Не всі заголовки електронної пошти можуть бути підробленими. Після отримання повідомлення електронної пошти надійним сервером, який надає вашу електронну пошту, заголовки Received: надійні.
Розглянемо цей рядок отриманих: заголовків:
Received: by 10.142.214.19 with SMTP id m19cs274738wfg;
Thu, 17 Dec 2009 03:20:12 -0800 (PST)
Received: by 10.115.67.30 with SMTP id u30mr1589591wak.119.1261048811650;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from mail1.stackoverflow.com (mail1.stackoverflow.com [69.59.196.214])
by mx.google.com with ESMTP id 31si4514829pzk.62.2009.12.17.03.20.11;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from superuser.com (unknown [10.0.0.4])
by mail1.stackoverflow.com (Postfix) with ESMTP id 67A7F1E08A;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Заголовком найнижчого отриманого: слідує тіло повідомлення, яке включає заголовки до: та від: заголовки, які можна підробити. Але давайте слідкуємо за заголовками Received:
Перший заголовок вказує, що сервер з IP-адресою 10.0.0.4 з назвою superuser.com надіслав повідомлення на сервер mail1.stackoverflow.com. Знаючи, що в цьому випадку слід очікувати обох цих імен, заголовок Received: вказує на внутрішній перехід в комплекс надпорядкових поштових серверів.
Наступний заголовок Received: вказує, що mail1.stackoverflow.com за адресою 69.59.196.214 пересилає повідомлення на mx.google.com. Ми можемо підтвердити, що загальнодоступна IP-адреса mail1.stackoverflow.com становить 69.59.196.214, і оскільки google є моїм постачальником електронної пошти, я би сподівався, що обмінник пошти (mx) на google.com отримає моє повідомлення. Це перший контакт з моїм поштовим доменом (google), і його неможливо підробити. Звичайно, може бути завантажено підроблені файли Received: заголовки під цим заголовком, тому пошук першого надійного заголовка Received: може бути складним.
Останні два отримані: заголовки показують 10 чистих адрес, тому вони є вперед у домені google. Це теж не несподівано.
Злий сервер пошти міг би вставити багато підроблених заголовків Received: заголовків у потік, але завжди є такий, який надходить із надійного джерела, у цьому випадку mx.google.com. Цей перший надійний заголовок Received: зазначає загальнодоступну IP-адресу, яка фактично пересилала електронну пошту. Якщо ця IP-адреса є підозрілою або не відповідає повідомленому доменному імені, тоді ви повинні підозрювати весь вміст повідомлення.
Ви можете читати Отримані: заголовки у більшості клієнтів електронної пошти за допомогою команди "переглянути джерело". Щоб прочитати знизу вгору і знайти перший надійний заголовок Received: потрібно трохи навичок, але як тільки ви його знайдете, перевірка це швидко та корисно.