我如何才能知道电子邮件的真实来源？

请参阅以下诈骗示例，有人向我发送了一封电子邮件，假装是我朋友发来的，声称她被抢劫了，并向我寻求经济援助。我更改了名字——我是“比尔”，骗子向 发送了一封电子邮件[email protected]，假装是[email protected]。请注意，比尔将他的电子邮件转发给了[email protected]。

首先，在 Gmail 中，点击show original：

完整的电子邮件及其标题将打开：

Delivered-To: [email protected]
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <[email protected]>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: [email protected]
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <[email protected]>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <[email protected]>)
    id 1Uw98w-0006KI-6y
    for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <[email protected]>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: [email protected]
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: [email protected]
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <[email protected]>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

标题应按时间顺序从下往上阅读 — 最旧的在底部。途中的每个新服务器都会添加自己的消息 — 以 开头Received。例如：

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

这表示已收到来自mx.google.com的邮件。maxipes.logix.czMon, 08 Jul 2013 04:11:00 -0700 (PDT)

现在，要找到真实的邮件的发件人，您必须找到最早的受信任网关——从顶部读取标题时位于最后。让我们从查找 Bill 的邮件服务器开始。为此，查询域的 MX 记录。您可以使用在线工具，例如Mx 工具箱或者在Linux上你可以在命令行上查询它（注意真正的域名已更改为domain.com）：

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

您将看到 domain.com 的邮件服务器是maxipes.logix.cz或broucek.logix.cz。因此，最后一个（按时间顺序排列的第一个）受信任的“跳跃” — 或最后一个受信任的“接收记录”或无论您如何称呼它 — 是这个：

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <[email protected]>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

您可以相信它，因为它是由 Bill 的邮件服务器记录的domain.com。该服务器从 获得它209.86.89.64。这可能是电子邮件的真正发件人，而且通常就是真正的发件人——在本例中就是诈骗者！您可以检查这个IP是否在黑名单上。——你看，他被列入了 3 个黑名单！下面还有另一条记录：

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <[email protected]>)
    id 1Uw98w-0006KI-6y
    for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400

但要小心，不要相信这是电子邮件的真正来源。黑名单投诉可能只是由诈骗者添加，以消除其踪迹和/或设下陷阱仍有可能该服务器209.86.89.64是无辜的，只是真正的攻击者的中继168.62.170.129。在这种情况下，168.62.170.129 很干净所以我们几乎可以肯定这次袭击是从……发起的209.86.89.64。

需要记住的另一点是 Alice 使用 Yahoo!（[电子邮件保护]）并且elasmtp-curtail.atl.sa.earthlink.net不在 Yahoo! 网络上（您可能需要重新检查其 IP Whois 信息）因此，我们可以放心地得出结论，这封电子邮件不是来自 Alice，我们不应该将她的钱汇往菲律宾。

要查找 IP 地址：

点击回复旁边的倒三角形。选择显示原文。

查找Received: from方括号 [ ] 中的 IP 地址。（例如Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com：）

如果从模式中找到多个“已接收：”，请选择最后一个。

（来源）

之后，您可以使用 pythonclub 网站，iplocation.net或者ip 查询找出位置。

获取邮件头的方式因电子邮件客户端而异。许多客户端可让您轻松查看邮件的原始格式。其他客户端（MicroSoft Outlook）则让查看邮件头更加困难。

要确定谁真正发送了该消息，返回路径很有用。但是，它可以被欺骗。与发件人地址不匹配的返回路径地址会引起怀疑。它们有不同是有正当理由的，例如从邮件列表转发的消息，或从网站发送的链接。（如果网站使用回复地址来识别转发链接的人会更好。）

要确定消息的来源，请从上到下阅读收到的标头。可能会有多个标头。大多数标头都有从消息中接收的服务器的 IP 地址。您将遇到以下问题：

• 有些网站使用外部程序扫描邮件，并在扫描后重新发送邮件。这些可能会引入 localhost 或其他陌生地址。
• 一些服务器通过省略内容来混淆地址。
• 一些垃圾邮件会包含虚假的接收标头，旨在误导您。
• 可能会出现私有（10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16）IP 地址，但仅在其来自的网络上才有意义。

您应该始终能够确定互联网上的哪个服务器向您发送了消息。进一步追溯取决于发送服务器的配置。

还有一些用于分析电子邮件标题并提取电子邮件数据的工具，
例如：

1. 电子邮件追踪器

   可以追踪电子邮件的地理位置，包括垃圾邮件过滤器

2. 消息标签

3. 礼貌邮件

4. 超级电子邮件营销软件

5. 赞迪奥