Как по email узнать IP На самом деле — каждый почтовый узел записывает IP адрес, откуда пришло письмо. То есть IP адрес отправителя также записывается! Это отлично работает если используются настольные почтовые клиенты (например, Thunderbird, The Bat!). Но сейчас очень многие пользователи предпочитают веб-интерфейс для доступа к почте (примеры mail.google.com, mail.yandex.ru, e.mail.ru). При использовании веб-интерфейса веб-браузер передаёт данные (например, отправленное письмо) в почтовую программу и эта почтовая программа передаёт письмо адресату (или промежуточному почтовому узлу) — и адресат видит IP адрес сервера (например, сервера mail.google.com) — в этом случае настоящий IP адрес отправителя не попадает в заголовки. Плохая новость в том, что веб-интерфейсы стали весьма популярны. Хорошая новость в том, что злоумышленники (спамеры и мошенники) далеко не всегда используют веб-интерфейс — им нужно отправить множество писем и веб-интерфейс в этом случае просто неудобен. Другая хорошая новость в том, что в зависимости от структуры сети отправителя, в заголовки может попасть даже IP локальной сети. Пример: Может попасть имя компьютера: Может попасть информация о почтовом клиенте отправителя: Подделка IP адреса отправителя. IP адрес и имя хоста о предыдущем почтовом узле записывается каждым последующим узлом. Поэтому если вы доверяете почтовому узлу (например, письмо уже доставлено до сервера Google), то информацию об IP предыдущего узла можно считать надёжной. Я видел письма от мошенников (одно из таких мы немного поковыряем далее), в котором прежде чем быть доставленным до узла вызывающего доверие, оно прошло через ненадёжный один или два узла. Например: Ненадёжный узел 1 → Ненадёжный узел 2 → Надёжный узел 1 → Надёжный узел 2 Информация о каждом узле содержится в заголовке. При этом можно доверять только информации об IP хоста который обозначен как «Ненадёжный узел 2». Информация об IP адресе хоста «Ненадёжный узел 1» также имеется в заголовках, но соответствует ли она действительности, и вообще, были ли какие-либо точки пересылки электронного письма до второго ненадёжного узла — сказать уже невозможно. Итак, те, кто выделен курсивом, их IP мы можем считать достоверными. Все остальные данные о тех, кто стоит в цепочке ранее, могут быть спуфлены (подделаны). Структура электронного письма. Структура электронного письма не является жёсткой и возможны варианты. В любом случае сначала идут заголовки. В самом простейшем случае письмо состоит из заголовков и сообщения в виде простого текста: Кстати, как и в случае с HTTP протоколом, заголовки не нужно путать с тегом <head> в HTML коде или с заголовками на странице (например, оформляемыми тегами <h1>, <h2> и так далее. В данном случае заголовки — это метаинформация, которая является частью протокола. Довольно простой сервис анализа электронных писем. В него нужно вставить полное письмо с заголовками, а он покажет цепочку почтовых узлов, через которое прошёл данный email, а также выведет список вложений. Адрес сервиса: https://suip.biz/ru/?act=email Статья не моя, на авторство не претендую. Источник: https://hackware.ru/?p=7661