通过电子邮件标头了解其真实来源

伪造的电子邮件越来越难以鉴别，学习如何检查电子邮件标头能够帮助你分别出哪些是垃圾邮件，以及它们的来源。

电子邮件标头，作为互联网安全的话题，听起来安全漏洞或者互联网蠕虫病毒问题那样吸引人。但是了解如何能够快速地辨别一封电子邮件的真实性是非常重要的——特别是当有 人在你的网络中滥用开放的SMTP中继的情况下。

我记得伪造电子邮件曾经是不可想象的。现在，我收到大量的伪造电子邮件，除非我认识发件人，否则我很难相信哪封电子邮件是合法的。当然，那些声称是我自己电子邮件帐户 发来的伪造电子邮件除外。没有什么能够阻止人们伪造电子邮件标题，除非你了解如何查看电子邮件标头，否则就无法证实邮件的真实性。

当你收到一封传统邮件的时候，你能够看到上面的邮戳。如果电子邮件也有同样的邮戳，你就能够在打开邮件之前了解到它的来源。加密电子邮件可以解决这个问题，但是绝大部 分的电子邮件都是以明文方式传递的。

电子邮件标头以倒叙的方式显示出邮件传递的路径，它并不能够最终确定发件人。所以大量的电子邮件仍然在蚕食我们的互联网带宽就毫不另人吃惊了。

我见过的所有的电子邮件程序都能够显示邮件标头。查看标头的方法取决于你所使用的电子邮件程序。你可以对一些程序进行设定，让它总是显示电子邮件标头。比如在Mutt（一 款UNIX电子邮件程序）中，你可以按[H]键，让它总是显示电子邮件标头。在微软的Outlook中，如果要显示电子邮件标头，用鼠标右键点击电子邮件，选择“选项”，然后在选项 对话窗口的底部选择互联网标头。对于Outlook Express，用鼠标右键点击电子邮件，选择“属性”，然后选择“详细信息”表单。如果你使用的是其他的电子邮件程序，你可以在 帮助中找到相关的指示。

下面是我收到过的一封伪造的UCE（unsolicited commercial e-mail，不请自来的商务电子邮件）的标头。内容里唯一的改变是用somebody@someplace.com替代了我自己真实的电 子邮件地址：

From collegebabe@aol.com Mon Mar 27 16:54:12 2006
Return-Path: collegebabe@aol.com
Received: from trademeca.co.kr (unknown [211.219.20.86])
by mail.someplace.com (Postfix) with SMTP id 2304964253A
for ; Mon, 27 Mar 2006 16:54:10 -0500 (EST)
Received: from smtp0422.mail.yahoo.com (80.237.200.67)
by trademeca.co.kr (211.219.20.86) with [Nmail V3.1 20010905(S)]
for from ;
Thu, 23 Mar 2006 15:55:00 +0900
Date: Thu, 23 Mar 2006 11:34:52 GMT
From: "Prendawen" collegebabe@aol.com
Subject: Hey buddie! What's going on?

结论：标头内容显示出这是一封手法拙劣的伪造邮件，但是你还需要再做一些检查以了解详细信息。这封电子邮件之所以被我鉴别为伪造邮件是因为一个拥有AOL电子邮件帐户的人 没有任何理由使用Yahoo的电子邮件服务器，并通过在一个.kr顶级域中的服务器进行邮件中继。.kr代表的是韩国。其次，DNS查找不能发现smtp0422.mail.yahoo.com，所以这个IP 地址并不存在。即使这个地址存在，80.237.200.67的IP地址也是属于某个德国的网络，我是从American Registry for Internet Numbers (ARIN，美国网络地址注册管理组织)数 据库中查明这一点的。所以不要浪费时间回复这封邮件了，因为collegebabe@aol.com与此毫无关系。

既然检查电子邮件标头如此重要，为什么所有的商业电子邮件程序都不是默认地显示标头呢？这是个好问题，但是我没有答案。在UCE大肆横行的今天，公司应该自动显示电子邮件 标头。尽管有很多电子邮件过滤工具可供选择，都不太可能实现电子邮件的完美过滤——除非你有详细的标头信息。

由于邮件伪造正在变得越来越难以识别，了解如何查看电子邮件标头能够帮助你识别邮件的真假。这些知识能够帮助你向ISP或者跟踪垃圾邮件的代理报告垃圾邮件的情况。例如， Julian Haight的SpamCop service能够扫描电子邮件标头，并识别伪造的电子邮件，通知ISP垃圾邮件的来源。SpamCop起码能够帮助你更好的了解电子邮件标头的内容。