Outlook Express
选中邮件,使用快捷键“Alt+Enter”,点击“详细信息”,再点击右下角的查看“邮件原始信息”,即可。
Outlook2000/2002/2003
双击邮件,点选选项一览中右下角的展开小图标,即可在新打开的窗口中看到“Internet 邮件头(H)”一栏,这里就是邮件头了。
Outlook 2010如何查看完整邮件头?
双击打开邮件,然后在功能区找到"标记"这一栏右下角的小图标,点击即可以打开“邮件选项”,来查看Internet 邮件头。
PS.
在Outlook 2003中是可以通过在信件中点击菜单显示-选项-Internet邮件头来查看邮件头信息。
在Outlook 2007中邮件显示窗口中去掉了直接查看邮件头的项目。查看的方法是不打开邮件,而是在邮件浏览列表窗体中右键单击要查看邮件头信息的邮件,选择“邮件选项”。最下方有一个叫做“Internet邮件头”的东西就是邮件头信息了。
在Outlook Express中选择要查的邮件,右击,选择属性,一个新窗口将弹出,然后选择详情,你将看到完整的邮件头信息。
邮件头信息通常包括这样几个部分:
From: 也就是邮件从哪个地址发出的。这个是最容易伪造的,邮件客户端显示这个地址作为发件人。
Reply-To: 回复邮件应该被发到哪个地址。通常这个参数是空的,因为通常应该是和From: 一样的。也可以轻易伪造。
Return-Path: 返回邮件应该送到哪个地址,和Reply-To: 一样。
Message-ID: 邮件在创建时,邮件系统产生的独特字符串。在大部分情况下,也可以被伪造。
Received: 这个信息是头信息中一部分可以值得信赖的信息。这段信息由邮件从发出到抵达目的地所经过的节点信息组成。在邮件发出之后,这些节点信息就不能被伪造了,但在发出之前的某些节点信息可以是伪造的。
Received: 信息应该是从底往头来看。也就是说最下面的一段是邮件刚刚发出的节点,最上面的是最后收到时的节点。
看一个例子。下面这段是我刚刚5分钟前收到的包含头信息的退回出错邮件。
Hi. This is the qmail-send program at mail.strathcom.com.
I’m afraid I wasn’t able to deliver your message to the following addresses.
This is a permanent error; I’ve given up. Sorry it didn’t work out.<[email protected]>:
Sorry, no mailbox here by that name. (#5.1.1)— Below this line is a copy of the message.
Return-Path: <[email protected]>
Received: (qmail 1194 invoked from network); 22 Feb 2007 18:18:15 -0000
Received: from 80.192.76.241 by mail.strathcom.com (envelope-from <[email protected]>, uid 502) with qmail-scanner-2.01
(clamdscan: 0.88.5/2081.
Clear:RC:0(80.192.76.241):.
Processed in 0.05686 secs); 22 Feb 2007 18:18:15 -0000
Received: from unknown (HELO 80-192-76-241.cable.ubr13.edin.blueyonder.co.uk) (80.192.76.241)
by mail.strathcom.com with SMTP; 22 Feb 2007 18:18:12 -0000
Received: (qmail 18642 invoked from network); Thu, 22 Feb 2007 18:18:20 +0000
Received: from unknown (HELO tawfij) (124.193.41.128)
by 80-192-76-241.cable.ubr13.edin.blueyonder.co.uk with SMTP; Thu, 22 Feb 2007 18:18:20 +0000
Message-ID: <[email protected]>
Date: Thu, 22 Feb 2007 18:18:20 +0000
From: Matty <[email protected]>
User-Agent: Thunderbird 1.5.0.9 (Windows/20061207)
MIME-Version: 1.0
To: [email protected]
Subject: secession mantel
可以看到From: 和 Return-Path: 都是伪造的,一个讨厌的发垃圾的人假装叫Matty,发了一封垃圾邮件到[email protected],并通过头信息伪造,使邮件看起来发自[email protected]。
[email protected]的主机提供商是strathcom.com:
Received: (qmail 1194 invoked from network); 22 Feb 2007 18:18:15 -0000
Received: from 80.192.76.241 by mail.strathcom.com
至少这两行是真的。strathcom.com的服务器收到这封邮件,并退回了邮件,因为[email protected]这个邮件地址根本不存在。
还有另外几行Received: 信息,其中列出的节点与我们的域名和IP地址都没有什么关系。所以这封垃圾邮件根本就不是通过我们的域名或主机发出的。
这一行比较有趣:
Received: from unknown (HELO tawfij) (124.193.41.128)
这个IP地址可能能揭示发垃圾邮件的人是在什么位置。
Message-ID: 也是伪造的。
当然我们这儿并没有一个叫Matty的人,邮件地址[email protected]也根本不存在。因为我们使用了缺省帐户(catch-all account),所以收到了这封退回到[email protected]的邮件。