如何才能查到一封邮件的真正来源？

请看下面一个骗局的例子，是我朋友发来的，假装是我朋友发来的，声称她被抢了，要求我提供经济援助。我已经改了名字–我是 “Bill"，骗子给bill@domain.com发了一封邮件，假装是alice@yahoo.com。注意，比尔将邮件转发到bill@gmail.com。

首先，在Gmail中，点击show original。

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

完整的邮件和邮件头会被打开。

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

邮件头要按时间顺序从下往上读，最老的在最下面。每一个新的服务器在途中都会添加自己的消息–以Received开头。例如：

~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

这表示mx.google.com已经在maxipes.logix.cz收到了来自Mon, 08 Jul 2013 04:11:00 -0700 (PDT)的邮件。

现在，要找到你的邮件的_真正的发件人，你必须找到最早的可信网关–从上往下读信头时最后一个。让我们从找到Bill的邮件服务器开始。为此，查询该域名的MX记录。你可以使用在线工具，比如 Mx工具箱 ，或者在Linux上，你可以在命令行上查询（注意真正的域名被改成了domain.com）：

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

你会看到domain.com的邮件服务器是maxipes.logix.cz或者broucek.logix.cz。因此，最后一个（按时间顺序排列的第一个）可信的 "跳转”–或最后一个可信的 “接收记录 "或不管你怎么称呼它–就是这个。

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

你可以相信这个，因为它是由比尔的邮件服务器记录的domain.com。这个服务器是从209.86.89.64得到的。这可能是，而且经常是，邮件的真正发件人–在这种情况下，就是骗子！你可以 [ 在 IP 上检查这个 IP。你可以在黑名单上检查这个IP。- 看，他被列入了3个黑名单! 下面还有一条记录。

但要小心相信这是邮件的真实来源。黑名单投诉可能只是骗子为了抹去他的痕迹和/或_铺设一个虚假的线索而添加的。还有一种可能是服务器 209.86.89.64 是无辜的，只是真正的攻击者在 168.62.170.129 的中继。在这种情况下，168.62.170.129 是干净的 ，所以我们几乎可以确定攻击是从209.86.89.64进行的。

另一点需要注意的是，Alice使用的是Yahoo！（alice@yahoo.com），而elasmtp-curtail.atl.sa.earthlink.net并不在Yahoo！网络上（你可能要 重新检查其IP Whois信息）。因此，我们可以安全地得出结论，这封邮件不是来自爱丽丝，我们不应该给她寄钱到菲律宾。

要找到IP地址。

点击回复旁边的倒三角。选择 “显示原文"。

在方括号[]之间寻找Received: from后面的IP地址。(例如：Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

如果发现多个 Received: from 模式，选择最后一个。

Source )

之后，你可以使用 pythonclub site 、 iplocation.net 或 ip lookup 来查找位置。

如何获取邮件标题在不同的邮件客户端之间有所不同。许多客户端会让你很容易看到邮件的原始格式。其他的客户端（MicroSoft Outlook）则让它变得更加困难。

要确定消息的真正发送者，返回路径很有帮助。然而，它可以被欺骗。一个与发件人地址不匹配的返回路径地址是值得怀疑的。有合法的理由让它们不同，比如从邮件列表转发的消息，或者从网站发送的链接。如果网站使用Reply-to地址来识别转发链接的人，那就更好了）。

为了确定消息的来源，从收到的报头中自上而下地读取。可能有几个。大多数会有他们收到消息形式的服务器的IP地址。你会遇到的一些问题。

-一些网站使用外部程序扫描消息，扫描后重新发送消息。这些可能会引入localhost或其他奇怪的地址。 - 一些服务器通过省略内容来混淆地址。 - 一些SPAM会包含假的收到的头信息来误导你。 - 私人（10.0.0.0/8、172.16.0.0/12和192.168.0.0/16）IP地址可能会出现，但只有在它们来自的网络上才有意义。

你应该总是能够确定互联网上哪个服务器向你发送了消息。进一步追溯取决于发送服务器的配置。

我用的是 http://whatismyipaddress.com/trace-email 。如果你使用Gmail，点击显示原文（在更多，回复按钮旁边，复制标题，粘贴到这个网站上，然后点击获取源。你会得到地理位置信息和地图的回报。

还有一些分析邮件头和提取邮件数据的工具， 例如：

1. eMailTrackerPro

2. MSGTAG

3. PoliteMail

4. Super Email Marketing Software

5. Zendio