外贸妙用邮件信头:获取发件人IP,发件原始地址,邮箱调查取证.jpg

妙用邮件信头获取邮件发件人IP

32
0

目录

讲个故事:

以前上班的公司经历过一次国际诈骗,金额很大,客户收货后不打款,公司报了案,需要在去客户国家交材料前整理证据,然而只有跟客户的邮件往来,怎么办?所有的细节都在邮件里,通过分析邮件信头获取发件人原始IP,发件所用客户端,最后警察根据这些IP线索锁定一家空壳公司和一家实际控制公司,客户和傀儡人被警察控制,不过货款没能要回来,持久战。但这经历说明邮件信头在获取发件人实际IP,获取邮件传输路径,邮件延迟,查看发件人使用的客户端等方面帮助很大。

介绍

G Suite Toolbox Messageheader 是一款可用来确定电子邮件的递送和转送问题(例如服务器跃点或邮件延迟)。要使用此工具,粘贴邮件的完整信头(标头),并点击分析上述标头即可。

官网:G Suite Toolbox Messageheader

不同企业邮箱查看信头方式

大多数邮箱都有显示原始邮件的按钮或链接,点击后可以查看邮件原始内容。

以下列举几款邮箱原始邮件查看方法。

1.QQ邮箱

点击邮件内容页右侧下拉箭头符号,如图,在展开的菜单内单击显示邮件原文即可。

QQ邮箱显示原始邮件查看信头方法

2. Gmail邮箱

Gmail排版经常变动,大致操作方法为点击邮件内容页右侧三个竖点符号,如图示,在展开的菜单内单击显示原始邮件。

gmail邮箱显示原始邮件查看信头方法

3. Roundcube

  • 方法一:打开邮件,点击顶部More按钮,在弹出的下来菜单点击Show source。
  • 方法二:打开邮件,点击图示右侧位置三角符号,即可显示邮件原文。

roundcube邮箱显示原始邮件查看信头方法

分析信头

复制所有原始内容到G Suite Toolbox Messageheader

链接地址:https://toolbox.googleapps.com/apps/messageheader/analyzeheader

点击Analyze the header above。

G-Suite-Toolbox-Messageheader-分析邮件信头查看发件人IP

通过图中数据可以明显看到,邮件经过2分钟递送成功。SPF、DKIM记录验证通过。邮件从223.81.136.16这个中国移动青岛ip发送到bluehost,bluehost转发给websitewelcome.com,继续转发经过5次递送成功。使用的客户端是Foxmail 7.2版本。

结论

我们使用的网络IP分动态和静态(固定IP)两种,从拨号成功到离线的时间内,IP的使用者是固定的。根据IP和邮件投递时间,网络警察就能锁定实际发件人。

需要注意的是,如果发件人登陆的网页版客户端发送邮件,比如gmail网页版,QQMail网页版,无法查看实际IP。

我会再开一篇如何隐藏发件人IP的文章,教你如何隐藏实际发件IP,保护服务器。


留言

目录