Не все заголовки писем могут быть подделаны. Как только сообщение электронной почты получено доверенным сервером, который предоставляет вашу почтовую службу, полученные: заголовки надежны.
рассмотрим строку Received: headers:
Received: by 10.142.214.19 with SMTP id m19cs274738wfg;
Thu, 17 Dec 2009 03:20:12 -0800 (PST)
Received: by 10.115.67.30 with SMTP id u30mr1589591wak.119.1261048811650;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from mail1.stackoverflow.com (mail1.stackoverflow.com [69.59.196.214])
by mx.google.com with ESMTP id 31si4514829pzk.62.2009.12.17.03.20.11;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from superuser.com (unknown [10.0.0.4])
by mail1.stackoverflow.com (Postfix) with ESMTP id 67A7F1E08A;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
нижние-заголовка следует тело сообщения, которое включает в себя от заголовков, которые могут быть подделаны. Но давайте следовать полученным заголовкам:
первый заголовок указывает, что сервер IP-адрес 10.0.0.4 с именем superuser.com отправлено сообщение на сервер mail1.stackoverflow.com. Зная, что в этом случае следует ожидать оба этих имени, заголовок Received: указывает на внутреннюю переадресацию в комплексе суперпользователя почтовых серверов.
следующий заголовок Received: указывает, что mail1.stackoverflow.com по адресу 69.59.196.214 переслал сообщение на mx.google.com. Мы можем подтвердить, что публичный IP-адрес mail1.stackoverflow.com является 69.59.196.214 и поскольку google является моим поставщиком электронной почты, я ожидаю, что почтовый обменник (mx) google.com чтобы получить мое сообщение. Это первый контакт с моим почтовым доменом (google) и не может быть подделан. Конечно, может быть множество поддельных заголовков Received: headers ниже этого заголовка, поэтому поиск первого надежного заголовка Received: может быть сложным.
последние два полученных: заголовки показывают чистые 10 адресов, так что это вперед в домене google. Это тоже не неожиданный.
злой почтовый сервер может вставить много поддельных заголовков Received: в поток, но всегда есть один, который исходит из надежного источника, в этом случае mx.google.com. Этот заголовок first trusted Received: указывает общедоступный IP-адрес, который фактически переслал электронное письмо. Если этот IP-адрес является подозрительным или не соответствует сообщенному доменному имени, необходимо подозревать все содержимое сообщения.
вы можете прочитать полученные: заголовки в большинстве почтовых клиентов использование команды" view source". Требуется немного навыков, чтобы прочитать снизу вверх и найти первый надежный заголовок Received:, но как только вы его найдете, проверка будет быстрой и полезной.