Zpáteční e-mailová adresa vám neřekne vždy celý příběh zdroje daného e-mailu. Každý odeslaný e-mail však obsahuje úplné informace o cestě, kterou vzal od ISP odesílatele k vaší doručené poště. Tyto informace jsou uloženy v záhlaví e-mailu, který je viditelný ve většině online poštovních schránek a softwaru e-mailového klienta.
Otevírání záhlaví e-mailů
Prakticky všichni poštovní klienti vám dávají možnost číst záhlaví e-mailů. Například v Gmailu otevřete zprávu, klikněte na šipku dolů vedle tlačítka Odpovědět a poté v nabídce, která se zobrazí, klikněte na „Zobrazit originál“. Zobrazí se zpráva s plnou hlavičkou. V Thunderbirdu klikněte na „Další akce“ vedle e-mailové zprávy a poté klikněte na možnost „Zobrazit zdroj“, aby se zobrazila celá zpráva s hlavičkou. V aplikaci Microsoft Outlook klikněte na nabídku „Soubor“ a poté vyberte „Vlastnosti“. Zobrazí se dialogové okno obsahující část Internetová záhlaví.
Čtení záhlaví
Zdá se, že záhlaví obsahují spoustu zkomolených informací; to, co hledáte, je vedle pole označeného „Přijato:“. Můžete si to přečíst přímo a mít na paměti, že záhlaví je vytvořeno obráceně: jako první se zobrazí poslední akce „Přijato:“, kterou bylo doručení této zprávy do vaší poštovní schránky, takže musíte přejít na konec záhlaví najít jeho původ. V některých programech, jako je Outlook, jsou informace již uspořádány a umístěny do dobře popsaných polí. Alternativně můžete záhlaví e-mailu vložit do nástroje pro analýzu záhlaví, jako je ten, který nabízí Google Toolbox (viz Zdroje). Analyzátory často obracejí zpětně vytvořené záhlaví a první akci na e-mail umístí nahoře.
Identifikace ISP
Hledání původního poskytovatele služeb Internetu vede k identifikaci prvního serveru, který zprávu přijal. V neošetřené zprávě se jedná o jednu z posledních položek označených před ní „Přijato:“. Důvod, proč to není vždy první server, je ten, že některé organizace mají servery, které v procesu doručování fungují jako prostředníci. Chcete-li analyzovat informace, vyhledejte následující text. Pole může například obsahovat následující:
z BL2PR03MB228.myispemail03.blank.vision.com ([169.254.50.146]) s mapi id 15.00.0775.005; Pá, 27. září 2013 19:17:03 +0000.
Informace před závorkou je název a adresa IP poštovního serveru, kterým je obvykle původní poskytovatel internetových služeb.
Vyhledejte IP
Jména DNS a adresy IP samozřejmě neposkytují vždy jasný obraz o ISP. Chcete-li to vyřešit, proveďte WHOIS vyhledávání adresy IP, kterou jste našli. Vyhledávání WHOIS dotazuje velkou databázi veřejných IP adres a jejich vlastníků, takže zadejte IP adresu do vyhledávání WHOIS (viz Zdroje) a získejte informace o vlastníkovi. To by vám mělo sdělit přesného ISP podle odesílatele. Upozorňujeme však, že některé nevyžádané zprávy používají k skrytí skutečného původu padělané nebo „falešné“ záhlaví pošty.