En retur-e-mail-adresse fortæller dig ikke altid den fulde historie om den e-mails kilde. Hver sendt e-mail indeholder dog alle oplysninger om den sti, den har taget fra afsenderens internetudbyder til din indbakke. Disse oplysninger gemmes i e-mail-overskriften, som kan ses i de fleste online-postkasser og e-mail-klientsoftware.
Åbning af e-mail-overskrifter
Næsten alle mailklienter giver dig mulighed for at læse e-mail-overskrifter. I Gmail skal du f.eks. Åbne beskeden, klikke på pil ned ud for knappen Svar og derefter klikke på "Vis original" i den menu, der vises for at få vist meddelelsen med en fuld overskrift. I Thunderbird skal du klikke på "Andre handlinger" ud for e-mail-beskeden og derefter klikke på "Vis kilde" for at se den fulde besked med overskriften. Klik på menuen "Filer" i Microsoft Outlook, og vælg derefter "Egenskaber" for at åbne en dialogboks, der indeholder en sektion med internetoverskrifter.
Læsehoveder
Overskrifter ser ud til at have en masse forvrænget information; hvad du leder efter er ved siden af et felt mærket "Modtaget:". Du kan læse dette direkte under hensyntagen til, at overskriften er konstrueret baglæns: den sidste "Modtagne" -handling i meddelelsen, som var meddelelsens levering til din postkasse, vises først, så du skal rulle til bunden af overskriften for at finde dens oprindelse. I nogle programmer, såsom Outlook, er oplysningerne allerede organiseret og placeret i velbeskrevne felter. Alternativt kan du indsætte e-mail-overskriften i et header-parseringsværktøj, som det, der tilbydes af Google Toolbox (se Ressourcer). Parsere vender ofte bagudkonstruerede overskrifter og placerer den første handling i e-mailen øverst.
Identifikation af internetudbyderen
At finde den oprindelige internetudbyder kommer til at identificere den første server, der modtog beskeden. I en uparset meddelelse er dette blandt de sidste emner, der er mærket med "Modtaget:" forud for det. Årsagen til, at det ikke altid er den allerførste server, er, at nogle organisationer har servere, der fungerer som mellemled i leveringsprocessen. For at analysere oplysningerne skal du kigge efter den tekst, der følger. For eksempel kan feltet omfatte følgende:
fra BL2PR03MB228.myispemail03.blank.vision.com ([169.254.50.146]) med mapi-id 15.00.0775.005; Fre, 27 Sep 2013 19:17:03 +0000.
Oplysningerne inden parentesen er navnet og IP-adressen på en mailserver, som typisk er den internetudbyder, der stammer fra.
Opslag i IP
Naturligvis giver DNS-navne og IP-adresser ikke altid et klart billede af internetudbyderen. For at løse dette skal du udføre et WHOIS-opslag af den IP-adresse, du har fundet. Et WHOIS-opslag spørger om en stor database med offentlige IP-adresser og deres ejere, så indtast IP-adressen i WHOIS-opslaget (se Ressourcer) for at få oplysninger om ejeren. Dette skal fortælle dig den nøjagtige internetudbyder efter afsender. Vær dog opmærksom på, at nogle spam-beskeder bruger falske eller "falske" mailoverskrifter til at skjule deres faktiske oprindelse.
