通过邮件获取发件人部分信息

一、溯源-邮件

  当您收到电子邮件时，往往都要看下发件人是谁，是吗？这是我们了解 E-mail 来源的最快方式。

  电子邮件的「邮件头」中包含了有关发件人、邮件路由、签名和加密相关的大量信息，我们可以通过这些信息对电子邮件进行跟踪溯源。

  「邮件头」信息应该从下往上看（即底部的信息最旧），并且电子邮件经过的每个新服务器都会向「邮件头」中添加信息。我随便从 Outlook 邮箱中「捞」了一个老邮件出来，向大家简要「邮件头」中常见的标头数据含义：

Reply-To：发送回复的电子邮件地址。

From：显示邮件发件人，很容易伪造。

Content-Type：告诉您的浏览器或电子邮件客户端如何解释电子邮件的内容。最常见的字符集是 UTF-8 和 ISO-8859-1。

MIME-Version：声明正在使用的电子邮件格式标准。MIME-Version 版本通常为 1.0。

Subject：电子邮件的主题内容。

To：电子邮件的收件人地址，可能会显示其他地址。

DKIM-Signature：DomainKeys Identified Mail 对发送电子邮件的域进行身份验证，并应防止电子邮件欺骗和发件人欺诈。

Received：「Received」行从下往上列出了电子邮件在到达收件箱之前所经过的每个服务器。

Authentication-Results：包含了执行过身份验证检查的记录，可以包含多个身份验证方法。

Received-SPF：发件人策略框架（SPF）构成电子邮件的一部分。

Return-Path：非发送或退回邮件最终的地址。

二、其他信息

当然，还有一些别的信息就不介绍了。

可以阅读：英文电子邮件中常见的 15 个首字母缩略词汇总，查看。

查找电子邮件的原始发件人，要跟踪原始电子邮件发件人的 IP 地址，请转到完整电子邮件标头中的第 1 个「Received」，除第 1 个「Received」外，还有发送电子邮件的服务器的 IP 地址。

有时，显示为X-Originating-IP 或 Original-IP。

三、分析工具如下：

1、https://toolbox.googleapps.com/apps/messageheader/

2、https://mxtoolbox.com/EmailHeaders.aspx

注：

反制小技巧1：当被某红邮件钓鱼时，可采用反向发邮件的方式进行钓鱼，不过几率不是很大（建议在收到莫名邮件的事，不对邮件任何内容进行操作，及时删除）（特别注意邮件如-1315xxx122x@139.com，前面可能是个手机号，后续咳咳咳应该都懂）；

例子如下：

第二个小技巧留着明天，啊哈哈和额；

有投稿的师傅可以后台私信，筛选后会有小礼品相送；

投稿内容不限于：红蓝对抗、漏洞分析、溯源手段；

截至日期：本周日；

封面来源于：互联网、n世界