Een retour-e-mailadres vertelt u niet altijd het volledige verhaal van de bron van die e-mail. Elke verzonden e-mail bevat echter volledige informatie over het pad van de ISP van de afzender naar uw inbox. Deze informatie wordt opgeslagen in de e-mailheader, die zichtbaar is in de meeste online mailboxen en e-mailclientsoftware.
E-mailheaders openen
Vrijwel alle e-mailclients bieden u de mogelijkheid om e-mailheaders te lezen. Open bijvoorbeeld in Gmail het bericht, klik op de pijl-omlaag naast de knop Beantwoorden en klik vervolgens op 'Origineel weergeven' in het menu dat verschijnt om het bericht met een volledige kop weer te geven. Klik in Thunderbird op "Andere acties" naast het e-mailbericht en klik vervolgens op de optie "Bron weergeven" om het volledige bericht met de koptekst te zien. Klik in Microsoft Outlook op het menu "Bestand" en selecteer vervolgens "Eigenschappen" om een dialoogvenster te openen met een sectie Internetkopteksten.
Kopteksten lezen
Headers lijken veel onleesbare informatie te bevatten; wat u zoekt is naast een veld gemarkeerd met "Ontvangen:". U kunt dit direct lezen, rekening houdend met het feit dat de koptekst achterstevoren is opgebouwd: de laatste "Ontvangen:"-actie van het bericht, dat was de aflevering van dat bericht in uw mailbox, verschijnt eerst, dus u moet naar de onderkant van de kop scrollen zijn oorsprong te vinden. In sommige programma's, zoals Outlook, is de informatie al georganiseerd en in goed beschreven velden geplaatst. Als alternatief kunt u de e-mailheader in een header-ontledingstool plakken, zoals die wordt aangeboden door Google Toolbox (zie bronnen). Parsers keren vaak achterwaarts geconstrueerde headers om, waarbij de eerste actie op de e-mail bovenaan wordt geplaatst.
ISP identificeren
Het vinden van de oorspronkelijke ISP komt neer op het identificeren van de eerste server die het bericht heeft ontvangen. In een niet-geparseerd bericht is dit een van de laatste items met het label 'Ontvangen:' ervoor. De reden dat het niet altijd de allereerste server is, is omdat sommige organisaties servers hebben die als tussenpersoon fungeren in het leveringsproces. Zoek de volgende tekst om de informatie te analyseren. Het veld kan bijvoorbeeld het volgende bevatten:
van BL2PR03MB228.myispemail03.blank.vision.com ([169.254.50.146]) met mapi-id 15.00.0775.005; vr 27 sep 2013 19:17:03 +0000.
De informatie vóór de haakjes is de naam en het IP-adres van een mailserver, meestal de oorspronkelijke ISP.
Het IP opzoeken
Natuurlijk geven DNS-namen en IP-adressen niet altijd een duidelijk beeld van de ISP. Om dit op te lossen, voert u een WHOIS-zoekopdracht uit van het IP-adres dat u hebt gevonden. Een WHOIS-zoekopdracht doorzoekt een grote database met openbare IP-adressen en hun eigenaren, dus voer het IP-adres in de WHOIS-zoekopdracht in (zie bronnen) om informatie over de eigenaar te krijgen. Dit zou u de exacte ISP per afzender moeten vertellen. Wees echter gewaarschuwd dat sommige spamberichten vervalste of "vervalste" e-mailheaders gebruiken om hun werkelijke oorsprong te verbergen.