Kijk eens op http://www.tcpiputils.com/browse/ip-address, is dat wat je zoekt?

Mogelijk kan dat als volg, bij "emailnaam@ditdomein.tld":
- start een CMD prompt
- start nslookup
- voer in:    en druk Enter
- voer in:    en druk Enter

Van het IP-adres dat je zo (meestal) verkrijgt kun je met "whois" opzoeken wie het beheert.

Of dit altijd werkt is de vraag. Als ik me niet vergis maken de universiteiten van Groningen en Utrecht gebruik van GMail, maar als je bovenstaand kunstje uithaalt krijg je (in wisselende volgorde):

Dat zijn servers van Surfdiensen (niet van Google dus). Maar het kan best dat die alleen mail aannemen en vervolgens doorzetten naar GMail.

Je kunt natuurlijk ook een mailje naar ditmailadresbestaarheusniet@ sturen en kijken wat er terugkomt (de headers bedoel ik). Als je pech hebt, hebben ze een "catch-all" ingesteld, en krijg je niets terug.

Je kunt ook zoeken op internet naar "@ditdomein.tld" - als iemand ooit iets gepost heeft, en de headers zitten er nog bij, kun je meestal ook veel achterhalen over hoe de infrastructuur in elkaar zit.

Daar hebben ze de whois database voor bedacht.

http://mxtoolbox.com/

"Is er een manier om erachter te komen welke provider(s)/host(s) er schuil gaan achter url 'eigen-domeinnaam-adres', en emailnaam@ditdomein?"

Natuurlijk. Zie bijv http://centralops.net/co/

Bedankt voor alle reacties ! Ik ga ermee aan de slag. Ook zal ik proberen de ingewikkelde instructie en taal van Eric, van " start... (slik) CMD prompt" t/m "catch-all" te ont-chinezen ;)

U begrijpt, ben zwaar onder de indruk.
mvg secubeet TS

van: secubeet TS

't was easy: via de gegeven links had ik zo de host achter de site. Bleek je ook een e-mail test (delivery) kon doen. En ja hoor, ik heb te maken met een verborgen gmailer, toch?

Via http://centralops.net/co/ > Email Dossier kreeg ik namelijk (oa) dit:

MX records:
1 aspmx.l.google.com
5 alt1.aspmx.l.google.com
5 alt2.aspmx.l.google.com
10 aspmx2.googlemail.com
10 aspmx3.googlemail.com


SMTP session:
[Resolving aspmx.l.google.com...]
[Contacting aspmx.l.google.com [108.177.10.27]...]
[Connected]
220 mx.google.com ESMTP h17si8574505oes.20 - gsmtp
EHLO mx1.validemail.com
250-mx.google.com at your service, [208.101.20.91]
250-SIZE 157286400
250-8BITMIME
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-CHUNKING
250 SMTPUTF8

Via http://www.tcpiputils.com/email-test kreeg ik idem bovengenoemde 5servers met per server check info met allerlei cijfers en letters waarvan ik niets begrijp, bijvoorbeeld :

aspmx.l.google.com replied:
220 mx.google.com ESMTP c2si19032046wma.96 - gsmtp
HELO www.tcpiputils.com
250 mx.google.com at your service (19.85 ms)
MAIL FROM: <noreply@tcpiputils.com>
250 2.1.0 OK c2si19032046wma.96 - gsmtp (14.15 ms)
RCPT TO: <NAAM@DOMEIN.NL>
250 2.1.5 OK c2si19032046wma.96 - gsmtp (186.23 ms)
QUIT
221 2.0.0 closing connection c2si19032046wma.96 - gsmtp (14.10 ms)

Sja, uit 2 regels bijdrage van Amoniem valt natuurlijk het kennisniveau niet af te leiden... Ik probeer het uit te leggen.

Als je mail stuurt naar "emailnaam@ditdomein.tld" geldt meestal dat "ditdomein.tld", zoals security.nl, niet de FQDN (Fully Qualified Domain Name, een wereldwijd unieke naam) van de bedoelde mailserver is - terwijl bijvoorbeeld www.security.nl wel de naam van een server is (lichtelijk verwarrend is dat http://security.nl/, dus "ditdomein.tld" zonder voorafgaande "www.", wel werkt).

Affijn, in DNS (Domain Name System) kun je verschillende soorten records opslaan en dus raadplegen. Enkele voorbeelden:
- Een "A" (Address) record bevat de relatie tussen een naam en een IP-adres;
- Een "MX" (Mail eXchanger) record bevat de relatie tussen een naam en een mailserver (kan opnieuw een naam opleveren, een IP-adres, of beide);
- Een "TXT" record bevat tekst;
- Een "PTR" record bevat de omgekeerde relatie van een IP-adres naar een naam. Dit zijn echter optionele records die, als ze al bestaan, onzin kunnen bevatten.

Terug naar de uitleg van "command prompt" programma's.

Als je op de Start knop drukt (mits je die nog hebt, lang leve W8 en later), en in het veld waarin je kunt tikken, invoert: zie je heel even iets voorbijflitsen (een zwart command prompt venster waarin die nslookup opdracht wordt uitgevoerd, waarna het command prompt venster meteen weer wordt gesloten; niet echt handig dus).

Handiger is het om een "permanente" command prompt (ook bekend als shell) op te starten. Dat doe je door op Start te drukken, in het invoerveld in te voeren: gevolgd door de Enter toets. In mijn (Engelstalige) Windows 7 versie verschijnt er dan een zwart venster met de volgende witte tekst:
waarbij dat laatste zwarte liggende streepje knippert, dat is cursor achter de opdrachtprompt. D.w.z. als je gaat tikken, verschijnen de letters, cijfers en tekens daar (waarbij die cursor steeds nmaar rechts opschuift, totdat je de Enter toets indrukt; dat is een teken aan het achterliggende programma (CMD.EXE) om de door jou ingevoerde instructie te interpreteren (lezen en verwerken). Daarom wordt CMD.EXE ook wel een command line interpreter genoemd.

De "lol" is dat je, vanaf die commandline, allerlei programma's kunt starten. Als je bijvoorbeeld intikt: gevolgd door de Enter toets, start WordPad (omdat het programma hierachter, vreemd genoeg, "write.exe" heet).

Je kunt ook niet-grafische (d.w.z. niet muisgestuurde) programma's opstarten, die zelf ook weer een commando-interpreter aan boord hebben - die meestal ingevoerde opdrachten totaal anders interpreteren.

Voorbeelden van dergelijke specialistische commando-interpreterers zijn nslookup, netsh en telnet (dat laatste, met MS Windows installatiemedia meegeleverde programma, wordt standaard meestal niet geïnstalleerd).

Interessant in dit kader is nslookup (feitelijk nslookup.exe, maar in zo'n venster hoef je die .exe niet te tikken; cmd zoekt naar bestanden met verschillende extensies zoals .cmd, .bat en.exe, totdat er een match is gevonden).

Met het nslookup.exe programma kun je DNS raadplegen. Als je het opstart, is standaard het A type DNS record geselecteerd. Dus als je CMD hebt gestart, en achter de command prompt intikt: en daarna de Enter toets indrukt, verschijnt er iets als:Hier zie je dat het programma "nslookup.exe" een default DNS server heeft gekozen, in dit geval mijn ADSL modem/router thuis. Door, op de plaats van het liggende streepje, in te tikken: (gevolgd door de Enter toets) wijzigen de onderste regels van het bovenstaande in:Het hoort niet uit te maken aan welke DNS server je DNS records vraagt, met een klein verschil: voor elk domein bestaan een authoritative DNS server, d.w.z. dat is de "master" die informatie waarop DNS records voor dat domein worden gepubliceerd; alle andere servers zijn slaves en die kunnen verouderde informatie gecached hebben en aan jou als antwoord geven.

Als je achter die laatste promt "security.nl" invoert, ziet dat er eruit als volgt: Doe je dat nog een keer, dan is de kans groot dat de 2 IP-adressen in de omgekeerde volgorde staan. Voor de vraag "security.nl" (i.p.v. "www.security.nl" krijg je overigens hetzelfde antwoord, maar dat had anders kunnen zijn). In elk geval is het meestal zo dat met zowel "www.domein.tld" als met "domein.tld" dezelfde server bedoeld wordt, om precies te zijn, een webserver - en geen mailserver.

Om e-mail te kunnen verzenden bestaan alternatieve DNS records, de zogenaamde MX records. MX staat daarbij voor Mail eXchanger (ontvangende mailserver in dit geval).

Om het IP-adres van een mailserver te achterhalen, tik je (nog steeds in nslookup):met het volgende, nogal stille, resultaat (ik herhaal nog even de laatste regels van de vorige vraag): Als je nu security.nl intikt, gebeurt er iets heel anders (ik herhaal nog weer even de laatste regel):
Kijk, dat is een heel ander resultaat! En een IP-adres ontbreekt... Om het IP-adres van "mx1.certifiedsecure.com" vast te stellen, moet je een A-record opvragen. Dus doen we het volgende:Zoals je ziet is dat een totaal ander IP-adres.

Wie de eigenaar of ISP is van een reeks IP-adressen, stel je vast met het "whois" commando. Standaard heeft Windows dat niet aan boord (maar je kunt een commandline-versie daarvan wel gratis downloaden bijv. vanaf https://technet.microsoft.com/en-us/sysinternals/whois.aspx).

Net als voor nslookup bestaan er internetsites waar je whois lookups mee kunt doen. Surf bijvoorbeeld naar http://whois.domaintools.com/ en voer het IP-adres in (of surf direct direct http://whois.domaintools.com/82.94.221.131).

Je zult dan zien dat genoemd IP-adres bij XS4All is geregistreerd - al sinds 25 oktober 1994...

http://whois.domaintools.com/190.93.241.205 wijst uit dat de website van security.nl bij (feitelijk via) Cloudflare wordt gehost.

Met "catch-all" wordt bedoeld dat als je email stuurt naar een niet-bestaande-gebruiker @domain.tld, deze mail toch wordt geaccepteerd en naar een speciaal account wordt doorgestuurd (meestal info@ ).

Voorbeelden van het opvragen van TXT records m.b.v. nslookup vind je in https://www.security.nl/posting/463813/Waarom+DMARC+%28%2BSPF+%2BDKIM%29.

Ik hoop dat het, met dit wel erg lange verhaal, een beetje duidelijk is geworden!

Jij doet alsof je op de een of andere manier onheus behandeld of beetgenomen bent, maar het is HEEL NORMAAL dat
mail voor een bepaald domein niet door mailservers in datzelfde domein afgehandeld wordt, maar door servers van een
of andere dienstaanbieder zoals Google of een "gewone" internet provider zoals XS4ALL ofzo.

Dat heeft niks te maken met transparantie of security.

Als een medische/psychiatrische praktijk met/over patiënten wil communiceren/heeft gecommuniceerd via Gmail is dat NIET NORMAAL en heeft ALLES te maken met transparantie en privacy, dus met SECURITY (en volgens mij ook met een mogelijke boete van AP als die praktijk deze malpractice/leak niet snel meldt bij AP ) !

van: secubeet TL

@ Eric Verstraaten Dank je voor de heldere uitleg, zelfs voor iemand met Mac! Ik neem aan exact hetzelfde in OSX gedaan kan worden in Terminal?

Blijf ik nog met twee vragen :
- als die 5 gevonden servers van google.com en googlemail.com zijn, dan gaat 't toch om verscholen whatever@gmail.com?
- als achter een adres@eigendomein een google-service schuil gaat, dan kan er enkel sprake zijn van een BETAALDE google-service? Of kan ook een derde (betaalde) partij, bijv. de host van een site, een gratis adres@gmail.com omzetten naar een adres@eigendomein?

En omdat beheerders van dergelijke systemen, onzichtbaar voor jou, toegang kunnen hebben (in opdracht van de eigenaar van die systemen, of voor eigen gewin) tot niet-versleutelde e-mails die via dergelijke systemen worden uitgewisseld, is het HEEL NORMAAL om daar eens bij stil te staan (12-04-2016, 13:27 correctie: er stond "...zijn").

In een tijd waarin de verzamelwoede van grote bedrijven geen geheim meer is, en het ene na het andere grote datalek bekend wordt, is dat zeker geen paranoïde gedrag - integendeel; dat gedrag zouden veel meer mensen moeten vertonen voordat ze op "Send" drukken.

Wat mij betreft chapeau voor de TS.

Als je niet wilt dat je informatie bekeken wordt moet je geen internet gebruiken. Dat is nooit anders geweest en ik zie
geen reden om dat op dit level (MX records) specifiek aan de orde te stellen. Immers als je wat verstuurt weet je nooit
waar dat terecht komt, of er nou Google in de MX records staat of niet. Wellicht staat er een volkomen vertrouwde
mailserver die de mail meteen forward naar een google account.

Nee..... Ze gebruiken google apps en niet gmail. Dit betekend dat de Email voor dat domain wordt gehost door de zakelijke variant van google. En dat is heel wat anders als gmail.

En google appls for work, was vroeger ook gratis aan te vragen voor gebruikers met een eigen domain. Tegenwoordig niet meer.

Ik gebruik er diverse domeinen in hangen, en ben er zeer tevreden over.

Oke ! Namens TS Thanks4info. Maar - in juridisch relevante zin - evengoed word bij de zakelijke variant de inhoud van emails gescand op interessante data om commercieel te kunnen exploiteren? En staat inhoud niet encrypted op servers van Google?



Maar jij hebt geen medische praktijk, mag ik hopen?

nslookup www.security.nl
Server: google-public-dns-a.google.com
Address: 8.8.8.8

Non-authoritative answer:
Name: www.security.nl
Addresses: 190.93.241.205
190.93.242.205

Dan in je browser naar:
http://who.is/

inetnum: 190.93.240/20
status: allocated
aut-num: N/A
owner: CloudFlare Latin America S.R.L
ownerid: CR-CLAS1-LACNIC
responsible: Matthew Prince
address: Santa Ana, Lindora, Forum II, Edificio A, Cuarto Piso, ,
address: - San Jos? -
country: CR
phone: +1 650 31398930 []

Begrijp ik nou goed uit bijdragen mbt data-opslag/verwerking www.security.nl domein en mail :

>> (onderzoek van) Erik Verstraaten : Mail gaat naar/via server XS4All?
>> (onderzoek van) Erik Verstraaten: Alle data site worden gehost/opgeslagen via Cloudflare?
>> (onderzoek van) _RON_: Alle data site(incl. uploads forum-bezoekers) opgeslagen op Costa Rica server van Cloudflare?

cloudflare.com : "CloudFlare is a free global CDN, DNS, DDoS protection & web security provider that can speed up and protect any site online"
wikipedia: "CloudFlare, Inc. is a U.S. company that provides a content delivery network and distributed domain name server services, sitting between the visitor and the ..."

Vraag: vallen alle data op security.nl , incl. geuploade comments , gehost in Costa Rica, onder US retention law ?