是否可以通过阅读电子邮件的原始数据(例如使用 BT YAHOO WEBMAIL)来发现电子邮件的创建者或创建者的下落?本案涉及的电子邮件是由入侵帐户的人创建的,而不是帐户持有人。与实际电子邮件上的时间戳相比,原始数据上的时间存在差异,但对于外行人来说,到目前为止,这就是可以推断的全部。
答案1
您需要从下往上阅读电子邮件标题。
Received:字段将显示电子邮件到达最终目的地的路径,以及电子邮件经过的所有中间服务器。电子邮件的实际提交者位于第一个(从底部开始)Received:字段中。
字段From:并不总是可以信任的,因为有可能在一些配置不当的发送服务器上伪造它,因此为了揭示通信协议中真正使用的内容,
MAIL FROM:可以调查标题的字段:Received-SPF:这将在子字段中泄露真实发件人的电子邮件envelope-from=
:(当然,只有接收服务器检查时,此字段才可用防晒指数,防止电子邮件伪造)。
此字段Received-SPF:还指示防晒指数检查是否通过验证,确认电子邮件确实是从域所有者授权发送电子邮件的电子邮件服务器发送的。
如果发送者的服务器关心其用户,那么也可能DKIM:字段是数字签名和完整性机制,保证电子邮件确实通过授权的电子邮件服务器发送并且消息本身不是伪造的。(它的工作原理有点像 HTTPS,但仅用于保护原始电子邮件的完整性,因此如果某个中间人试图更改电子邮件中的某些内容,那么公钥加密将触发错误)
上述字段对于识别真实发件人以及确保电子邮件不是伪造的非常有用。