Anti-spam

Analyser e-mail-overskrifter: Sådan finder du kilder til spam hurtigt og pålideligt

webhosting
12. august 2025
8:35 om morgenen

En E-mail-overskrift hjælper dig med at genkende phishing-mails og botnet-spam, selv før de er åbnet. Ved at analysere overskrifter kan du pålideligt spore afsenderen, godkendelsestjek, leveringskæde og manipulationer.

Centrale punkter

Information om overskrift give tekniske detaljer om hver meddelelses oprindelse og levering.
SPF, DKIM og DMARC-værdier viser, om en mail er legitim eller er blevet manipuleret.
IP-adresser og Received lines hjælper med at finde den oprindelige server.
Værktøjer til headeranalyse gør det lettere at evaluere og visualisere vigtige funktioner.
Spam-indikatorer såsom X-Spam-status og BCL-værdier indikerer uønsket eller farligt indhold.

Hvad er en e-mail-header?

Ud over den synlige tekst indeholder hver e-mail også en usynlig del - e-mailhovedet. Den består af tekniske oplysninger, der er gemt linje for linje. Den viser blandt andet, hvilken server beskeden blev sendt via, hvornår den blev sendt, og hvordan modtagerens mailserver kontrollerede den. Den indeholder også godkendelsesresultater og sikkerhedsoplysninger.

En komplet header begynder normalt med den første Modtaget-linje - dette dokumenterer kronologisk hver node i leveringskæden. Jo tidligere det vises, jo tættere er det på den oprindelige kilde. Der er også kontroldata som f.eks. Retursti, Besked-id, Resultater af autentificering eller X-Spam-status.

Header-felter med sikkerhedsrelevans

Nogle felter i en e-mail-header er særligt nyttige, hvis man vil finde ud af, hvor en spam-mail kommer fra. Disse omfatter den komplette Modtaget kædemen også områder som Resultater af autentificering og X-overskrifter.

SPF-, DKIM- og DMARC-data sendes også i headeren - f.eks. sådan her:

Felt	Beskrivelse af	Eksempel
Resultater af autentificering	Resultat af domænegodkendelsen	spf=pass; dkim=pass; dmarc=fail
Modtaget	Modtagelseshistorik gennem SMTP-hops	fra mail.example.com (IP) af mx.google.com
X-Spam-status	Resultat af spamfiltertjekket	JA, score=9.1 krævet=5.0

Identificer spamkilder baseret på de modtagne linjer

Die Modtagne linjer giver oplysninger om, hvilke serverstationer en besked blev transporteret via. Den sidste Received-linje står for den oprindelige server - dvs. den virkelige kilde. Spamafsendere bruger ofte manipulerede headere eller loops til at skjule stien.

Du bør først se på den ældste modtagne linje og tjekke, om den indeholder usædvanlige IP-adresser, servernavne eller usædvanlige tidsafvigelser. Ved at se på GeoIP-mapping eller DNS-opløsning kan du finde ud af, hvor denne server er placeret, og om den tilhører en legitim udbyder - eller om den er registreret i kendte spamnetværk. I kritiske tilfælde kan en sammenligning med databaser som Spamhaus.

Genkendelse af manipulerede afsenderoplysninger

Spammere manipulerer ofte med adressefeltet ("From:"), svarfeltet eller returvejen. Det får afsenderen til at tro, at mailen kommer fra en troværdig partner eller kunde. Overskrifterne afslører dog meget om den teknisk ansvarlige mailserver - der er modsigelser her.

Hvis "From:" og "Return-Path:" ikke stemmer overens, bør du være mistænksom. Et Reply-To-felt, der fører til et helt andet domæne, indikerer også forsøg på bedrag. Nogle phishing-mails indeholder endda falske DKIM-signaturer eller angiveligt gyldige domænenavne - men headeren viser den faktiske rute gennem netværket.

Læs Auth-tjek ud: SPF, DKIM og DMARC

For at beskytte mod spoofing og bot-mail bruger de fleste mailservere autentificeringsprocedurer. Disse genererer f.eks. maskinlæsbare kontrolresultater:

SPF: Var afsenderen autoriseret til at sende via denne IP?
DKIM: Passer kryptonøglen til det afsendende domæne?
DMARC: Hænger fra-adresse og autentificering sammen?

Du kan finde disse oplysninger i linjen "Authentication-Results:". De ser forskellige ud afhængigt af udbyderen, men indeholder ofte SPF=pass, dkim=fail eller dmarc=pass. Hvis DMARC f.eks. fejler, men mailen ser ud til at være korrekt, bør du analysere headeren yderligere eller udføre et ekstra DNS-tjek. I sådanne tilfælde giver det mening at se nærmere på DMARC-rapporter - understøttet af værktøjer som f.eks. SecureNet til DMARC-rapporter.

Spam-evaluering af filtre: X-Spam-status og BCL

Mange e-mails indeholder ekstra felter, som er blevet tilføjet af et internt spamfilter. Disse felter indeholder en score eller status, der angiver, hvor sandsynligt det er, at indholdet er uønsket. Disse er særligt almindelige:

X-Spam status: Viser, om meddelelsen overskrider tærsklen for det interne filter (f.eks. JA, score = 9,3).

X-Spam-niveau: Indeholder et antal stjerner ("*"), som repræsenterer en tærskelværdi.

BCL-værdi: Microsoft-familiens mails indeholder Business Category Level - en risikofaktor mellem 0 og 9.

Hvis disse værdier er meget høje, bør du aktivt begynde at spore og undersøge afsenderen. Du kan ofte finde vigtige oplysninger om konfigurationen og scoren ved hjælp af analyseværktøjer eller ved at sammenligne med andre headere fra samme kanal.

Analyseværktøjer til evaluering af overskrifter

Det kan være tidskrævende at tjekke headers manuelt. Derfor tilbyder mange værktøjer grafisk analyse, viser mellemliggende trin i farver eller tillader direkte IP-tjek. Populære løsninger omfatter

Microsoft Message Header Analyser (Office365-kompatibel)
Google Header Analyser (til Gmail)
Mailheader.net (cross-platform, open source)

Disse værktøjer lægger eksplicit vægt på SPF-, DKIM- eller DMARC-evalueringer. IP-DNS mappings, forkerte konfigurationer eller ufuldstændige kæder kan også hurtigt genkendes med et enkelt blik. Jeg kan godt lide at bruge dem, når jeg analyserer videresendelse eller indgående bulkmails.

Logdata som supplerende kilde: Analyse af mailservere

Ud over e-mailens header giver mailserverens logfiler også yderligere oplysninger. Her kan du nemt identificere korrelerende meddelelsesstrømme, forkerte leverancer eller tilbagevendende afsendere. Detaljerede logfiler er især nyttige i virksomhedsmiljøer med Postfix, Exim eller Microsoft Exchange.

Kombinationen af overskrifter og logfiler giver et mere komplet billede. Jeg leder f.eks. efter mistænkelige besked-id-kæder eller IP-domæner, der gentagne gange leverer forkerte SPF-data. Den tekniske analyse kan organiseres effektivt - for eksempel med Analyser af Postfix-logfiler og automatiserede bounces.

Klassificering af lovlige transportruter

Ikke alle overskrifter, der ser usædvanlige ud, er automatisk mistænkelige. En tredjepartstjeneste kan have været involveret: Nyhedsbrevstjenester, CRM-systemer eller interne gateways ændrer ofte DKIM/SPF-poster. Konteksten er afgørende her.

Du bør regelmæssigt gemme referenceoverskrifter fra legitime afsendere. På den måde kan du straks se forskellen i usædvanlige tilfælde. Det øger hastigheden af routing-diagnostik eller kritiske leveringsfejl.

Påvis pålideligt kilder til spam ved at analysere overskrifter

E-mail-overskrifter indeholder mange tekniske spor, som giver dig mulighed for at genkende misbrug og uønsket indhold på en meget mere målrettet måde. Du kan afsløre skjulte serverkæder, godkendelsesfejl eller målrettede forfalskninger. Det er meget mere effektivt end et rent indholdsbaseret tjek.

Ved regelmæssigt at tjekke mistænkelige overskrifter og dokumentere afvigelser kan du forbedre dine leveringsrater og sikre din mail-routing. Du kan også beskytte din infrastruktur mod listeindtastninger og eskalering af misbrug.

Avancerede procedurer til komplekse tilfælde

Især i større virksomhedsmiljøer eller med intensiv e-mailtrafik er det ofte tilfældet, at der optræder flere videresendelses- og mellemstationer i de modtagne linjer. Virksomheder sender f.eks. via eksterne mailinglisteudbydere eller bruger centraliserede antispam-apparater. Det resulterer i yderligere Received- og X-headerfelter, som kan virke forvirrende ved første øjekast. I sådanne situationer kan det være nyttigt at tegne detaljerede diagrammer eller generere en automatiseret liste ved hjælp af header-analyseværktøjer.

Hvis du ofte har at gøre med komplekse overskrifter, kan du også lave en tjekliste. Den indeholder de typiske elementer og deres forventede indhold. På listen skal du angive, hvilke IP-adresser der er gemt som autoriserede kildeservere i din SPF-zone, og hvilke DKIM-selektorer der skal vises i e-mails. Så snart du finder afvigelser, er det en god indikator for en mulig manipulation af headeren.

Sammenligning med referenceoverskrifter: Hav eksempler på legitime e-mails fra dit domæne klar.
Regelmæssig vedligeholdelse af dine DNS-poster: Ændrede IP-strukturer bør altid afspejles omgående i SPF og DMARC.
Hensyn til speditører: Tjek, om ARC (Authenticated Received Chain) bruges til at sende autentificeringsoplysninger videre.

Meddelelses-ID og dets betydning

Feltet er også afslørende Besked-id. Hver e-mail, der sendes, tildeles en unik identifikator, når den oprettes eller transporteres. Nogle spamkampagner bruger dog generiske eller helt tilfældige meddelelses-id'er, som ikke kan matches med afsenderen eller indholdet. Duplikerede meddelelses-id'er eller påfaldende enkle id'er kan også indikere automatiserede spamværktøjer.

I nogle tilfælde kan man bruge logfiler eller arkivsystemer til at finde lignende besked-id'er og dermed genkende mønstre. På den måde kan man hurtigere opdage serialiserede phishing-kampagner. Hvis meddelelses-ID'et heller ikke stemmer overens med domænet i "Fra:"-feltet, øger det sandsynligheden for, at afsenderoplysningerne er blevet forfalsket her.

Supplerende sikkerhedsstandarder: ARC og BIMI

Authenticated Received Chain (ARC) kan især bruges til komplekse mailstrømme med videresendelse eller mailinglister. Den gør det muligt at videregive godkendelsesresultater på tværs af mellemstationer, så modtagerens mailserver bedre kan bedømme, om en mail er legitim. Du kan genkende dette i headeren på linjer som ARC-forsegling eller ARC-godkendelsesresultater. Hvis disse headere håndteres korrekt, forbliver en original DKIM-signatur gyldig, selv efter videresendelse.

Der er også nyere initiativer som BIMI (Brand Indicators for Message Identification), som kan vise afsenderens logo, hvis DMARC er implementeret korrekt. Selvom BIMI ikke er en direkte del af e-mailens header i forhold til leveringskæden, fungerer den kun pålideligt, hvis headerdata som DKIM og DMARC kan analyseres korrekt. På den måde giver BIMI en visuel indikation af, om en e-mail rent faktisk kommer fra brandets ejer, eller om det er en forfalskning.

Typiske fejlkonfigurationer og hvordan man finder dem

Ikke alle iøjnefaldende overskrifter er resultatet af ondsindede hensigter. Ofte ligger der simple konfigurationsfejl bag. For eksempel kan din egen mailserver utilsigtet levere forkerte SPF- eller DKIM-poster, hvis du ikke har justeret DNS korrekt, da du skiftede host. Poster med "softfail" i stedet for "pass" indikerer også nogle gange, at afsender-IP'en ikke er inkluderet i SPF-posten.

Mangler DKIM-signatur: Signeringstjenester er ved et uheld ikke aktiveret eller forkert konfigureret.
Upassende IP'er i SPF-posten: Nye eller slettede IP'er opdateres ikke.
Glemte underdomæner: Subdomæner bliver let overset, især i større organisationer, så der ikke indtastes en korrekt SPF-post der.

Hvis du bliver ved med at støde på den samme fejlkonfiguration under headertjekket, bør du kontrollere afsenderens DNS-post og få rettet eventuelle skrivefejl. Det vil reducere antallet af falske positiver for legitime e-mails og samtidig sikre et effektivt spamforsvar.

Overvågning og svartider

En effektiv antispam-strategi kræver, at du hurtigt kan genkende iøjnefaldende e-mails og reagere på dem. Afhængigt af hvor stort dit netværk er, eller hvor mange e-mails du modtager hver dag, kan det betale sig at automatisere. Mange virksomheder opsætter SIEM- eller loghåndteringssystemer, som automatisk scanner e-mail-overskrifter og tjekker for trusler. Der er defineret visse tærskelværdier, over hvilke en hændelse rapporteres.

En anden nyttig foranstaltning er regelmæssig træning af medarbejdere, der arbejder med kundesupport eller i IT-teamet. De bør vide, hvordan de genkender de værste spam-indikatorer i headeren med det samme. På den måde kan man forhindre, at en kritisk e-mail bliver liggende for længe i systemet, før den bliver identificeret som en trussel. Når en hændelse er blevet genkendt, understøtter en klar incident response-rutine den videre efterforskning. Det er her, de værktøjer og teknikker, der er beskrevet i artiklen, kommer i spil igen.

Integration af header-analyse i den overordnede sikkerhedsproces

En grundig header-analyse bør aldrig udføres isoleret. Man kan kombinere den med andre sikkerhedsforanstaltninger for at skabe en holistisk forsvarskæde. Når man f.eks. har fundet en mistænkelig IP-adresse, tjekker man ikke kun SPF-statussen, men udfører også en antivirus- og linkanalyse i meddelelsens brødtekst. Ægte botnet-spambølger er ofte baseret på flere angrebsvinkler, herunder manipulerede vedhæftede filer, forfalskede links eller trojanske heste.

Hvis du har en standardiseret sikkerhedsstack, kan du også kombinere resultaterne fra header-analysen med oplysninger fra firewalls, endpoint-sikkerhed eller webserverlogs. En IP, der i øjeblikket forårsager mislykkede logins eller DDoS-angreb for flere tjenester, er særligt mistænkelig, hvis den optræder i modtagne e-mail-linjer på samme tid. Dette giver dig mulighed for at opnå en betydeligt hurtigere responstid og en omfattende sikkerhedsvurdering.

Bedste praksis for effektiv evaluering af overskrifter

For at få succes på lang sigt er det en god idé at følge nogle grundlæggende principper, når man analyserer overskrifter. Disse omfatter

Gå systematisk til værks: Arbejd i henhold til en defineret rækkefølge, f.eks. modtagne linjer først, derefter godkendelsesresultater, efterfulgt af X-overskrifter.
Opdater regelmæssigt: Hold vidensbaser og referenceoversigter for dine vigtigste kommunikationspartnere opdaterede.
Brug automatiserede værktøjer: Nogle ting kan gøres hurtigere og mere sikkert ved hjælp af specialiserede analyseværktøjer - især i miljøer med store mængder.
Bæredygtig dokumentation: Enhver uregelmæssighed i headeren kan være en del af et større mønster. Brug interne billetter eller logfiler til at håndtere hændelser på en sporbar måde.

Især i teams er det en god idé at have en vidensdatabase og samle specifikke e-mail-eksempler - inklusive overskrifter, godkendelsesresultater og et kort resumé af analysen. På den måde kan selv nye kolleger hurtigt lære, hvad der er vigtigt, når man analyserer en mistænkelig e-mail.

Fælles fordele for afsender og modtager

En ren og sporbar e-mail-infrastruktur er ikke kun vigtig for modtagerne, men også for dig som afsender. Alle, der sender professionelle nyhedsbreve eller transaktionsmails, skal sikre, at alle godkendelsesmekanismer er konfigureret korrekt. Ellers kan e-mails utilsigtet ende i spammappen. En korrekt SPF-post, gyldige DKIM-signaturer og en passende DMARC-politik sikrer, at velrenommerede afsendere er umiddelbart genkendelige og mindre tilbøjelige til at blive fanget i tvivlsomme filtre.

Modtagerne nyder til gengæld godt af tydeligt synlige ruter og godkendelsesresultater, da de meget hurtigere kan opdage potentielle angreb eller forsøg på forfalskning. Dette resulterer i en gennemsigtig e-mailudveksling på begge sider, hvilket skaber tillid og minimerer angrebsflader.

Sammenfatning

Header-analyse er en af de vigtigste teknikker til at kontrollere e-mailtrafik og genkende spam- eller phishing-angreb, før de gør skade. Ved at se på modtagne kæder, godkendelseskontroller (SPF, DKIM, DMARC) og specifikt indsatte felter som X-Spam-Status eller BCL-værdier kan du afsløre skjulte tricks og målrettede forsøg på bedrag. I komplekse miljøer hjælper det at gå systematisk til værks, vedligeholde referenceheaders og dokumentere afvigelser præcist. Samtidig er det værd at kombinere værktøjer og loganalyser for at opnå pålidelige resultater.

De, der regelmæssigt analyserer e-mail-headere og håndterer de mønstre, de afdækker, får ikke kun større sikkerhed og lavere spamfrekvens, men forbedrer også deres egen leveringsrate. En struktureret tilgang, de rigtige værktøjer og et solidt fundament af viden om DNS-poster, mailserveradfærd og fiaskoagtige konfigurationer er nøglen til fejlfri og pålidelig mailtrafik.

Aktuelle artikler

Moderne webserver i datacenter med WooCommerce-ydelsesoptimering symboliseret

Wordpress

Hvorfor WooCommerce er en særlig belastning for WordPress-hosting: Optimeringsguide til hurtige onlinebutikker

Find ud af, hvorfor woocommerce performance hosting er særligt krævende, og hvordan du effektivt kan gøre din wordpress shop langsommere med gennemprøvede optimeringsstrategier.

13. januar 2026 Ingen kommentarer

Wordpress

WordPress Heartbeat API: Fordele, risici og konsekvenser for ydeevnen

WordPress Heartbeat API forklaret: Fordele som autosave, risici for wp-backend-belastning og tips til optimering af WordPress-ydelse.

12. januar 2026 Ingen kommentarer

Wordpress

WordPress autoload: Hvorfor wp_options gør dit site langsommere

WordPress autoload-data overbelaster wp_options og gør dit website langsommere. Lær, hvordan du rydder op i **wordpress autoload** og øger wp_options' ydeevne.

12. januar 2026 Ingen kommentarer