你能在郵件頭上找到什麼？

無論何時你收到一封電子郵件，它都比你看到的要多得多。雖然你通常只注意郵件的發件人地址、主題行和正文，但每封郵件的“幕後”都有更多的資訊，可以為你提供豐富的附加資訊。...

無論何時你收到一封電子郵件，它都比你看到的要多得多。雖然你通常只注意郵件的發件人地址、主題行和正文，但每封郵件的“幕後”都有更多的資訊，可以為你提供豐富的附加資訊。

為什麼要看郵件頭呢？

這是一個很好的問題。在大多數情況下，你真的不需要這樣做，除非：

您懷疑電子郵件是網路釣魚或欺騙
您想檢視電子郵件路徑上的路由資訊
你是個好奇的怪人

不管你的原因是什麼，閱讀郵件標題其實是很容易的，而且會很有啟發性。

文章注：對於我們的截圖和資料，我們將使用Gmail，但實際上每個其他郵件客戶端也應該提供相同的資訊。

檢視電子郵件標題

在Gmail中，檢視電子郵件。對於這個例子，我們將使用下面的電子郵件。

然後單擊右上角的箭頭並選擇“顯示原始”。

結果視窗將有純文字格式的電子郵件標題資料。

注意：在我下面顯示的所有郵件標題資料中，我已將我的Gmail地址改為顯示為[email protected]以及我的外部電子郵件地址顯示為[email protected]以及[email protected]以及遮蔽我的電子郵件伺服器的IP地址。

交付至：[email protected]收到：by 10.60.14.3，SMTP id l3csp18666oec；Tue，2012年3月6日08:30:51-0800（PST）接收時間：by 10.68.125.129，SMTP id mq1mr1963003pbb.21.1331051451044；Tue，2012年3月6日08:30:51-0800（PST）返回路徑：&lt；[email protected]&gt；收到：來自exprod7og119。ob**tp.com網站（exprod7og119。ob**tp.com網站. [64.18.2.16]）mx.google.comSMTP id為l7si25161491pbd.80.2012.03.06.08.30.49；週二，2012年3月6日08:30:50-0800（PST）收到SPF:中性(谷歌網站：64.18.2.16的域的最佳猜測記錄既不允許也不拒絕[email protected])客戶端ip=64.18.2.16；身份驗證結果：mx.google.com; spf=中性(谷歌網站：64.18.2.16的域的最佳猜測記錄既不允許也不拒絕[email protected]) **tp.mail=jfaulkner@收到externalemail.com：從mail.externalemail.com([三十、 XXX.XXX.XXX]）（使用TLSv1）由exprod7ob119。postini.com網站（[64.18.6.12]），SMTPID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]；2012年3月6日星期二08:30:50 PST接收時間：從MYSERVER.MYSERVER.local（[fe80:：a805:c335:8c71:cdb3]）按myserver.myserver.local（[fe80:：a805:c335:8c71:cdb3%11]）與mapi；週二，2012年3月6日11:30:48-0500發件人：Jason Faulkner&lt；[email protected]&gt；收件人: “[email protected]” &lt；[email protected]&gt；日期：週二，2012年3月6日11:30:48-0500主題：這是一個合法的電子郵件執行緒主題：這是一個合法的電子郵件執行緒索引：acz7tnuykzwwcruq+++QVd6awhl+Q==郵件ID:&lt；682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.MYSERVER.local&gt；接受語言：en USContent語言：en USX MS Has-附件：X-MS-TNEF-相關器：acceptlanguage:en u內容型別：multipart/alternative；boundary=“\u 000\u 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh”MIME版本：1.0

當你閱讀郵件標題時，資料是按時間倒序排列的，這意味著頂部的資訊是最近的事件。因此，如果你想追蹤電子郵件從發件人到收件人，從底部開始。檢查這封郵件的標題，我們可以看到幾個東西。

這裡我們看到由傳送客戶端生成的資訊。在本例中，電子郵件是從Outlook傳送的，因此這是Outlook新增的元資料。

From: Jason Faulkner <[email protected]> To: “[email protected]” <[email protected]> Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

下一部分將跟蹤電子郵件從傳送伺服器到目標伺服器的路徑。請記住，這些步驟（或啤酒花）是按相反的時間順序列出的。我們在每個躍點旁邊放置了相應的數字來說明順序。請注意，每個躍點都顯示有關IP地址和相應的反向DNS名稱的詳細資訊。

Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: <[email protected]> [4] Received: from exprod7og119.ob**tp.com (exprod7og119.ob**tp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) **[email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500

雖然這對於一封合法的電子郵件來說是很平常的，但是當涉及到檢查垃圾郵件或網路釣魚郵件時，這些資訊會很有說服力。

檢查網路釣魚電子郵件–示例1

對於我們的第一個網路釣魚示例，我們將檢查一封顯然是網路釣魚嘗試的電子郵件。在這種情況下，我們可以簡單地透過視覺指示器將此訊息標識為欺詐，但實際上，我們將檢視標題中的警告標誌。

交付至：[email protected]收到：by 10.60.14.3，SMTP id l3csp12958oec；Mon，2012年3月5日23:11:29-0800（PST）接收時間：by 10.236.46.164，SMTP id r24mr7411623yhb.101.1331017888982；Mon，2012年3月5日23:11:28-0800（PST）返回路徑：&lt；[email protected]&gt；已收到：從ms.externalemail.com(ms.externalemail.com. [三十、 XXX.XXX.XXX]）由mx.google.comESMTP id t19si8451178ani.110.2012.03.05.23.11.28；2012年3月5日星期一23:11:28-0800（PST）收到SPF:失敗(谷歌網站：的域[email protected]不指定三十、 XXX.XXX.XXX作為允許的傳送方）客戶端ip=三十、 XXX.XXX.XXX；身份驗證結果：mx.google.com; spf=硬失效(谷歌網站：的域[email protected]不指定三十、 XXX.XXX.XXX作為允許的傳送方）**tp.mail=安全警報@verifybyvisa.com已收到：帶MailEnable郵局聯結器；週二，2012年3月6日02:11:20-0500接收時間：從郵箱：mail.lovingtour.com（[211.166.9.218]）ms.externalemail.com使用MailEnable ESMTP；星期二，2012年3月6日02:11:10-0500收到：來自使用者（[118.142.76.58]）郵箱：mail.lovingtour.com；2012年3月5日星期一21:38:11+0800訊息ID:&lt；[email protected]&gt；回覆: &lt；[email protected]&gt；來自: “[email protected]”&lt；[email protected]&gt；主題：通知日期：週一，2012年3月5日21:20:57+0800時間版本：1.0內容型別：multipart/mixed；boundary=“-->=\u NextPart\u 000\u 0055\u 01C2A9A6.1C1757C0〃X優先順序：3X MSMail優先順序：NormalX Mailer:Microsoft Outlook Express 6.00.2600.0000X-MimeOLE:Produced By Microsoft MimeOLE V6.00.2600.0000X-ME-Bayesian:0.000000

第一個紅旗在客戶機資訊區域。注意這裡新增的元資料引用了outlookexpress。Visa不太可能落後於時代，以至於有人用12年前的電子郵件客戶端手動傳送電子郵件。

Reply-To: <[email protected]> From: “[email protected]”<[email protected]> Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”—-=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000

現在檢查電子郵件路由中的第一個躍點發現傳送者位於IP地址118.142.76.58，他們的電子郵件透過郵件伺服器轉發郵箱：mail.lovingtour.com.

Received: from User ([118.142.76.58]) by mail.lovingtour.com ; Mon, 5 Mar 2012 21:38:11 +0800

使用NILSOFT的IPNETFILE實用工具查詢IP資訊，我們可以看到傳送者位於香港，郵件伺服器位於中國。

不用說這有點可疑。

其餘的電子郵件跳轉在本例中並不是真正相關的，因為它們顯示了在最終交付之前，電子郵件在合法的伺服器流量上來回跳轉。

檢查網路釣魚電子郵件–示例2

在這個例子中，我們的網路釣魚郵件更具說服力。這裡有一些視覺指標，如果你看得夠仔細，但再次為本文的目的，我們將限制我們的調查電子郵件頭。

交付至：[email protected]收到：by 10.60.14.3，SMTP id l3csp15619oec；週二，2012年3月6日04:27:20-0800（PST）接收：by 10.236.170.165，SMTP id p25mr8672800yhl.123.1331036839870；週二，2012年3月6日04:27:19-0800（PST）返回路徑：&lt；[email protected]&gt；已收到：從ms.externalemail.com(ms.externalemail.com. [三十、 XXX.XXX.XXX]）由mx.google.comESMTP id o2si20048188yhn.34.2012.03.06.04.27.19；週二，2012年3月6日04:27:19-0800（PST）收到SPF:失敗(谷歌網站：的域[email protected]不指定三十、 XXX.XXX.XXX作為允許的傳送方）客戶端ip=三十、 XXX.XXX.XXX；身份驗證結果：mx.google.com; spf=硬失效(谷歌網站：的域[email protected]不指定三十、 XXX.XXX.XXX作為允許的傳送方）**tp.mail=安全@intuit.com收到：使用MailEnable郵局聯結器；週二，2012年3月6日07:27:13-0500接收時間：從動態池-xxx.hcm.fpt公司.vn（[118.68.152.212]）由ms.externalemail.com使用MailEnable ESMTP；星期二，2012年3月6日07:27:08-0500收到：來自apacheintuit.com網站帶本地（Exim 4.67）（信封來自&lt；[email protected]&gt；)編號：GJMV8N-8BERQW-93&lt；[email protected]&gt；；2012年3月6日星期二19:27:05+0700收件人：&lt；[email protected]&gt；主題：你的Intuit.com網站invoice.X-PHP-Script檔案：intuit.com/sendmail.php用於118.68.152.212，來自：“INTUIT INC.”&lt；[email protected]&gt；X發件人“INTUIT公司”&lt；[email protected]&gt；X-Mailer：PHPX Priority:1MIME Version:1.0內容型別：multipart/alternative；boundary=“----03060500702080404010506”訊息Id:&lt；[email protected]&gt；日期：2012年3月6日星期二19:27:05+0700X ME:0.000000

在本例中，沒有使用郵件客戶端應用程式，而是使用源IP地址為118.68.152.212的PHP指令碼。

To: <[email protected]> Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” <[email protected]> X-Sender: “INTUIT INC.” <[email protected]> X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”————03060500702080404010506″ Message-Id: <[email protected]> Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000

然而，當我們看第一個電子郵件跳轉它似乎是合法的，因為傳送伺服器的域名匹配的電子郵件地址。不過，請注意這一點，因為垃圾郵件傳送者很容易為其伺服器命名”intuit.com網站”.

Received: from apache by intuit.com with local (Exim 4.67) (envelope-from <[email protected]>) id GJMV8N-8BERQW-93 for <[email protected]>; Tue, 6 Mar 2012 19:27:05 +0700

審視下一步會使這座紙牌屋搖搖欲墜。您可以看到第二個躍點（由合法的電子郵件伺服器接收）將傳送伺服器解析回域“動態池”-xxx.hcm.fpt公司.vn“，不是”intuit.com網站“與PHP指令碼中指示的IP地址相同。

Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

檢視IP地址資訊確認了懷疑，因為郵件伺服器的位置解析回越南。

雖然這個例子稍微聰明一點，但只要稍加調查，就可以看出欺詐行為的曝光速度有多快。

結論

雖然檢視郵件標題可能不是您日常需要的一部分，但在某些情況下，郵件標題中包含的資訊可能非常有價值。如上所示，您可以很容易地識別偽裝成非發件人的發件人。對於一個執行得非常好的騙局來說，如果視覺線索令人信服的話，模仿實際的郵件伺服器是非常困難的（如果不是不可能的話），並且檢視郵件頭中的資訊可以很快發現任何騙局。