Как отследить письмо по заголовку

Визуальная схемa: как проследить путь электронного письма от отправителя к получателю

Важно: не используйте полученную информацию для домогательств или преследования. При подозрении на преступление обратитесь в службу безопасности или правоохранительные органы.

Зачем отслеживать адрес отправителя

Отслеживание письма помогает в нескольких случаях:

обнаружить фишинговые и мошеннические рассылки;
локализовать источник повторяющегося спама и добавить его в фильтр или заблокировать на сервере;
подтвердить, пришло ли письмо действительно от заявленного сервиса (проверка DKIM/SPF/ARC);
собрать дополнительные улики при расследовании инцидента безопасности.

Когда это не сработает:

если отправитель использует Gmail/ProtonMail/другой сервис, который скрывает исходный IP;
если письмо прошло через публичные почтовые шлюзы, а не напрямую от клиента;
если отправитель использует VPN, прокси или Tor.

Краткий план действий (минимальная методология)

Откройте письмо и получите полный заголовок (full header).
Прочитайте строки Received снизу вверх — нижняя строка ближе к исходной системе.
Найдите IP в первой (нижней) строке Received, или X-Originating-IP / Original-IP.
Выполните обратный поиск по IP (reverse lookup) и геолокацию (whois, RIR, geolocation).
Сверьте результаты с DKIM/SPF/Authentication-Results: есть ли подлинность домена?
При необходимости сохраните заголовок, снимки экрана и перенаправьте в службу безопасности или хостинг-провайдер.

Как получить полный заголовок письма

Полный заголовок — это не то же самое, что видимая строка “От” или “Кому”. Это техническая служебная информация: трассировка серверов, результаты проверок и метаданные. Каждый почтовый клиент имеет свой способ показать полный заголовок. Ниже — основные инструкции для популярных клиентов.

Как в Gmail просмотреть полный заголовок письма

Gmail: откройте письмо → меню (троеточие в правом верхнем углу) → “Показать оригинал” (Show original).
Outlook (Windows/macOS): двойной клик по письму → Файл → Свойства → раздел “Internet headers” (Интернет-заголовки).
Apple Mail: откройте письмо → Вид → Сообщение → Исходный текст (View > Message > Raw Source).
Proton Mail: откройте письмо → Ещё (троеточие) → Показать заголовки.
Yahoo Mail: откройте письмо → Ещё (троеточие) → Показать необработанное сообщение (View Raw Message).

Если вы пользуетесь другим клиентом — поищите “full header” или “raw source” вместе с названием клиента.

Как читать заголовок: базовые компоненты

Прежде чем приступить к трассировке, полезно понять, что означают ключевые поля. Читайте секцию Received снизу вверх — нижняя запись ближе всего к источнику.

Reply-To: адрес для ответа, может отличаться от “From”.
From: отображаемый отправитель; легко подделать.
To: получатель(и).
Subject: тема письма.
Content-Type: тип содержимого и кодировка (UTF-8, ISO-8859-1).
MIME-Version: версия стандарта MIME (обычно 1.0).
DKIM-Signature: цифровая подпись домена отправителя — подтверждает подлинность, если проверка успешна.
SPF / Received-SPF: проверка политики отправителя (Sender Policy Framework) — указывает, разрешён ли сервер отправлять письмо от имени домена.
Authentication-Results: результаты проверок DKIM/SPF/DMARC.
Return-Path: куда поступают bounce-сообщения.
ARC-*: цепочка аутентификации промежуточных серверов (полезно для пересылаемых писем).
X-Received / X-Google-Smtp-Source: дополнительные (часто нестандартные) поля, которые могут указывать на промежуточные сервисы.

Received: что важно

Строка Received выглядит примерно так (образец, формат может варьироваться):

Received: from mail.example.com (mail.example.com [203.0.113.45]) by mx.google.com with ESMTPS id abc123 for you@example.com; Wed, 25 Nov 2020 12:34:56 -0800 (PST)

Интерпретация:

“from” указывает имя хоста и, возможно, IP в квадратных скобках;
“by” — сервер-получатель, который обрабатывал письмо;
временная метка показывает, когда сервер принял письмо;
каждая такая строка добавляется на последнем этапе обработки сервером.

Именно нижняя (самая ранняя) строка Received может содержать IP отправляющего сервера или клиента. Но часто увидите IP промежуточного SMTP сервера, а не адрес конечного пользователя.

Пример длинного заголовка письма в Gmail

Поиск IP и обратный поиск (reverse lookup)

Если вы нашли IP (например, 203.0.113.45), есть стандартные шаги:

Скопируйте IP-адрес (без лишних символов).
Откройте сервис обратного поиска, например MXToolbox, WhatIsMyIPAddress, ARIN/RIR-lookup.
Выберите Reverse Lookup (обратный поиск) или WHOIS и вставьте IP.
Изучите:
- кому выделен IP (провайдер, дата регистрации сети),
- AS (автономная система) и её оператор,
- географическую привязку (не точное местоположение человека),
- имя почтового сервера, если доступно.

Результат обратного поиска IP в MXToolbox

Приватные диапазоны IP и что с ними делать

Инструменты не вернут полезной информации, если IP из приватного диапазона (RFC 1918) или других зарезервированных блоков. Примеры приватных диапазонов:

10.0.0.0 — 10.255.255.255
172.16.0.0 — 172.31.255.255
192.168.0.0 — 192.168.255.255

Если вы видите приватный IP в первой строке Received, это обычно означает, что письмо отправлено из локальной сети или через почтовый клиент, который передал сообщение через внешнюю точку, и реальный внешний IP добавлен позже в цепочке Received. В таких случаях ищите ближайшую внешнюю запись Received выше по списку.

Сообщение MXToolbox: IP-адрес — приватный диапазон

Бесплатные инструменты для автоматизации анализа заголовка

Полезные сервисы, которые автоматически разбирают заголовки и выделяют ключевые IP:

GSuite Toolbox Messageheader — анализатор заголовков от Google.
MXToolbox Email Header Analyzer — визуализирует цепочку Received.
IP-Address Email Header Trace — сочетает разбор заголовка и трассировку IP.
What Is My IP Address — включает инструмент Trace Email.

Пример трассировки IP-адреса отправителя в инструменте «What Is My IP Address»

Важно: бесплатные инструменты опираются на те данные, которые вы им предоставили. Если хедер обрезан или провайдер скрывает информацию — результат будет ограниченным.

Практический пример: почему геолокация может «врать»

Инструменты геолокации IP часто дают неточные или странные результаты. Это может быть вызвано несколькими факторами:

IP динамически перераспределён и сейчас принадлежит другому региону;
геолокационная база данных не обновлена;
IP принадлежит облачному провайдеру (AWS, Google Cloud, Azure) — тогда местоположение соответствует дата-центру;
цепочка пересылок и ретрансляций (mail relays) выводит местоположение промежуточного сервера, а не отправителя.

Пример: инструмент показывает, что IP расположен посреди водоёма в пустынной местности — это устаревшая или ошибочная привязка в базе данных.

Пример неверного геолокационного результата при трассировке письма

Когда метод откажет — типичные сценарии

Письмо отправлено через Gmail/Outlook/ProtonMail: часто виден только IP сервера, а не пользователя.
Отправитель использует почтовый сервис, который агрегирует трафик (маркетинговые рассылки, сервисы транзакционной почты).
Письмо было переслано через нескольких посредников, в результате нижние Received могут быть стерты или подписи отсутствуют.
Использование VPN/прокси/Tor: IP будет принадлежать услуге анонимизации.
Отправитель использует веб-форму обратной связи (сервер веб-приложения отправляет письмо от своего IP).

В таких случаях полезнее сосредоточиться на проверке DKIM/SPF/DMARC и анализе содержания письма.

Социальная разведка (OSINT) по email

Социальные сети — дополнительный источник сведений, но успех зависит от уровня открытости профиля.

Как искать:

Введите адрес в поиск Facebook — если он использовался при регистрации и видим в профиле, результаты появятся.
LinkedIn чаще демонстрирует рабочие e‑mail-адреса сотрудников компаний.
Twitter, GitHub, форумы — полезны для поиска совпадений email (пользователи часто публикуют контактные адреса).
Поисковые операторы в Google: “”””user@example.com”””” или “””””””””””””””””””” (кавычки вокруг адреса) помогут найти точные вхождения.

Ограничения:

Многие пользователи не раскрывают адрес открыто.
По политическим/юридическим причинам нельзя использовать найденные данные для преследования.

Руководства и чек-листы по ролям

Ниже — короткие чек-листы для разных ролей: что делать при обнаружении подозрительного письма.

Пользователь (не технический):

Не открывать вложения и ссылки.
Сделать снимок экрана и сохранить письмо как .eml/.msg.
Переслать письмо в отдел поддержки сервиса и/или в IT-отдел организации.
Пометить отправителя и/или блокировать.

Системный администратор / администратор почты:

Сохранить полные заголовки и логи почтового сервера.
Выполнить обратный поиск IP и WHOIS.
Проверить DKIM/SPF/DMARC и логи MTA.
Принять решение о блокировке IP/доменов на уровне почтового шлюза.

Аналитик по безопасности:

Сопоставить IP/AS/регистрационную информацию и выявить паттерны.
Проанализировать содержание письма и домены в ссылках.
Проверить наличие компрометированных учётных записей в организациях поставщиков.

Журналист / исследователь OSINT:

Собирать цепочку доказательств: заголовки, скриншоты, WHOIS, снимки публичных профилей.
Кросс-проверять адреса с базами утечек и публичными архивами.

Критерии приёмки: когда трассировка считается успешной

Вы нашли IP, который прямо связан с отправителем (например, корпоративный почтовый сервер компании-отправителя).
DKIM/SPF подтверждают, что домен не был подделан.
WHOIS/RIPE/ARIN показал владельца сети и регион, которые соответствуют ожиданиям.
Для уголовных дел собран пакет доказательств: оригинальный заголовок, логи сервера и результаты WHOIS.

Если ни один из пунктов не выполнен — трассировка считается частично или полностью неуспешной.

Тестовые сценарии и контроль качества

Примеры тестов для проверки процесса трассировки в компании:

Тест 1: Подлинное письмо из внутреннего домена → ожидаемый результат: нижняя строка Received указывает на внутренний SMTP и IP компании; DKIM проходит.
Тест 2: Письмо из Gmail → ожидаемый результат: IP указывает на сервер Google; личный IP отсутствует.
Тест 3: Письмо через сервис рассылки (Mailchimp) → ожидаемый результат: Received показывает имя сервера рассылки и соответствующий IP/AS.
Тест 4: Письмо с подделанным From → ожидаемый результат: SPF/DKIM/DMARC демонстрируют несоответствие.

Критерии успеха: корректная идентификация сервера отправки в ≥ 90% тестов для внутренних рассылок; корректная классификация (внешний/внутренний/анонимный) для всех входящих сообщений.

Практический playbook (короткий SOP)

Зафиксировать письмо (сохранить .eml).
Извлечь полный заголовок.
Найти первую (нижнюю) строку Received и любые X-Originating-IP.
Скопировать IP и выполнить whois + reverse lookup.
Проверить DKIM/SPF/Authentication-Results.
Сравнить геолокацию и оператора сети.
Сохранить все найденные результаты и принять решение: блокировать/эскалировать/архивировать.

Альтернативные подходы

Использовать лог почтового сервера (если у вас есть доступ) — логи дадут более точную картину, чем заголовок, особенно в случае локальных пересылок.
Запросить у хостинг-провайдера или облачного провайдера логи (при наличии юридической основы).
Проверять ссылки в письме в песочнице (sandbox) — это помогает выявлять вредоносные домены.

Ментальные модели и эвристики

“Нижняя строка — ближайший источник”: всегда начинайте чтение Received с низа.
“Промежуточные серверы выдают свой IP”: если адрес принадлежит крупному облаку — это, вероятно, дата-центр.
“DKIM сильнее From”: если DKIM проходит — домен отправителя вероятно подлинен.

Короткий глоссарий

DKIM: метод подписи домена для проверки, что содержимое не изменено.
SPF: список серверов, разрешённых отправлять почту от имени домена.
DMARC: политика, которая объединяет DKIM и SPF и говорит, что делать с письмом при несоответствии.
WHOIS: база данных регистрации IP/доменов.

Диаграмма принятия решения

flowchart TD
  A[Получено подозрительное письмо] --> B{Есть доступ к полному заголовку?}
  B -- Да --> C[Проанализировать Received снизу вверх]
  B -- Нет --> D[Получить заголовок через клиент/сохранить письмо]
  C --> E{Найден IP в нижней строке?}
  E -- Да --> F[WHOIS + Reverse lookup]
  E -- Нет --> G[Искать X-Originating-IP или промежуточные записи]
  F --> H{IP принадлежит облаку/провайдеру?}
  H -- Облако --> I[Проверка DKIM/SPF; возможна анонимизация]
  H -- Нет --> J[Идентификация организации — действие: блок/эскалация]
  G --> I

Часто задаваемые вопросы

Можно ли через email заголовок точно определить физическое местоположение отправителя?

Часто нет. Заголовок показывает место обработки письма почтовыми серверами, а не обязательно физическое местоположение реального пользователя. Если пользователь отправляет через VPN или через сервисы вроде Gmail/ProtonMail — реальный IP обычно скрыт.

Что лучше: анализ заголовка или проверка DKIM/SPF?

Оба метода дополняют друг друга. Анализ заголовка помогает найти IP и путь доставки, а DKIM/SPF говорят о подлинности домена и риске подделки. Используйте вместе.

Что делать, если в заголовке нет IP отправителя?

Проверьте более высокие строки Received, X-Originating-IP и Authentication-Results. Если реальный IP скрыт, сохраните доказательства и, при необходимости, обратитесь в службу поддержки провайдера или правоохранительные органы.

Итог и быстрый план действий

Шаг 1: получить полный заголовок (raw source).
Шаг 2: читать Received снизу вверх; искать IP или X-Originating-IP.
Шаг 3: выполнить reverse lookup и WHOIS.
Шаг 4: проверить DKIM/SPF/Authentication-Results.
Шаг 5: при подозрении на преступление — собрать доказательства и передать официальным органам.

Ключевая мысль: заголовок письма — ценный источник информации, но он не всегда даёт «идеальное» доказательство. Часто придётся сочетать технический анализ с OSINT и взаимодействием с провайдерами.

Как отследить электронное письмо до отправителя