mbox Viewer blokkeert externe afbeeldingen standaard, juist om dit te voorkomen.
  • Link-mismatch: de tekst van een link belooft het ene adres, maar de link gaat in werkelijkheid naar een ander adres. Een van de meest voorkomende phishing-trucs.

Stap voor stap een verdacht bericht controleren

Een e-mail forensisch beoordelen

  1. Open je e-mailbestand door het naar het venster van Mbox Viewer te slepen (drag and drop). Ondersteund zijn onder andere .mbox, .eml, .emlx, .msg en Maildir-mappen.
  2. Klik in de lijst links op het bericht dat je wilt onderzoeken.
  3. Klik rechtsboven op het tabblad Forensisch.
  4. Lees eerst de verdachtheidsscore bovenaan voor een snel totaalbeeld.
  5. Bekijk het Authenticatie-blok: staan SPF, DKIM en DMARC op pass of fail?
  6. Loop de transportketen na: kloppen de landen en de route, en ging het verkeer over TLS?
  7. Vergelijk de tijdstempels: ligt de opgegeven Date dicht bij de echte ontvangsttijd?
  8. Lees de lijst met phishing-signalen door en kijk welke zijn aangevinkt.
  9. Twijfel je nog? Open het Ruw-tabblad om de volledige brontekst zelf na te lezen.

Een zaak vastleggen voor bewijs

Wil je je bevindingen bewaren, bijvoorbeeld om aangifte te doen of een collega te informeren? Selecteer dan het bericht (toets x) en exporteer een Forensisch case-bestand. Dat is een ZIP met de e-mails zelf, forensische PDF-rapporten, de hashes en een manifest. Je kunt het optioneel beveiligen met een AES-256-wachtwoord. Zo lever je een compleet en controleerbaar dossier, zonder dat er ook maar iets via internet hoefde te gaan.

lightbulb

Handige sneltoetsen tijdens het onderzoeken

Gebruik j en k om door de lijst te bladeren, Enter om een bericht te openen, x om te selecteren, Shift+A om alles te selecteren, en / om te zoeken. Met de zoekoperator is:suspicious filter je in één keer op berichten die de extensie als verdacht markeerde.

Bewijst een hoge score dat het zeker phishing is?

Nee. De verdachtheidsscore is een optelsom van signalen en bedoeld om je aandacht te sturen. Een hoge score kan ook ontstaan door onschuldige zaken, zoals een bericht met veel externe afbeeldingen. Lees daarom altijd de losse onderdelen, zoals de authenticatie en de phishing-signalen, om te begrijpen waarom de score zo is.

Wat als SPF, DKIM en DMARC allemaal op pass staan, is het dan veilig?

Dan staat vast dat de e-mail echt van het genoemde domein komt en onderweg niet is gewijzigd. Het zegt alleen niets over de bedoeling van de afzender. Een oplichter kan zijn eigen domein netjes laten slagen. Beoordeel daarom ook de andere signalen, zoals een afwijkende Reply-To of een link-mismatch.

Worden mijn e-mails of IP-gegevens ergens naartoe gestuurd voor deze analyse?

Nee. De volledige forensische analyse draait lokaal in je eigen browser. Er zijn geen uploads, geen servers en geen telemetrie. Je data blijft in een lokale database op je apparaat en is te wissen via Instellingen, Database wissen.

Waarom zie ik afbeeldingen in een verdachte mail niet?

Mbox Viewer blokkeert externe afbeeldingen standaard om je privacy te beschermen en tracking-pixels te stoppen. Je kunt ze per bericht alsnog laden met een knop, maar doe dat bewust, want bij een phishing-mail laat je daarmee mogelijk de afzender weten dat je de mail opende.

Wat is een transportketen ook alweer in gewone woorden?

Dat is de lijst van servers die de e-mail onderweg heeft aangeraakt, van verzender tot jouw postvak. Elke server zette een stempel met tijd, IP-adres en of de verbinding versleuteld was. Je leest hem van onder naar boven en gebruikt hem om te zien waar de mail echt vandaan kwam.

Kan ik mijn bevindingen vastleggen als bewijs?

Ja. Selecteer de berichten en exporteer een Forensisch case-bestand: een ZIP met de e-mails, forensische PDFs, hashes en een manifest, eventueel beveiligd met een AES-256-wachtwoord. Alles wordt lokaal samengesteld, zonder internetverbinding.

Verwant in de kennisbank

Pagina's die je verder helpen bij dit onderwerp.

Phishing-simulaties uitvoeren voor je medewerkers

Phishing-simulaties testen of medewerkers verdachte mails herkennen in een veilige oefenomgeving: je stuurt nepphishing, meet wie klikt en koppelt daar gerichte training aan, zonder mensen af te schrikken.

schedule5 min label1 gedeelde tag
Lees verder arrow_forward

Phishingmails blokkeren met Gmail-beveiligingsinstellingen

Je vermindert phishing flink door in de Admin-console de geavanceerde Gmail-beveiliging aan te zetten: bescherming tegen spoofing en impersonatie, aanvullende controle op bijlagen en links, en een banner voor externe afzenders. Combineer dit met SPF, DKIM en DMARC en met training van gebruikers.

schedule4 min label1 gedeelde tag
Lees verder arrow_forward

Business Email Compromise (BEC) herkennen en voorkomen

Bij BEC doet een aanvaller zich voor als een leidinggevende of leverancier om een frauduleuze betaling te ontfutselen. Leer de signalen herkennen en bouw verdediging op techniek en proces.

schedule5 min label1 gedeelde tag
Lees verder arrow_forward

Security awareness-training voor Google Workspace-gebruikers

Security awareness-training leert Workspace-gebruikers veilig gedrag: phishing herkennen, veilig delen in Drive, 2FA gebruiken en datalekken melden via een doorlopend, concreet programma dat aantoonbaar gedrag verandert.

schedule5 min label1 gedeelde tag
Lees verder arrow_forward

Account takeovers voorkomen in Google Workspace

Voorkom een account takeover in Google Workspace met verplichte 2-staps-verificatie, phishing-bestendige security keys en passkeys, wachtwoord-monitoring en snelle incident-afhandeling.

schedule5 min label1 gedeelde tag
Lees verder arrow_forward