Mail-header analyzer

Wat doet deze mail-header analyzer?

De tool parseert RFC 5322 email-headers volledig in je browser en visualiseert de informatie die normaal cryptisch in 30-100 regels tekst verstopt zit. Email-headers zijn het "track-and-trace"-equivalent voor mail: elke server die de mail aanraakt voegt een Received:-regel toe, en aan het einde van de keten weet de ontvanger precies welke route de mail heeft afgelegd, of de afzender authentiek is, en of er onderweg gerommeld is.

Wat de tool extraheert en visualiseert:

• Mail-authenticatie — SPF, DKIM en DMARC-resultaten zoals daadwerkelijk gevalideerd door de ontvangende mailserver. Direct zichtbaar of de afzender authentiek is, of dat één van de drie pijlers gefaald heeft.
• Aflevering-pad — alle Received:-headers in chronologische volgorde, met per-hop timestamps en delay-berekening. Toont waar in de keten mail vertraagd raakte.
• Bericht-info — From, To, Subject, Return-Path (bounce-adres), Reply-To, Message-ID, Date, mailer/User-Agent. Alles wat je nodig hebt om een bericht te identificeren.
• Spam-filter signalen — X-Spam-Score, X-Spam-Status, X-Bogosity, Barracuda Reputation, Mimecast en andere scoring-headers die anti-spam tools toevoegen. Inzicht in wat spam-detectoren zagen.
• Alle headers leesbaar — onder een uitklapper zie je elke header netjes geformatteerd, voor wie alles wil zien.

Wanneer is een mail-header analyzer onmisbaar?

Vier scenario's waarin deze tool het verschil maakt tussen "ik weet niet wat er aan de hand is" en "ik zie precies wat er fout ging":

• "Mijn mail komt in spam bij Gmail of Outlook" — check de Authentication-Results-header in een test-mail die wél in spam belandde. Daar zie je of SPF, DKIM of DMARC faalden — vaak verraadt het patroon de oorzaak (verkeerde sender-IP in SPF, DKIM-key niet opgeslagen, DMARC-alignment-fout).
• "Mail komt 5 minuten of meer te laat aan" — bekijk de delays tussen hops. Een hop met 4 minuten delay verraadt waar 't oponthoud zit. Vaak: een tussenliggende mailserver in een queue, een TLS-handshake-issue, of een spam-filter dat content-checks doet.
• "Phishing-vermoeden — komt deze mail wel echt van wie 't lijkt?" — vergelijk From-adres met de SPF-sender (Mailfrom) en DKIM-signing-domain. Als die niet matchen kan de mail van een spoofer komen, zelfs met DMARC=pass — DMARC valideert alignment niet altijd 100%.
• "Domein-spoofing onderzoek" — analyseer een verdachte mail die van jouw domein lijkt te komen. Zie de werkelijke verzendserver, het IP, en welke DKIM-keys gebruikt zijn. Combineert goed met de blacklist checker om te kijken of het verzend-IP gelist staat.

Hoe pak je raw email-headers per mailclient?

• Gmail (web): open de mail, klik op de drie verticale puntjes rechtsboven (naast de reply-pijl), kies "Show original" of "Origineel weergeven". Een nieuw tabblad opent met de volledige headers — kopieer alles tot aan de lege regel die de body inluidt.
• Outlook 365 (web): open de mail, klik op "..." rechts in de mail-header, kies "View" → "View message source". Of in oudere versies: File → Properties → veld "Internet headers".
• Outlook desktop: dubbel-klik de mail om 'm in een eigen venster te openen, dan File → Properties. Het veld "Internet headers" bevat alles.
• Apple Mail (macOS): open de mail, menu View → Message → Raw Source (Cmd+Option+U). Of "All Headers" voor alleen de header-sectie.
• Thunderbird: open de mail, menu View → Message Source (Ctrl+U). Selecteer de tekst tot aan de lege regel.
• iPhone / Apple Mail iOS: helaas geen ingebouwde optie — forward de mail naar jezelf op een desktop-client en lees daar de headers.
• Spark, Airmail, andere: zoek in menu naar "Show source", "View source" of "Raw message". Vrijwel elke modernere client heeft 't, soms verstopt onder Developer- of Power-user-opties.

Hoe lees je het resultaat? — interpreteer veelvoorkomende uitkomsten

Authenticatie-resultaten ontcijferen:

• SPF=pass + DKIM=pass + DMARC=pass — drie groene tags. Mail is authentiek en komt van een geautoriseerde server. Belandt 'ie alsnog in spam, dan ligt het aan content of reputatie, niet aan authenticatie.
• SPF=fail — de verzendende server staat niet in het SPF-record van het from-domein. Vaak: 3rd-party-tool (MailChimp, SendGrid) verstuurt zonder dat je hun IP/domein in je SPF hebt staan. Tijdelijk te omzeilen via DKIM-pass, maar de SPF moet aangevuld worden.
• SPF=softfail — server zou volgens SPF niet mogen, maar het record eindigt op ~all (waarschuwing) i.p.v. -all (weiger). Mail komt vaak nog aan maar wordt verdacht behandeld.
• SPF=permerror — vaak het gevolg van >10 DNS-lookups in je SPF (RFC-limiet overschreden). Check je SPF met de SPF/DKIM/DMARC checker en de bijbehorende lookup-counter.
• DKIM=fail — handtekening klopt niet. Mogelijke oorzaken: mail is onderweg gewijzigd (mailing list, forwarder), foute DKIM-key in DNS, of selector-mismatch.
• DMARC=fail — From-domein matcht niet met SPF- of DKIM-domein. Vaak teken dat een 3rd party namens jou mailt zonder dat hun setup correct is. Bij p=reject wordt mail geweigerd.

Aflevering-pad ontcijferen:

• 0-3 seconden per hop — normaal. Mail loopt vlot door.
• 3-30 seconden per hop — verhoogde belasting maar geen alarm. Internationale verzending of een drukke mailserver.
• 30 seconden tot 5 minuten — verdacht. Vaak een mailserver in een queue, of content-scanning die tijd kost. Bij regelmatige terugkomst onderzoek de specifieke server in die hop.
• Meer dan 5 minuten — alarm. Greylisting (server weigert tijdelijk om legitieme afzenders door spammers te onderscheiden), mailserver met issues, of TLS-fallback-problemen.
• Negatieve delay — kan voorkomen bij servers met verkeerde clock. Niet direct verdacht maar wel rommelig — een goed-onderhouden mailserver heeft NTP-gesynchroniseerde tijd.

Privacy: hoe werkt dit echt zonder server?

Een mail-header bevat gevoelige informatie: namen, e-mailadressen, IP's van de afzender, soms interne server-naamgeving. Verstandig om die niet zomaar naar een onbekende online tool te plakken. Daarom werkt deze tool 100% client-side:

• De pagina laadt JavaScript die alle parsing-logica bevat (tools.js — broncode publiek toegankelijk)
• Wanneer je op "Analyseer" klikt: de browser parseert je headers lokaal in JavaScript
• De resultaten worden in je eigen DOM gerenderd, zonder tussenstop bij een server
• Geen fetch(), geen XMLHttpRequest, geen analytics-tracking specifiek voor deze tool

Verifiëren kan je zelf: open browser-devtools (F12 of Cmd+Option+I), tab "Network", clear, plak headers, klik analyseer. Je ziet géén netwerk-request naar wpts.nl gaan tijdens de analyse — alle verkeer is van je browser naar zichzelf.

Veelgestelde vragen

Wordt mijn email-header opgeslagen of naar een server gestuurd?

Nee. De tool draait 100% in je browser via JavaScript. Headers worden geparseerd op je eigen apparaat en nergens opgeslagen, gelogd of verstuurd. Je kunt het zelf verifiëren door je browser-devtools te openen en de Network-tab te bekijken — je ziet geen requests bij analyseren.

Mijn DKIM zegt PASS maar mail belandt toch in spam — hoe kan dat?

DKIM PASS bewijst alleen dat de email authentiek is en niet onderweg gewijzigd. Spam-filtering kijkt verder naar reputatie van het verzendend IP, content (links, woorden, attachments), domein-leeftijd, gedrag van de mailserver en historische ontvanger-feedback. Een bekende phishing-domein met perfecte DKIM komt nog steeds in spam terecht.

Wat moet ik doen bij DMARC FAIL?

DMARC FAIL betekent dat het From-domein niet matcht met de SPF- of DKIM-domeinen (alignment-fout) — vaak teken dat een derde partij namens jou mailt zonder dat hun infrastructuur in jouw SPF/DKIM staat. Bekijk de From-header en de SPF-sender en DKIM-d (signing domain). Komen die niet overeen met je hoofd-domein, dan moet die 3rd party server worden toegevoegd aan je SPF of DKIM-keys. Volledige uitleg: SPF, DKIM en DMARC instellen.

Werkt deze tool ook voor mijn eigen verzonden mails?

Ja. Stuur een test-email naar jezelf vanaf je domein, open de ontvangen versie en analyseer de headers. Zo zie je hoe ontvangers (Gmail, Outlook) jouw mail-authenticatie beoordelen. Verstuur naar verschillende providers (Gmail, Outlook, je eigen domein) om te zien of resultaten consistent zijn — soms passeert mail bij Gmail wel maar faalt bij Outlook of andersom.

Wat zijn typische delays tussen hops?

Normale aflevering: 0-3 seconden per hop. Tot 30 seconden komt voor bij internationale verzendingen of belaste mailservers. Boven 1 minuut wordt verdacht — vaak teken dat een mailserver in een queue zit, op spam-filter-checks wacht, of door een TLS-handshake-issue vertraagd raakt. Meer dan 5 minuten = greylisting of een echte storing.