无论何时你收到一封电子邮件，它都比你看到的要多得多。虽然你通常只注意邮件的发件人地址、主题行和正文，但每封邮件的“幕后”都有更多的信息，可以为你提供丰富的附加信息。

为什么要看邮件头呢？

这是一个很好的问题。在大多数情况下，你真的不需要这样做，除非：

• 您怀疑电子邮件是网络钓鱼或欺骗
• 您想查看电子邮件路径上的路由信息
• 你是个好奇的怪人

不管你的原因是什么，阅读邮件标题其实是很容易的，而且会很有启发性。

文章注：对于我们的截图和数据，我们将使用Gmail，但实际上每个其他邮件客户端也应该提供相同的信息。

查看电子邮件标题

在Gmail中，查看电子邮件。对于这个例子，我们将使用下面的电子邮件。

然后单击右上角的箭头并选择“显示原始”。

结果窗口将有纯文本格式的电子邮件标题数据。

注意：在我下面显示的所有邮件标题数据中，我已将我的Gmail地址改为显示为[email protected]以及我的外部电子邮件地址显示为[email protected]以及[email protected]以及屏蔽我的电子邮件服务器的IP地址。

交付至：[email protected]收到：by 10.60.14.3，SMTP id l3csp18666oec；Tue，2012年3月6日08:30:51-0800（PST）接收时间：by 10.68.125.129，SMTP id mq1mr1963003pbb.21.1331051451044；Tue，2012年3月6日08:30:51-0800（PST）返回路径：&lt；[email protected]&gt；收到：来自exprod7og119。ob**tp.com网站（exprod7og119。ob**tp.com网站. [64.18.2.16]）mx.google.comSMTP id为l7si25161491pbd.80.2012.03.06.08.30.49；周二，2012年3月6日08:30:50-0800（PST）收到SPF:中性(谷歌网站：64.18.2.16的域的最佳猜测记录既不允许也不拒绝[email protected])客户端ip=64.18.2.16；身份验证结果：mx.google.com; spf=中性(谷歌网站：64.18.2.16的域的最佳猜测记录既不允许也不拒绝[email protected]) **tp.mail=jfaulkner@收到externalemail.com：从mail.externalemail.com([三十、 XXX.XXX.XXX]）（使用TLSv1）由exprod7ob119。postini.com网站（[64.18.6.12]），SMTPID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]；2012年3月6日星期二08:30:50 PST接收时间：从MYSERVER.MYSERVER.local（[fe80:：a805:c335:8c71:cdb3]）按myserver.myserver.local（[fe80:：a805:c335:8c71:cdb3%11]）与mapi；周二，2012年3月6日11:30:48-0500发件人：Jason Faulkner&lt；[email protected]&gt；收件人: “[email protected]” &lt；[email protected]&gt；日期：周二，2012年3月6日11:30:48-0500主题：这是一个合法的电子邮件线程主题：这是一个合法的电子邮件线程索引：acz7tnuykzwwcruq+++QVd6awhl+Q==邮件ID:&lt；682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.MYSERVER.local&gt；接受语言：en USContent语言：en USX MS Has-附件：X-MS-TNEF-相关器：acceptlanguage:en u内容类型：multipart/alternative；boundary=“\u 000\u 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh”MIME版本：1.0

当你阅读邮件标题时，数据是按时间倒序排列的，这意味着顶部的信息是最近的事件。因此，如果你想追踪电子邮件从发件人到收件人，从底部开始。检查这封邮件的标题，我们可以看到几个东西。

这里我们看到由发送客户端生成的信息。在本例中，电子邮件是从Outlook发送的，因此这是Outlook添加的元数据。

From: Jason Faulkner <[email protected]> To: “[email protected]” <[email protected]> Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

下一部分将跟踪电子邮件从发送服务器到目标服务器的路径。请记住，这些步骤（或啤酒花）是按相反的时间顺序列出的。我们在每个跃点旁边放置了相应的数字来说明顺序。请注意，每个跃点都显示有关IP地址和相应的反向DNS名称的详细信息。

Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: <[email protected]> [4] Received: from exprod7og119.ob**tp.com (exprod7og119.ob**tp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) **[email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500

虽然这对于一封合法的电子邮件来说是很平常的，但是当涉及到检查垃圾邮件或网络钓鱼邮件时，这些信息会很有说服力。

检查网络钓鱼电子邮件–示例1

对于我们的第一个网络钓鱼示例，我们将检查一封显然是网络钓鱼尝试的电子邮件。在这种情况下，我们可以简单地通过视觉指示器将此消息标识为欺诈，但实际上，我们将查看标题中的警告标志。

交付至：[email protected]收到：by 10.60.14.3，SMTP id l3csp12958oec；Mon，2012年3月5日23:11:29-0800（PST）接收时间：by 10.236.46.164，SMTP id r24mr7411623yhb.101.1331017888982；Mon，2012年3月5日23:11:28-0800（PST）返回路径：&lt；[email protected]&gt；已收到：从ms.externalemail.com(ms.externalemail.com. [三十、 XXX.XXX.XXX]）由mx.google.comESMTP id t19si8451178ani.110.2012.03.05.23.11.28；2012年3月5日星期一23:11:28-0800（PST）收到SPF:失败(谷歌网站：的域[email protected]不指定三十、 XXX.XXX.XXX作为允许的发送方）客户端ip=三十、 XXX.XXX.XXX；身份验证结果：mx.google.com; spf=硬失效(谷歌网站：的域[email protected]不指定三十、 XXX.XXX.XXX作为允许的发送方）**tp.mail=安全警报@verifybyvisa.com已收到：带MailEnable邮局连接器；周二，2012年3月6日02:11:20-0500接收时间：从邮箱：mail.lovingtour.com（[211.166.9.218]）ms.externalemail.com使用MailEnable ESMTP；星期二，2012年3月6日02:11:10-0500收到：来自用户（[118.142.76.58]）邮箱：mail.lovingtour.com；2012年3月5日星期一21:38:11+0800消息ID:&lt；[email protected]&gt；回复: &lt；[email protected]&gt；来自: “[email protected]”&lt；[email protected]&gt；主题：通知日期：周一，2012年3月5日21:20:57+0800时间版本：1.0内容类型：multipart/mixed；boundary=“-->=\u NextPart\u 000\u 0055\u 01C2A9A6.1C1757C0〃X优先级：3X MSMail优先级：NormalX Mailer:Microsoft Outlook Express 6.00.2600.0000X-MimeOLE:Produced By Microsoft MimeOLE V6.00.2600.0000X-ME-Bayesian:0.000000

第一个红旗在客户机信息区域。注意这里添加的元数据引用了outlookexpress。Visa不太可能落后于时代，以至于有人用12年前的电子邮件客户端手动发送电子邮件。

Reply-To: <[email protected]> From: “[email protected]”<[email protected]> Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”—-=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000

现在检查电子邮件路由中的第一个跃点发现发送者位于IP地址118.142.76.58，他们的电子邮件通过邮件服务器转发邮箱：mail.lovingtour.com.

Received: from User ([118.142.76.58]) by mail.lovingtour.com ; Mon, 5 Mar 2012 21:38:11 +0800

使用NILSOFT的IPNETFILE实用工具查找IP信息，我们可以看到发送者位于香港，邮件服务器位于中国。

不用说这有点可疑。

其余的电子邮件跳转在本例中并不是真正相关的，因为它们显示了在最终交付之前，电子邮件在合法的服务器流量上来回跳转。

检查网络钓鱼电子邮件–示例2

在这个例子中，我们的网络钓鱼邮件更具说服力。这里有一些视觉指标，如果你看得够仔细，但再次为本文的目的，我们将限制我们的调查电子邮件头。

交付至：[email protected]收到：by 10.60.14.3，SMTP id l3csp15619oec；周二，2012年3月6日04:27:20-0800（PST）接收：by 10.236.170.165，SMTP id p25mr8672800yhl.123.1331036839870；周二，2012年3月6日04:27:19-0800（PST）返回路径：&lt；[email protected]&gt；已收到：从ms.externalemail.com(ms.externalemail.com. [三十、 XXX.XXX.XXX]）由mx.google.comESMTP id o2si20048188yhn.34.2012.03.06.04.27.19；周二，2012年3月6日04:27:19-0800（PST）收到SPF:失败(谷歌网站：的域[email protected]不指定三十、 XXX.XXX.XXX作为允许的发送方）客户端ip=三十、 XXX.XXX.XXX；身份验证结果：mx.google.com; spf=硬失效(谷歌网站：的域[email protected]不指定三十、 XXX.XXX.XXX作为允许的发送方）**tp.mail=安全@intuit.com收到：使用MailEnable邮局连接器；周二，2012年3月6日07:27:13-0500接收时间：从动态池-xxx.hcm.fpt公司.vn（[118.68.152.212]）由ms.externalemail.com使用MailEnable ESMTP；星期二，2012年3月6日07:27:08-0500收到：来自apacheintuit.com网站带本地（Exim 4.67）（信封来自&lt；[email protected]&gt；)编号：GJMV8N-8BERQW-93&lt；[email protected]&gt；；2012年3月6日星期二19:27:05+0700收件人：&lt；[email protected]&gt；主题：你的Intuit.com网站invoice.X-PHP-Script文件：intuit.com/sendmail.php用于118.68.152.212，来自：“INTUIT INC.”&lt；[email protected]&gt；X发件人“INTUIT公司”&lt；[email protected]&gt；X-Mailer：PHPX Priority:1MIME Version:1.0内容类型：multipart/alternative；boundary=“----03060500702080404010506”消息Id:&lt；[email protected]&gt；日期：2012年3月6日星期二19:27:05+0700X ME:0.000000

在本例中，没有使用邮件客户端应用程序，而是使用源IP地址为118.68.152.212的PHP脚本。

To: <[email protected]> Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” <[email protected]> X-Sender: “INTUIT INC.” <[email protected]> X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”————03060500702080404010506″ Message-Id: <[email protected]> Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000

然而，当我们看第一个电子邮件跳转它似乎是合法的，因为发送服务器的域名匹配的电子邮件地址。不过，请注意这一点，因为垃圾邮件发送者很容易为其服务器命名”intuit.com网站”.

Received: from apache by intuit.com with local (Exim 4.67) (envelope-from <[email protected]>) id GJMV8N-8BERQW-93 for <[email protected]>; Tue, 6 Mar 2012 19:27:05 +0700

审视下一步会使这座纸牌屋摇摇欲坠。您可以看到第二个跃点（由合法的电子邮件服务器接收）将发送服务器解析回域“动态池”-xxx.hcm.fpt公司.vn“，不是”intuit.com网站“与PHP脚本中指示的IP地址相同。

Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500

查看IP地址信息确认了怀疑，因为邮件服务器的位置解析回越南。

虽然这个例子稍微聪明一点，但只要稍加调查，就可以看出欺诈行为的曝光速度有多快。

结论

虽然查看邮件标题可能不是您日常需要的一部分，但在某些情况下，邮件标题中包含的信息可能非常有价值。如上所示，您可以很容易地识别伪装成非发件人的发件人。对于一个执行得非常好的骗局来说，如果视觉线索令人信服的话，模仿实际的邮件服务器是非常困难的（如果不是不可能的话），并且查看邮件头中的信息可以很快发现任何骗局。

链接

从Nirsoft下载IPNetInfo