邮件头分析如何追溯发件人

wen 网络安全 2

本文目录导读:

邮件头分析如何追溯发件人

  1. 第一步:获取完整的原始邮件头
  2. 第二步:识别关键头部字段(按解析顺序)
  3. 第三步:追查IP地址
  4. 第四步:处理特殊情况(匿名化手段)
  5. 第五步:案例分析:钓鱼邮件追溯
  6. 重要提醒与限制
  7. 总结步骤流程

邮件头分析是追溯发件人真实来源的核心技术手段,由于SMTP协议本身不强制验证发件人身份,攻击者可以轻易伪造“发件人显示名称”或“回复地址”,但邮件头中记录的传输路径(尤其是IP地址)很难完全伪造。

以下是系统的分析和追溯步骤:

第一步:获取完整的原始邮件头

不要只看邮件客户端显示的发件人信息,必须查看原始邮件头

  • Outlook(桌面版):双击邮件 -> 文件 -> 属性 -> 邮件头。
  • Gmail(网页版):打开邮件 -> 点击三点菜单 -> 显示原始邮件。
  • Outlook.com / Hotmail:打开邮件 -> 点击三点菜单 -> 查看 -> 查看消息源代码。
  • Apple Mail:打开邮件 -> 菜单栏 -> 视图 -> 邮件 -> 原始源代码。

第二步:识别关键头部字段(按解析顺序)

邮件的传输路径记录在一系列 Received: 字段中,最底部的 Received: 记录的是发件人最初的服务器

你需要按 从下往上 的顺序阅读:

  1. Return-Path: (退信地址)

    • 这是邮件退信时的返回地址,虽然可以伪造,但正规邮件服务器通常要求它与发件人邮箱一致。
    • 示例: Return-Path: <spam@evil.com>
  2. Received: from [IP地址] (域) by [服务器] for ... (最关键的证据)

    • 最底部的 Received 是邮件离开发件人邮箱服务器的第一个记录。
    • 关键信息from后面的IP地址,这是追溯发件人网络位置的最可靠依据。
    • helo=:发件服务器声称的主机名(可伪造)。
    • by:接收该邮件的下一跳服务器。
    • 示例(底部第一个Received):
      Received: from mail.evil.com ([198.51.100.55])
              by mx1.gmail.com with SMTP;
              Mon, 10 Mar 2025 10:15:30 -0800

      追查点51.100.55 就是发件服务器IP。

  3. Authentication-Results: (验证结果)

    • 查看 SPF(发件人策略框架)、DKIM(域名密钥识别邮件)、DMARC(基于域的消息认证、报告和一致性) 认证结果。
    • pass:域名通过验证,域名所有者授权了该邮件服务器发送。
    • fail:很可能是伪造或欺诈邮件。
    • 关键:即使 SPF 通过,也只是认证了域名,不一定是发件人本人。
  4. Message-ID: (消息ID)

    • Message-ID: <xxxxxxxx.xxx@mail.evil.com>
    • 后面的域名通常是发件人邮件服务器的域名。
  5. 辅助字段:

    • DKIM-Signatured=后面的域名(签署DKIM的域名)。
    • Reply-To:回复地址(常用于钓鱼,指向攻击者)。
    • Sender:实际发送者(某些系统会记录)。

第三步:追查IP地址

拿到最底部 Received 中的IP地址后,进行以下操作:

  1. 反向DNS查询: 查询该IP反向解析的主机名。

    • 命令(Windows/Linux): nslookup 198.51.100.55dig -x 198.51.100.55
    • 结果: hostname = server.evilisp.net
    • 作用:对比 helo= 字段是否一致,如果不一致,通常意味着发件人使用了动态IP或VPN。
  2. IP归属地查询(Geolocation):查询IP的大致地理位置(城市、国家)。

    • 网站: ipinfo.iowhois.domaintools.comwhatismyipaddress.com
    • 作用:判断是否与你期望的地址相符。
  3. IP黑名单查询:检查IP是否被列入垃圾邮件黑名单(如Spamhaus、Barracuda)。

    • 网站: mxtoolbox.com -> “Blacklist Check”
    • 作用:判断IP是否被用于发送垃圾邮件。
  4. WHOIS查询: 查询IP地址的ISP(互联网服务提供商)

    • 网站: whois.arin.net(北美)、whois.ripe.net(欧洲)、whois.apnic.net(亚太)
    • 结果:你会得到该IP所属的ISP(例如Comcast、中国电信、某某IDC公司)及其联系方式。
    • 作用:这是联系ISP投诉或请求提供发件人信息的法律渠道。

第四步:处理特殊情况(匿名化手段)

  • VPN / 代理: 如果IP属于知名的公共VPN提供商(如NordVPN、ExpressVPN),则直接追查个人非常困难,通常需要法律文件要求VPN提供商提供日志(多数声称不保留日志)。
  • Tor 出口节点: IP属于Tor网络,追踪几乎不可能。
  • 伪造的 Received 头: 有些攻击者会插入虚假的 Received 字段来混淆,判断方法是:观察时间戳是否递增(从下到上时间应增加),以及路径是否合理(如不可能从中国直接跳到美国再跳回中国)。
  • 开放中继服务器: IP可能是被利用的第三方开放转发服务器,需要验证该IP是否属于你所知的合法邮件服务器。

第五步:案例分析:钓鱼邮件追溯

假设你收到一封显示来自“您的银行 security@bank.com”的钓鱼邮件。

  1. 查看原始头,底部Received中IP为 0.113.10
  2. 查询IP归属0.113.10 属于一个巴西的住宅宽带IP段(而你的银行在中国)。高度可疑
  3. 查询SPFspf=fail,说明域名 bank.com 并未授权该IP发送邮件。
  4. 这是一封伪造发件人地址的钓鱼邮件,真实发件人位于巴西(或使用巴西的代理/VPN)。
  5. 后续:你可以向该巴西IP的ISP(通过WHOIS查到)发送滥用报告(abuse@domain),提供邮件头作为证据,请其调查该IP的宽带用户。

重要提醒与限制

  • 无法通过邮件头唯一确定“自然人”:邮件头只能追溯到服务器IP地址,不能直接找到坐在电脑前的人,除非有警方介入,ISP配合提供宽带账号的实名信息。
  • 信任链的验证:只有收到的邮件(你自己作为收件人)的邮件头是可信的,不要完全相信转发或他人提供的邮件头。
  • 时间同步:不同服务器的时间戳可能有秒级误差,但不应有小时级差异。
  • 法律途径:邮件头IP信息可以作为电子证据,但需要公证处进行邮件取证,或报案后由网安部门调取ISP数据。

总结步骤流程

  1. 获取原始邮件头 → 2. 定位底部第一个 Received 字段 → 3. 提取 from 后的IP → 4. 反向DNS查询 → 5. WHOIS查询IP归属ISP → 6. 判断是否伪造(查SPF/DKIM) → 7. 根据情况向ISP投诉或报警

抱歉,评论功能暂时关闭!