讲个故事:
以前上班的公司经历过一次国际诈骗,金额很大,客户收货后不打款,公司报了案,需要在去客户国家交材料前整理证据,然而只有跟客户的邮件往来,怎么办?所有的细节都在邮件里,通过分析邮件信头获取发件人原始IP,发件所用客户端,最后警察根据这些IP线索锁定一家空壳公司和一家实际控制公司,客户和傀儡人被警察控制,不过货款没能要回来,持久战。但这经历说明邮件信头在获取发件人实际IP,获取邮件传输路径,邮件延迟,查看发件人使用的客户端等方面帮助很大。
介绍
G Suite Toolbox Messageheader 是一款可用来确定电子邮件的递送和转送问题(例如服务器跃点或邮件延迟)。要使用此工具,粘贴邮件的完整信头(标头),并点击分析上述标头即可。
不同企业邮箱查看信头方式
大多数邮箱都有显示原始邮件的按钮或链接,点击后可以查看邮件原始内容。
以下列举几款邮箱原始邮件查看方法。
1.QQ邮箱
点击邮件内容页右侧下拉箭头符号,如图,在展开的菜单内单击显示邮件原文即可。
2. Gmail邮箱
Gmail排版经常变动,大致操作方法为点击邮件内容页右侧三个竖点符号,如图示,在展开的菜单内单击显示原始邮件。
3. Roundcube
- 方法一:打开邮件,点击顶部More按钮,在弹出的下来菜单点击Show source。
- 方法二:打开邮件,点击图示右侧位置三角符号,即可显示邮件原文。
分析信头
复制所有原始内容到G Suite Toolbox Messageheader
链接地址:https://toolbox.googleapps.com/apps/messageheader/analyzeheader
点击Analyze the header above。
通过图中数据可以明显看到,邮件经过2分钟递送成功。SPF、DKIM记录验证通过。邮件从223.81.136.16这个中国移动青岛ip发送到bluehost,bluehost转发给websitewelcome.com,继续转发经过5次递送成功。使用的客户端是Foxmail 7.2版本。
结论
我们使用的网络IP分动态和静态(固定IP)两种,从拨号成功到离线的时间内,IP的使用者是固定的。根据IP和邮件投递时间,网络警察就能锁定实际发件人。
需要注意的是,如果发件人登陆的网页版客户端发送邮件,比如gmail网页版,QQMail网页版,无法查看实际IP。
我会再开一篇如何隐藏发件人IP的文章,教你如何隐藏实际发件IP,保护服务器。