无论何时你收到一封电子邮件，它都比你看到的要多得多。虽然你通常只关注邮件的发件人地址、主题行和正文，但每封电子邮件的“幕后”都有更多的信息可用，这些信息可以为你提供丰富的附加信息。

为什么要费心看电子邮件标题呢？

这是一个非常好的问题。在大多数情况下，您真的不需要这样做，除非：

您怀疑电子邮件是网络钓鱼尝试或欺骗。 您想要查看电子邮件路径上的路由信息。 你是个好奇的极客

不管你的原因是什么，阅读电子邮件标题实际上是相当容易的，而且可能非常有启发性。

文章注：对于我们的屏幕截图和数据，我们将使用Gmail，但实际上所有其他邮件客户端也应该提供相同的信息。

查看电子邮件标题

在Gmail中，查看电子邮件。在本例中，我们将使用下面的电子邮件。

然后单击右上角的箭头并选择Show Original。

生成的窗口将以纯文本形式显示电子邮件标题数据。

注意：在我下面显示的所有电子邮件标题数据中，我已经将我的Gmail地址更改为myemail@gmail.com，将我的外部电子邮件地址更改为jfaulkner@exteralemail.com和jason@myemail.com，并屏蔽了我的电子邮件服务器的IP地址。

收件人：myemail@gmail.com。 接收：10.60.14.3，SMTP id为13csp18666oec； 2012年3月6日星期二08：30：51-0800(太平洋标准时间)。 接收：10.68.125.129，SMTP id为mq1mr1963003pb.21.1331051451044； 2012年3月6日星期二08：30：51-0800(太平洋标准时间)。 返回路径：<jfaulkner@exteralemail.com>。 收到：来自exprod7og119.obsmtp.com(exprod7og119.obsmtp.com.。[64.18.2.16])。 由mx.google.com提供，SMTP id为17si25161491pbd.80.2012.03.06.08.30.49； 2012年3月6日星期二08：30：50-0800(太平洋标准时间)。 Received-SPF：中立(google.com：64.18.2.16对于jfaulkner@External alemail.com的域名，最佳猜测记录既不允许也不拒绝)client-ip=64.18.2.16； 身份验证-结果：mx.google.com；SPF=中性(google.com：64.18.2.16既不允许也不拒绝jfaulkner@External alemail.com的域名的最佳猜测记录)smtp.mail=jfaulkner@External alemail.com。 已接收：由带SMTP的exprod7ob119.postini.com([64.18.6.12])接收：来自mail.exteralemail.com([xxx.xxx])(使用TLSv1)。 ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com；Tue，2012-03 08：30：50太平洋标准时间。 接收人：来自MYSERVER.myserver.local([fe80：：a805：c335：8c71：cdb3])。 MYSERVER.myserver.local([fe80：：a805：c335：8c71：cdb3%11])，带MAPI；3月6日星期二。 2012 11：30：48-0500。 发件人：Jason Faulkner<jfaulkner@external alemail.com>。 收件人：“myemail@gmail.com”<myemail@gmail.com>。 日期：2012年3月6日星期二11：30：48-0500。 主题：这是一封合法的电子邮件。 主题：这是一封合法的电子邮件。 线程索引：Acz7tnUyKZWWCcrUQ+QVd6awhl+q==。 消息ID：<682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>。 接受语言：EN-US。 内容-语言：EN-US。 X-MS-HAS-ATTACH： X-MS-TNEF-相关器： 接受语言：EN-US。 内容类型：分块/备选； boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-版本：1.0

当您阅读电子邮件标题时，数据按相反的时间顺序排列，这意味着顶部的信息是最新的事件。因此，如果您想要从发件人到收件人追踪电子邮件，请从底部开始。检查这封电子邮件的标题，我们可以看到几件事。

在这里，我们可以看到由发送客户端生成的信息。在本例中，电子邮件是从Outlook发送的，因此这是Outlook添加的元数据。

下一部分跟踪电子邮件从发送服务器到目的服务器所采用的路径。请记住，这些步骤(或跃点)是按相反的时间顺序列出的。为了说明顺序，我们在每一跳旁边放置了相应的编号。请注意，每一跳都显示有关IP地址和各自反向DNS名称的详细信息。

虽然这对于一封合法的电子邮件来说是相当普通的，但当涉及到检查垃圾邮件或网络钓鱼电子邮件时，这些信息可能会很能说明问题。

检查网络钓鱼电子邮件-示例1

对于我们的第一个网络钓鱼示例，我们将检查一封明显是网络钓鱼企图的电子邮件。在本例中，我们可以简单地通过视觉指示器将此消息识别为欺诈，但实际上，我们将查看标题中的警告标志。

收件人：myemail@gmail.com。 接收：10.60.14.3，SMTP id为13csp12958oec； 星期一，2012年3月5日23：11：29-0800(太平洋标准时间)。 接收：由10.236.46.164接收，SMTP id为r24mr7411623yhb.101.1331017888982； Mon，05 Mar 2012 23：11：28-0800(太平洋标准时间)。 返回路径：<securityalert@verifybyvisa.com>。 已收到：来自ms.exteralemail.com(ms.exteralemail.com)。[xxx.xxx])。 由mx.google.com提供，ESMTP id为t19si8451178ani.110.2012.03.05.23.11.28； Mon，05 Mar 2012 23：11：28-0800(太平洋标准时间)。 Received-SPF：FAIL(google.com：domain of securityalert@verifybyvisa.com没有指定xxx.xxx为允许发件人)client-ip=xxx.xxx； 身份验证-结果：mx.google.com；SPF=hardail(google.com：domain of securityalert@verifybyvisa.com未将xxx.xxx指定为允许的发件人)smtp.mail=securityalert@verifybyvisa.com。 已接收：使用MailEnable邮局连接器；星期二，2012 Mar 6 02：11：20-0500。 已收到：来自mail.lovingour.com([211.166.9.218])，由ms.exteralemail.com使用MailEnable ESMTP；Tue，6 Mar 2012 02：11：10-0500。 接收：来自用户([118.142.76.58])。 作者：mail.lovingour.com。 ；星期一，5 Mar 2012 21：38：11+0800。 消息ID：<6DCB4366-3518-4C6C-B66A-F541F32A4C4C@mail.lovingtour.com>。 回复地址：<securityalert@verifybyvisa.com>。 出发地：“securityalert@verifybyvisa.com”<securityalert@verifybyvisa.com>。 主题：通知。 日期：周一，2012年3月5日21：20：57+0800。 MIME-版本：1.0。 Content-Type：分片/混合； boundary=”—-=_NextPart_000_0055_01C2A9A6.1C1757C0″。 X优先级：3。 X-MSMail-优先级：正常。 X-Mailer：Microsoft Outlook Express 6.00.2600.0000。 X-MimeOLE：由Microsoft MimeOLE V6.00.2600.0000生产。 X-ME-贝叶斯：0.000000

第一个红旗在客户信息区。请注意，此处添加的元数据引用Outlook Express。Visa不太可能远远落后于时代，以至于有人使用已有12年历史的电子邮件客户端手动发送电子邮件。

现在检查电子邮件路由中的第一跳，发现发件人位于IP地址118.142.76.58，他们的电子邮件通过邮件服务器mail.lovingour.com进行中继。

使用NirSoft的IPNetInfo实用程序查找IP信息，可以看到发件人位于香港，而邮件服务器位于中国。

不用说，这有点可疑。

在这种情况下，其余的电子邮件跳实际上并不重要，因为它们显示电子邮件在最终传递之前绕过合法的服务器流量。

检查网络钓鱼电子邮件-示例2

在本例中，我们的钓鱼电子邮件更具说服力。如果您看得足够仔细，这里有几个可视指示器，但是出于本文的目的，我们将再次将我们的调查限制在电子邮件标题。

收件人：myemail@gmail.com。 接收：10.60.14.3，SMTP id为13csp15619oec； 2012年3月6日星期二04：27：20-0800(太平洋标准时间)。 接收：10.236.170.165，SMTP id为p25mr8672800yhl.123.1331036839870； 2012年3月6日星期二04：27：19-0800(太平洋标准时间)。 返回路径：<security@tuit.com>。 已收到：来自ms.exteralemail.com(ms.exteralemail.com)。[xxx.xxx])。 由mx.google.com提供，ESMTP id为o2si20048188yhn.34.2012.03.06.04.27.19； 2012年3月6日星期二04：27：19-0800(太平洋标准时间)。 Received-SPF：FAIL(google.com：domain of security@tuit.com未指定xxx.xxx为允许发件人)client-ip=xxx.xxx； 身份验证-结果：mx.google.com；SPF=hardail(google.com：domain of security@tuit.com未将xxx.xxx指定为允许的发件人)smtp.mail=security@tuit.com。 已接收：使用MailEnable邮局连接器；星期二，2012年3月6日07：27：13-0500。 已接收：来自dynamic-pool-xxx.hcm.fpt.vn([118.68.152.212])，由MailEnable ESMTP；Mue，6 Mar 2012 07：27：08-0500。 已接收：通过Intuit.com与本地(Exim 4.67)从Apache接收。 (信封-来自<security@tuit.com>)。 ID GJMV8N-8BERQW-93。 对于<jason@myemail.com>；星期二，2012年3月6日19：27：05+0700。 致：<jason@myemail.com>。 主题：您的Intuit.com发票。 x-php-script：tuit.com/sendmail.php for 118.68.152.212。 来自：“Intuit Inc.”<security@tuit.com>。 X-Sender：“Intuit Inc.”<security@tuit.com>。 X-Mailer：PHP。 X优先级：1。 MIME-版本：1.0。 内容类型：分块/备选； 边界=“-03060500702080404010506” 消息ID：<JXON1H-5GTPKV-0H@Intuit.com>。 日期：2012年3月6日星期二19：27：05+0700。 X-ME-贝叶斯：0.000000

在本例中，没有使用邮件客户端应用程序，而是使用源IP地址为118.68.152.212的PHP脚本。

但是，当我们查看第一个电子邮件跳时，它似乎是合法的，因为发送服务器的域名与电子邮件地址匹配。但是，请注意这一点，因为垃圾邮件发送者很容易将其服务器命名为“Intuit.com”。

检查下一步会瓦解这座纸牌屋。您可以看到第二跳(由合法的电子邮件服务器接收)将发送服务器解析回域“dynamic-pool-xxx.hcm.fpt.vn”，而不是具有PHP脚本中指示的相同IP地址的“Intuit.com”。

查看IP地址信息确认了怀疑，因为邮件服务器的位置解析回越南。

虽然这个示例稍微聪明一些，但是您可以看到，只需稍加调查，欺诈就会很快被揭露出来。

结束 / 结尾 / 结论 / 推论

虽然查看电子邮件头可能不是您典型的日常需要的一部分，但在某些情况下，其中包含的信息可能非常有价值。正如我们上面所展示的，您可以非常容易地识别伪装成他们不是的发送者。对于一个执行得非常好、视觉线索令人信服的骗局来说，模拟实际的邮件服务器是极其困难的(如果不是不可能的话)，查看电子邮件标题中的信息可以很快揭露任何欺诈行为。

高尔夫球场 / 链接 / 沙地 / 沙丘

从NirSoft下载IPNetInfo