邮件头部是一份"旅行日志"

每封电子邮件除了正文之外,还携带着称为"头部"的元数据。通常情况下头部是隐藏的,但可以通过邮件客户端的"显示头部"功能查看。头部包含了邮件的详细"旅行日志",经过了哪些服务器、何时发送、发件人的 IP 地址,以及身份验证检查是否通过。

掌握头部的阅读方法,是判断钓鱼邮件真伪或追溯垃圾邮件来源的有力工具。

关键头部字段

Received 头部 - 服务器中继记录

这是最重要的头部。邮件经过的每台服务器都会添加自己的信息作为 Received: 头部。从下往上阅读可以揭示从发件人到收件人的时间顺序路径。

Received: from mail-out.example.com (203.0.113.10)
by mx.recipient.com with ESMTPS
Tue, 15 Apr 2026 10:30:15 +0900

从这个头部中,您可以读取发送服务器的主机名和 IP 地址、接收服务器、通信协议(ESMTPS = 加密)以及时间戳。

From / Return-Path - 发件人的"自我声明"

From: 是发件人可以自由设置的字段,因此很容易伪造。钓鱼邮件会在 From: 字段中设置合法公司的地址。Return-Path:(信封 From)是实际的退信地址,如果它与 From: 不同,则可能存在伪造。

Authentication-Results - 验证结果

此头部记录了接收服务器的 SPF、DKIM 和 DMARC 身份验证结果。

Authentication-Results: mx.recipient.com;
spf=pass (sender IP is 203.0.113.10);
dkim=pass header.d=example.com;
dmarc=pass

如果 SPF、DKIM 和 DMARC 都显示 pass,则发件人的合法性很高。如果出现 failnone,则需要警惕。

X-Originating-IP - 发件人的真实 IP

一些邮件服务(如 Outlook.com)会在 X-Originating-IP: 头部中记录发件人的实际 IP 地址。您可以在 IP 确认上查询此 IP 地址,估算发件人的大致地理位置。不过,Gmail 出于隐私保护不包含此头部。

通过头部检测钓鱼邮件

收到钓鱼邮件时,检查头部可以帮助揭露伪造行为。

  • From: 显示大公司的地址,但 Received: 中的发送 IP 来自无关国家的服务器
  • SPF 为 fail,发送 IP 不在该域名的授权列表中
  • DKIM 为 fail,邮件内容可能已被篡改
  • Reply-To: 使用与 From: 不同的域名,试图将回复重定向到其他地址

总结

邮件头部是一封邮件完整旅程的记录。通过 Received 头部追踪路由、在 Authentication-Results 中检查身份验证状态、通过 From 和 Return-Path 的不匹配检测伪造,这些都是实用的邮件安全知识。

相关术语

IP 地址 在 Received 头部中记录为发送服务器的标识符。用于追踪发件人。 钓鱼 伪装成合法发件人的虚假邮件。头部分析可以检测伪造行为。 垃圾邮件 SPF/DKIM/DMARC 身份验证结果记录在头部中,用于垃圾邮件检测。 加密 头部可以确认邮件传输是否通过 ESMTPS(SMTP over TLS)加密。 DNS SPF 记录发布在 DNS 中,用于验证发送 IP 的合法性。