Nicht alle E-Mail-Header können gefälscht werden. Sobald die E-Mail-Nachricht von einem vertrauenswürdigen Server empfangen wird, der Ihren E-Mail-Dienst bereitstellt, sind die Kopfzeilen von Received: zuverlässig.
Betrachten Sie diese Zeichenfolge von Received: headers:
Received: by 10.142.214.19 with SMTP id m19cs274738wfg; Thu, 17 Dec 2009 03:20:12 -0800 (PST) Received: by 10.115.67.30 with SMTP id u30mr1589591wak.119.1261048811650; Thu, 17 Dec 2009 03:20:11 -0800 (PST) Received: from mail1.stackoverflow.com (mail1.stackoverflow.com [69.59.196.214]) by mx.google.com with ESMTP id 31si4514829pzk.62.2009.12.17.03.20.11; Thu, 17 Dec 2009 03:20:11 -0800 (PST) Received: from superuser.com (unknown [10.0.0.4]) by mail1.stackoverflow.com (Postfix) with ESMTP id 67A7F1E08A; Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Auf den untersten Received: -Header folgt der Nachrichtentext, zu dem die Header To: und From: gehören, die gefälscht werden können. Aber folgen wir den Received: Headern:
Der erste Header zeigt an, dass ein Server mit der IP-Adresse 10.0.0.4 namens superuser.com eine Nachricht an den Server mail1.stackoverflow.com gesendet hat. In dem Wissen, dass beide Namen in diesem Fall zu erwarten sind, zeigt der Header Received: eine interne Weiterleitung innerhalb des Superuser-Komplexes von Mail-Servern an.
Der nächste Header von Received: zeigt an, dass mail1.stackoverflow.com unter der Adresse 69.59.196.214 die Nachricht an mx.google.com weitergeleitet hat. Wir können bestätigen, dass die öffentliche IP-Adresse von mail1.stackoverflow.com 69.59.196.214 lautet. Da Google mein E-Mail-Anbieter ist, würde ich davon ausgehen, dass der Mail-Exchanger (mx) von google.com meine Nachricht erhält. Dies ist der erste Kontakt mit meiner Mail-Domain (Google) und kann nicht gefälscht werden. Natürlich könnte es eine Menge gefälschter Received: -Header unterhalb dieses Headers geben. Daher kann es schwierig sein, den ersten zuverlässigen Received: -Header zu finden.
Die letzten beiden Received: -Header zeigen Net-10-Adressen an. Diese werden daher innerhalb der Google-Domain weitergeleitet. Dies ist auch nicht unerwartet.
Ein böser Mail-Server könnte viele gefälschte Received: -Header in den Stream einfügen, aber es gibt immer einen, der aus einer vertrauenswürdigen Quelle stammt, in diesem Fall mx.google.com. Dieser erste vertrauenswürdige Received: -Header gibt die öffentliche IP-Adresse an, die die E-Mail tatsächlich weitergeleitet hat. Wenn diese IP-Adresse verdächtig ist oder nicht mit dem angegebenen Domänennamen übereinstimmt, müssen Sie den gesamten Inhalt der Nachricht vermuten.
Received: headers können Sie in den meisten E-Mail-Clients mit dem Befehl "Quelltext anzeigen" lesen. Es ist ein bisschen Geschicklichkeit, Bottom-Up zu lesen und den ersten zuverlässigen Received: -Header zu finden. Sobald Sie ihn aber gefunden haben, ist die Überprüfung schnell und hilfreich.