电子邮件头能用来跟踪诈骗分子吗

　　问:从拒收的欺骗性电子邮件那里收到的头文件信息能够帮助跟踪诈骗分子吗?

　　答:遗憾的是发送电子邮件使用的主要协议SMTP(简单邮件传输协议)协议不包含识别电子邮件发出地址的方法。不过，邮件服务器在它处理的每一个邮件信息上面都嵌入了一个“Received(已收到):头文件”，提供对电子邮件信息路由的持续跟踪，使邮件服务器可能确定这个电子邮件信息的来源。

　　事实上，电子邮件头文件中惟一不能造假的就是这个参考你的邮件服务器的“Received:行”。垃圾邮件制造者经常增加假冒的Received:头文件以便隐藏垃圾邮件的真正来源。但是，现代的邮件传输程序记录了发件人正确的IP地址。因此，即使这个发件人使用假冒的名字，当他与接收服务器进行联系时，你就可以确定这个诈骗性的电子邮件的来源。

　　让我们看一个典型的Received:头文件:

　　Received: from bay121-f19.bay121.hotmail.com ([207.46.10.99] helo=hotmail.com) by argon.webfusion.co.uk with esmtp (Exim 4.54) id 1FvB5u-0007UK-Qd for; Tue, 27 Jun 2006 11:46:58 +0100

　　这个头文件指出，这个电子邮件信息是由argon.webfusion.co.uk (这个网站运行esmtp信息传出代理)网站在2006年6月27日11点46分58秒从一个名为bay121-f19.bay121.hotmail.com的服务器那里收到的。这比通用的时钟时间提前了一个小时。这个文件还告诉我们，主机bay121-f19.bay121.hotmail.com的IP地址是207.46.10.99。使用WHOIS工具软件，我们知道这个IP地址是向微软注册的。

　　由于“Received:头文件”总是加在电子邮件信息上面的，检查随后收到的每一个“Received:头文件”就可以找到第一个可疑的文件。使用whois软件查找“Received:头文件”中的IP地址，看看谁拥有这个IP地址。这个头文件后面的任何头文件都可以安全地忽略。第一个非法的头文件意味着这个文件肯定是欺骗性的。你可以假定这个垃圾邮件的一般来源是收到这个虚假信息的服务器。使用这个IP地址，你可以查找这个接收服务器(也可能是一个ISP)注册的拥有者的名字和联系信息。向他们发出一封电子邮件，提供一个你收到的垃圾邮件的样本，并且保证包含整个邮件的头文件。即使ISP能够使用它们的记录跟踪谁发出的这个电子邮件，这个电子邮件也许是僵尸电脑发出的。所谓僵尸电脑就是被垃圾邮件制造者控制的在用有这不知情的情况下发出垃圾邮件的电脑。如果你从ISP那里得不到满意的答复，你可以向应急事件反应小组网站的事件报告论坛报告这个垃圾邮件，网址是 https://irf.cc.cert.org。

　　为了提供尽可能多的信息来帮助跟踪垃圾邮件，你可以提高登录你的邮件服务器的水平。此外，考虑设置你的防火墙，把SMTP连接从你的防火墙外部路由到一个邮件中心。这将向你提供电子邮件的单一进入点和中心记录能力。最后，考虑使用数字签名(如PGP)来交换经过身份识别的电子邮件信息。这就提供了一种机制，保证电子邮件是从表面上显示出身份的那个人发出来的，并且保证这个电子邮件在传输过程中没有被修改。同样，你也许要启用你的邮件传输软件中的SSL/TLS功能，在发送电子邮件的时候提高对电子邮件进行身份识别的数量。