# E-mailheaders lezen en interpreteren

[[TOC]]

Elke e-mail draagt een onzichtbaar logboek met zich mee: de headers. Daarin staat welke servers het bericht doorgaven, of de afzender echt is en hoe laat elke stap plaatsvond. Voor het opsporen van spoofing, vertraging of bezorgproblemen zijn headers je belangrijkste bron.

## Headers openen in Gmail

Standaard verbergt Gmail de headers, want de meeste mensen hebben ze niet nodig. Je haalt ze tevoorschijn via het menu van een geopend bericht.

:::howto title="Headers openen in Gmail"
1. Open het bericht in Gmail.
2. Klik op het menu met de drie puntjes rechtsboven in het bericht.
3. Kies **Origineel weergeven**.
4. Je ziet nu de volledige headers met bovenaan een samenvattende tabel van SPF, DKIM en DMARC.
5. Gebruik **Origineel downloaden** om het ruwe bericht als `.eml` op te slaan voor analyse.
6. Kopieer de headers eventueel naar een header-analyzer voor een leesbaar overzicht.
:::

## De belangrijkste velden

Niet elk header-veld is even relevant. Een handvol velden vertelt je het meeste over de herkomst en betrouwbaarheid van een bericht.

| Veld | Wat het betekent |
| --- | --- |
| `From` | Het zichtbare afzenderadres in je mailclient. Triviaal te vervalsen. |
| `Return-Path` | Het adres waar bounces heen gaan. Lastiger te vervalsen dan From. |
| `Received` | Elke server die het bericht doorgaf, met tijdstempel. Van onder naar boven lezen. |
| `Authentication-Results` | De uitkomst van SPF, DKIM en DMARC voor dit bericht. |
| `Message-ID` | Uniek kenmerk waarmee je een specifiek bericht terugvindt. |

:::info title="Vertrouw From niet blind"
Het From-veld is wat je in je mailclient ziet, maar dit is eenvoudig te vervalsen. Het Return-Path en de Authentication-Results vertellen je of de afzender echt is. Vertrouw bij een verdacht bericht dus nooit alleen op From.
:::

De Received-regels vormen de route. Elke server die het bericht doorgaf, voegt er bovenaan een toe. Lees ze daarom van onder naar boven om de reis chronologisch te volgen.

## Authenticatieresultaten lezen

Het veld Authentication-Results is goud voor beveiliging. Het toont of SPF, DKIM en DMARC slaagden voor dit bericht. Gmail zet de uitkomst bovendien overzichtelijk in een tabel boven de ruwe headers.

| Mechanisme | `pass` betekent | `fail` betekent |
| --- | --- | --- |
| **SPF** | De verzendende server is gemachtigd namens het domein. | Mogelijke spoofing of een ontbrekend SPF-record. |
| **DKIM** | De digitale handtekening klopt en het bericht is onderweg niet gewijzigd. | De handtekening ontbreekt of het bericht is aangepast. |
| **DMARC** | Het bericht voldoet aan het beleid van het afzenderdomein. | Sterk spoofing-signaal, From sluit niet aan op de geauthenticeerde domeinen. |

## Vertraging diagnosticeren

Klaagt iemand dat een e-mail laat aankwam, dan vertellen de Received-regels precies waar de tijd verloren ging. Elke regel bevat een tijdstempel. Door de tijden tussen opeenvolgende servers te vergelijken, vind je de trage schakel.

:::tip title="Grote tijdsprong tussen twee Received-regels"
Zit tussen twee Received-regels een groot tijdsverschil, dan zat het bericht daar in een wachtrij. Vaak is dat een grijslijstende ontvanger of een tijdelijke storing. De vertraging zit zelden bij Gmail zelf, meestal bij een tussenliggende of ontvangende server.
:::

## Spoofing ontmaskeren

Bij een verdacht bericht vergelijk je het zichtbare From met het Return-Path en de authenticatieresultaten. Wijken die af en faalt DMARC, dan is het waarschijnlijk vervalst.

:::warn title="dmarc=fail bij een bank- of directeur-mail is phishing"
Een bericht dat eruitziet alsof het van je bank of je directeur komt, maar waarbij `dmarc=fail` of `spf=fail` in de headers staat, is vrijwel zeker phishing. Klik nergens op en meld het bij je beveiligingsteam. De headers liegen niet, het zichtbare afzenderadres wel.
:::

## Het ruwe bericht bewaren

Voor een grondige analyse of om aangifte te doen, download je het volledige originele bericht. Dat bevat alle headers ongewijzigd en kun je delen met je beveiligingsteam of in een analyse-tool laden.

:::faq
### Kan ik het From-veld vertrouwen?
Nee, dat is eenvoudig te vervalsen. Controleer bij twijfel altijd de Authentication-Results en het Return-Path.

### Waarom staan er meerdere Received-regels?
Elke server die het bericht doorgaf, voegt er bovenaan een toe. Lees ze van onder naar boven om de route chronologisch te volgen.

### Wat is het verschil tussen From en Return-Path?
From is het adres dat je ziet, Return-Path is waar bounces heen gaan. Return-Path is moeilijker te vervalsen en geeft vaak de echte verzendende infrastructuur prijs.

### Waar zie ik of de authenticatie slaagde?
In het veld Authentication-Results, met `spf`, `dkim` en `dmarc` en hun resultaat. In Gmail vat de tabel bovenaan Origineel weergeven dit samen.

### Wat betekent dmarc=fail precies?
Dat het From-domein niet aansluit op de domeinen die door SPF of DKIM zijn geauthenticeerd. Vaak een teken van spoofing, soms een verkeerd geconfigureerde legitieme verzender.

### Welke tool kan ik gebruiken om headers leesbaar te maken?
Plak de ruwe headers in een header-analyzer of laad het gedownloade `.eml`-bestand. Dat zet de Received-route en de authenticatie overzichtelijk op een rij.
:::

Headers lezen lijkt technisch, maar je hebt maar een paar velden nodig om de meeste vragen te beantwoorden. Volg de Received-route van onder naar boven, lees de authenticatieresultaten en vergelijk de afzendervelden. Daarmee ontmasker je spoofing en diagnosticeer je vertraging zonder gokwerk.