如何將電子郵件追溯到其源 IP 地址

當您聽到電子郵件通知時，您做的第一件事就是檢查發件人，對嗎？這是找出電子郵件來自誰以及可能的內容的最快方法。

但是您知道嗎，每封電子郵件都包含比大多數電子郵件客戶端中顯示的信息多得多的信息？電子郵件標頭中包含有關發件人的大量信息，這些信息可用於追踪電子郵件的來源。

以下是如何追踪該電子郵件的來源以及您可能想要這樣做的原因。

為什麼要跟踪電子郵件地址？

在學習如何追踪電子郵件地址之前，讓我們首先考慮一下為什麼要這樣做。

在這個時代，惡意電子郵件太頻繁了。詐騙、垃圾郵件、惡意軟件和網絡釣魚電子郵件是常見的收件箱。如果您追溯一封電子郵件的源頭，您就有很小的機會發現這封電子郵件來自誰（或哪裡！）。

在其他情況下，您可以追踪電子郵件的來源以阻止垃圾郵件或濫用內容的持續來源，將其從您的收件箱中永久刪除；服務器管理員出於同樣的原因跟踪電子郵件。

（如果你想防止自己的電子郵件身份被洩露，學會發送完全匿名的電子郵件。）

如何追踪電子郵件地址

您可以通過查看完整的電子郵件 標頭來追踪電子郵件地址到其發件人。電子郵件標頭包含路由信息和電子郵件元數據——您通常不關心的信息。但該信息對於追踪電子郵件的來源至關重要。

大多數電子郵件客戶端不會按標準顯示完整的電子郵件標頭，因為它充滿了技術數據，對於未經訓練的人來說有些無用。但是，大多數電子郵件客戶端確實提供了一種檢查完整電子郵件標題的方法。您只需要知道在哪裡看，以及您在看什麼。

• Gmail Full Email Header：打開您的 Gmail 帳戶，然後打開您要跟踪的電子郵件。選擇右上角的下拉菜單，然後從菜單中選擇顯示原件。
• Outlook Full Email Header：雙擊要跟踪的電子郵件，標題為File > Properties。該信息出現在Internet 標頭中。
• Apple Mail Full Email Header：打開您要跟踪的電子郵件，然後轉到View > Message > Raw Source。

當然，還有無數的電子郵件客戶端。快速的互聯網搜索將揭示如何在您選擇的客戶端中找到完整的電子郵件標頭。打開完整的電子郵件標題後，您就會明白我所說的“充滿技術數據”的意思。

了解完整電子郵件標頭中的數據

看起來信息量很大。但是，請考慮以下情況：您按時間順序從下到上閱讀電子郵件標頭（即最舊的信息在底部），並且電子郵件經過的每個新服務器都會將Received添加到標頭中。

查看從我的PCPC.me Gmail 帳戶中獲取的示例電子郵件標頭：

Gmail 電子郵件標題行

有很多信息。讓我們分解一下。首先，了解每一行的含義（從下到上閱讀）。

• 回复：您發送回复的電子郵件地址。
• 發件人：顯示消息發件人；它很容易偽造。
• 內容類型：告訴您的瀏覽器或電子郵件客戶端如何解釋電子郵件的內容。最常見的字符集是 UTF-8（見示例）和 ISO-8859-1。
• MIME-Version：聲明使用的電子郵件格式標準。MIME 版本通常為“1.0”。
• 主題：電子郵件內容的主題。
• 收件人：電子郵件的預期收件人；可能顯示其他地址。
• DKIM-Signature: Domain Keys I dentified M ail對發送電子郵件的域進行身份驗證，並應防止電子郵件欺騙和發件人欺詐。
• 已接收： “已接收”行列出了電子郵件在到達您的收件箱之前經過的每個服務器。您從下到上閱讀“已收到”行；最底線是發起人。
• Authentication-Results：包含執行的身份驗證檢查的記錄；可以包含不止一種身份驗證方法。
• Received-SPF：發件人策略框架( SPF )構成阻止發件人地址偽造的電子郵件身份驗證過程的一部分。
• Return-Path：未發送或退回郵件結束的位置。
• ARC-Authentication-Results： A uthenticated R eceive Chain是另一種認證標準；ARC 驗證將郵件轉發到最終目的地的電子郵件中介和服務器的身份。
• ARC-Message-Signature：簽名對消息頭信息進行快照以供驗證，類似於DKIM。
• ARC-Seal：對ARC認證結果和消息簽名進行“封印”，驗證其內容；類似於 DKIM。
• X-Received：與“Received”不同，它被認為是非標準的；也就是說，它可能不是永久地址，例如郵件傳輸代理或 Gmail SMTP 服務器。（見下文。）
• X-Google-Smtp-Source：顯示使用 Gmail SMTP 服務器傳輸的電子郵件。
• Delivered-To：此標頭中電子郵件的最終收件人。

您不必了解所有這些內容對跟踪電子郵件意味著什麼。但是，如果您學會查看電子郵件標頭，就可以快速開始追踪電子郵件發件人。

此外，每個電子郵件提供商都有不同的列出 IP 地址的方式。例如，Gmail 在 Received 行中顯示最後一個電子郵件服務器的 IP 地址（而不是發件人 IP 地址），而如果您使用的是 Yahoo Mail，則 Received 行可能顯示實際發件人 IP 地址。不幸的是，這意味著您將不得不使用數據來追踪誰發送了電子郵件。

追踪電子郵件的原始發件人

要追踪原始電子郵件發件人的 IP 地址，請前往完整電子郵件標頭中的第一個Received。在第一行 Received 旁邊是發送電子郵件的服務器的 IP 地址。有時，這顯示為X-Originating-IP或Original-IP。

找到 IP 地址，然後前往MX Toolbox。在框中輸入 IP 地址，使用下拉菜單將搜索類型更改為反向查找，然後按 Enter。搜索結果將顯示與發送服務器相關的各種信息。

除非原始 IP 地址是數百萬私有 IP 地址之一。在這種情況下，您會看到以下消息：

以下 IP 範圍是私有的：

• 0.0.0-10.255.255.255
• 16.00-172.31.255.255
• 168.0.0-192.168.255.255
• 0.0.0-239.255.255.255

這些範圍的 IP 地址查找不會返回任何結果。

3 個追踪電子郵件和 IP 地址的免費工具

當然，有一些方便的工具可以為您自動執行此過程。了解完整的電子郵件標頭及其內容很方便，但有時您需要快速了解信息。此外，您想免費跟踪電子郵件，而不是花一大筆錢。

查看以下標頭分析器：

• GSuite 工具箱消息標題
• MX 工具箱電子郵件標頭分析器
• IP-Address Email Header Trace（郵件頭分析器+IP地址追踪器）

但是，結果並不總是匹配。在下面的示例中，我知道發件人離所謂的位置很遠，據說在威奇托附近的水庫中間。

因此，跟踪電子郵件的成功與否取決於發件人的電子郵件提供商。例如，如果您試圖追踪從 Gmail 帳戶發送的電子郵件，您將只能找到處理您電子郵件的最後一個 Google 服務器的位置，而不是原始發件人的 IP 地址。

您可以使用社交媒體追踪電子郵件嗎？

社交媒體是追踪電子郵件發件人的另一種選擇，但與其他方法一樣，它不能保證有效。社交媒體電子郵件跟踪依賴於發件人將相同的電子郵件地址添加到他們的帳戶並將該信息公開。

例如，您可以使用 Facebook 的搜索工具在網站上搜索電子郵件地址，但如果您要查找的人尚未將特定電子郵件地址添加到帳戶，則無法正常工作。通過社交媒體追踪電子郵件可能適用於更具體的服務，例如 LinkedIn，用戶更有可能留下前向電子郵件地址。

同樣，這取決於您開始跟踪電子郵件地址的原因。您極不可能通過 LinkedIn 帳戶追踪詐騙帳戶，但學習社交媒體網站的 OSINT 通常很有用。

您真的可以從電子郵件中追踪到 IP 地址嗎？

在某些情況下，通過電子郵件標頭跟踪 IP 地址很有用。一個特別惱人的垃圾郵件發送者，也許，或者是常規網絡釣魚電子郵件的來源。

某些電子郵件只會來自某些位置；例如，您的 PayPal 電子郵件不會來自中國。在這一點上，追踪電子郵件的來源並不是一門精確的科學，至少不是使用易於訪問的工具。由於大量用戶使用 Gmail、Outlook 和 Yahoo 等免費電子郵件服務，因此對於普通互聯網用戶而言，追踪從這些服務發送的電子郵件或與發件人相關的 IP 地址仍然極其困難，如果不是不可能的話。

此外，如果發件人使用 VPN 或其他匿名服務（可能是代理服務器或從 Tor 網絡上的電子郵件帳戶發送），您將永遠無法追踪電子郵件發件人。