Nem todos os cabeçalhos de email podem ser falsificados. Depois que a mensagem de email é recebida por um servidor confiável que fornece seu serviço de email, os cabeçalhos Recebidos: são confiáveis.
Considere esta sequência de cabeçalhos Received:
Received: by 10.142.214.19 with SMTP id m19cs274738wfg;
Thu, 17 Dec 2009 03:20:12 -0800 (PST)
Received: by 10.115.67.30 with SMTP id u30mr1589591wak.119.1261048811650;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from mail1.stackoverflow.com (mail1.stackoverflow.com [69.59.196.214])
by mx.google.com with ESMTP id 31si4514829pzk.62.2009.12.17.03.20.11;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from superuser.com (unknown [10.0.0.4])
by mail1.stackoverflow.com (Postfix) with ESMTP id 67A7F1E08A;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
O cabeçalho mais recebido: na parte inferior é seguido pelo corpo da mensagem, que inclui os cabeçalhos Para: e De:, que podem ser forjados. Mas vamos seguir os cabeçalhos Received:
O primeiro cabeçalho indica que um servidor no endereço IP 10.0.0.4 chamado superuser.com enviou uma mensagem ao servidor mail1.stackoverflow.com. Sabendo que esses dois nomes são esperados nesse caso, o cabeçalho Received: indica um encaminhamento interno no complexo de superusuários dos servidores de correio.
O próximo cabeçalho Received: indica que mail1.stackoverflow.com no endereço 69.59.196.214 encaminhou a mensagem para mx.google.com. Podemos confirmar que o endereço IP público de mail1.stackoverflow.com é 69.59.196.214 e, como o google é meu provedor de e-mail, esperaria que o trocador de correio (mx) no google.com recebesse minha mensagem. Este é o primeiro contato com o meu domínio de email (google) e não pode ser falsificado. Obviamente, pode haver um monte de cabeçalhos de Received: falsificados abaixo desse cabeçalho, portanto, encontrar o primeiro cabeçalho de Received: confiável pode ser complicado.
Os dois últimos Recebidos: cabeçalhos mostram 10 endereços na rede; portanto, eles são encaminhados no domínio do Google. Isso também não é inesperado.
Um servidor de email inválido pode inserir muitos cabeçalhos falsos de Received: no fluxo, mas sempre existe um que vem de uma fonte confiável, nesse caso, mx.google.com. Este primeiro cabeçalho Received: confiável indica o endereço IP público que realmente encaminhou o email. Se esse endereço IP for suspeito ou não corresponder ao nome de domínio relatado, você deverá suspeitar de todo o conteúdo da mensagem.
Você pode ler os cabeçalhos Received: na maioria dos clientes de email, usando o comando "view source". É preciso um pouco de habilidade para ler de baixo para cima e encontrar o primeiro cabeçalho Received: confiável, mas depois de encontrá-lo, verificar se é rápido e útil.