すべての電子メールヘッダーを偽造できるわけではありません。電子メールサービスを提供する信頼できるサーバーが電子メールメッセージを受信すると、Received:ヘッダーは信頼できます。
このReceived:ヘッダーの文字列を考えてください:
Received: by 10.142.214.19 with SMTP id m19cs274738wfg;
Thu, 17 Dec 2009 03:20:12 -0800 (PST)
Received: by 10.115.67.30 with SMTP id u30mr1589591wak.119.1261048811650;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from mail1.stackoverflow.com (mail1.stackoverflow.com [69.59.196.214])
by mx.google.com with ESMTP id 31si4514829pzk.62.2009.12.17.03.20.11;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from superuser.com (unknown [10.0.0.4])
by mail1.stackoverflow.com (Postfix) with ESMTP id 67A7F1E08A;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
最下部のReceived:ヘッダーの後にメッセージの本文が続きます。これには、偽造可能なTo:およびFrom:ヘッダーが含まれます。しかし、Received:ヘッダーをフォローしましょう。
最初のヘッダーは、superuser.comという名前のIPアドレス10.0.0.4のサーバーがサーバーmail1.stackoverflow.comにメッセージを送信したことを示しています。この場合、これらの名前の両方が予期されることを知っているため、Received:ヘッダーは、メールサーバーのスーパーユーザーコンプレックス内の内部転送を示します。
次のReceived:ヘッダーは、アドレス69.59.196.214のmail1.stackoverflow.comがメッセージをmx.google.comに転送したことを示しています。mail1.stackoverflow.comのパブリックIPアドレスが69.59.196.214であり、googleが私のメールプロバイダーであるため、google.comのメールエクスチェンジャー(mx)がメッセージを受信することを期待できます。これは私のメールドメイン(google)との最初の連絡先であり、偽装することはできません。もちろん、このヘッダーの下に偽のReceived:ヘッダーが大量にある可能性があるため、最初の信頼できるReceived:ヘッダーを見つけるのは難しい場合があります。
最後の2つのReceived:ヘッダーはネット10アドレスを示しているため、これらはGoogleドメイン内の転送です。これも予想外ではありません。
悪意のあるメールサーバーは、多くの偽のReceived:ヘッダーをストリームに挿入できますが、常に信頼できるソース(この場合はmx.google.com)からのものがあります。この最初の信頼できるReceived:ヘッダーは、実際に電子メールを転送したパブリックIPアドレスを示します。このIPアドレスが疑わしい場合、または報告されたドメイン名と一致しない場合は、メッセージの内容全体を疑う必要があります。
「ソースの表示」コマンドを使用して、ほとんどのメールクライアントでReceived:ヘッダーを読み取ることができます。ボトムアップを読んで最初の信頼できるReceived:ヘッダーを見つけるには少しスキルが必要ですが、それを見つけたら、それが迅速かつ有用であることを確認します。