電子郵件標頭是電子郵件中隱藏的部分,包含識別和驗證訊息的重要資訊。了解如何閱讀這些標頭以偵測垃圾郵件並確保安全。

您是否收到來自不明位址的意外電子郵件?它真的來自您信任的人,還是只是一封 垃圾郵件網路釣魚 嘗試?電子郵件標頭可以協助您查明真相。

我們將解釋什麼是電子郵件標頭,它們包含什麼內容,以及如何閱讀它們,以保持您的收件匣安全且免受垃圾郵件侵擾。

什麼是電子郵件標頭?

電子郵件標頭是隱藏在電子郵件中的一段代碼,其中包含有關寄件者、收件者以及郵件如何路由與驗證的詳細資訊。

電子郵件通常會在頂部的可見標頭中顯示主旨寄件者收件者日期欄位。

顯示主旨、寄件者、收件者和日期欄位的可見電子郵件標頭

然而,郵件濫發者或詐騙者可以冒充顯示的寄件者欄位,讓寄件者看起來像是您信任的人。透過檢視原始訊息隱藏的完整電子郵件標頭(如下所示),您可以檢查寄件者的位址與其他傳遞資訊,以驗證其是否合法(請參閱下方如何讀取電子郵件標頭)。

顯示收件者、寄件者、日期、已接收和其他欄位的電子郵件標頭範例

電子郵件標頭包含什麼內容?

電子郵件的標頭包含有關寄件者、收件者以及郵件如何傳遞的資訊,其中包括以下必要欄位:

  • 寄件者:寄件者的姓名和電子郵件地址
  • 日期:郵件傳送的時間和日期
  • 收件者:收件者的位址(如果電子郵件包含副本抄送或密件副本,則為多個位址)

大多數電子郵件通常包含許多其他欄位,例如:

  • 主旨:顯示在主旨行中的標題
  • 回覆路徑:電子郵件傳送失敗時的回覆位址
  • 已接收:郵件通過的 SMTP 伺服器。電子郵件通常會通過多個伺服器,每個伺服器都會新增一個新的「已接收」標頭。
  • 驗證結果:檢查電子郵件是否來自所述寄件者的結果。

有關這些與其他常見標頭欄位的詳細資料,請參閱下方如何讀取電子郵件標頭

為什麼電子郵件標頭很重要?

電子郵件標頭包含正確傳遞、驗證與篩選郵件所需的必要資訊。透過電子郵件標頭,您可以:

識別寄件者與收件者

雖然攻擊者可以冒充電子郵件的顯示名稱,但電子郵件標頭有助於您追蹤寄件者的原始位址與傳遞詳細資料。透過這種方式,您可以檢查寄件者是否為真,並在必要時封鎖他們。

追蹤電子郵件路由

當您傳送電子郵件時,它會經過多個伺服器或郵件傳輸代理 (MTA)。每個 MTA 都會新增一個已接收標頭,其中包含其 IP 位址(新視窗)以及關於該電子郵件傳輸路徑中各節點的其他詳細資料。透過檢視標頭,您可以檢查是否有可疑的路由。

顯示郵件驗證

當您收到電子郵件時,您需要驗證寄件者是否為真。電子郵件標頭通常會顯示郵件是否通過了 SPFDKIMDMARC 等驗證檢查(詳細資料請參閱下方)。

發現垃圾郵件與網路釣魚

電子郵件服務會使用電子郵件標頭中的郵件詳細資料,來判斷郵件是否為垃圾郵件網路釣魚攻擊。通常,垃圾郵件篩選器的結果也會包含在電子郵件標頭中。

取得 Proton Mail 按鈕

何時需要檢查電子郵件標頭?

您不需要檢查收到的每一封電子郵件的標頭。但以下情況下,檢查電子郵件標頭可能會很有用:

檢查可疑電子郵件

如果您收到看似垃圾郵件或網路釣魚的電子郵件,您可以檢查標頭以調查其是否合法。追蹤寄件者的位址、網域、IP 位址和其他詳細資料,有助於您判斷它是否為真或屬於網路釣魚嘗試。

調查電子郵件篡改

如果您懷疑有人正在攔截您的電子郵件或已存取您的帳號,檢查電子郵件標頭有助於您進行調查。透過檢查郵件的來源以及它所通過的每一台電子郵件伺服器,您可以追蹤任何攔截或未經授權的存取。

識別電子郵件傳遞問題

如果您在傳送或接收電子郵件時遇到問題,檢查標頭有助於您找出原因。例如,標頭可能包含錯誤訊息,或顯示垃圾郵件篩選器拒絕了您傳送的郵件。

如何檢視電子郵件標頭

大多數電子郵件頂部的標頭僅包含主要顯示欄位,例如主旨寄件者收件者日期。以下是在常見電子郵件服務中顯示原始郵件完整電子郵件標頭的方法。

檢視 Proton Mail 電子郵件標頭

1. 登入您的帳號至 mail.proton.me(新視窗) 並開啟一封電子郵件。

2. 按一下更多選單(三個水平點),然後選取檢視標頭

檢視標頭選項以在 Proton Mail 中檢視電子郵件標頭

電子郵件標頭將顯示在彈出式視窗中。您可以點擊下載將其下載為 .txt 檔案。

下載按鈕,用於在 Proton Mail 中下載電子郵件標頭

了解如何在 Proton Mail 網頁與行動應用程式中檢查電子郵件標頭

檢視 Gmail 電子郵件標頭

  1. 登入您的帳號至 account.gmail.com(新視窗),並開啟一封電子郵件。
  2. 按一下更多選單(三個垂直點),然後選取顯示原始郵件

顯示原始郵件選項,用於在 Gmail 中檢視電子郵件標頭
  1. 點擊複製到剪貼簿以複製電子郵件標頭,或點擊下載原始郵件以進行下載。

檢視 Outlook 電子郵件標頭

  1. 前往 outlook.com(新視窗)Microsoft 365 登入頁面(新視窗)以登入您的帳號。
  2. 按一下更多動作選單(三個水平點),然後前往檢視 → 檢視郵件來源

檢視郵件來源選項,用於在 Outlook 中檢視電子郵件標頭

檢視 Apple iCloud 電子郵件標頭

  1. 登入您的帳號至 icloud.com/mail(新視窗),然後開啟一封電子郵件。
  2. 按一下回覆圖示,然後選取顯示所有標頭

顯示所有標頭選項,用於在 Apple iCloud 中檢視電子郵件標頭

如何閱讀電子郵件標頭

開啟電子郵件標頭後,您會看到一堆令人望而生畏的代碼 —— 這裡列出了關於該訊息的重要資訊(中繼資料(新視窗)),例如來源、路由方式以及驗證資訊。

若要尋找電子郵件標頭中的特定資訊,您可以使用鍵盤快速鍵 Control + F (Windows/Linux) 或 Command + F (Mac) 進行搜尋。例如,搜尋「Authentication」(驗證)以找到下方電子郵件標頭中的 Authentication-Results 欄位:

顯示「Authentication」單詞已反白標示的電子郵件標頭,以利在標頭中搜尋 Authentication-Results 欄位

但您應該查看哪些欄位,為什麼要看呢?

電子郵件標頭欄位說明

以下是電子郵件標頭中需要注意的主要中繼資料類型及其含義。

中繼資料含義
From (寄件者)訊息的寄件位址。請注意,此欄位可能會被偽造。
To (收件者)所有收件者的顯示名稱與電子郵件地址,包括副本抄送 (CC) 與密件副本 (BCC) 地址。如同上述,這些詳細資料可能會被偽造。
Subject (主旨)電子郵件的 Subject 行所顯示的郵件標題。
Date (日期)顯示電子郵件寄出日期與時間的時間戳記;例如:Wed, 8 Mar 2023 06:07:58 +0000
Received (接收)訊息在送達收件者前所經過的所有電子郵件伺服器名稱與 IP 位址(新視窗)。每當伺服器接收到一封電子郵件時,就會在列表頂端自動新增一個 Received 標頭。因此請由下往上閱讀 —— 檢查最底部的 Received 欄位以找到原始寄件者的 IP 位址。
Return-Path (退回位址)當電子郵件無法送達時應退回的位址,類似於普通郵件中的退件地址。
Reply-To (回覆至)收件者回覆時可選用的回覆位址。若沒有 Reply-To 欄位,系統會使用 Return-Path 地址。
DKIM signature (DKIM 簽名)DKIM (DomainKeys Identified Mail) 簽名是一種驗證方法,透過密碼學方式驗證電子郵件在 DKIM 簽署後是否遭到竄改,這有助於偵測偽造的電子郵件。Authentication-Results 欄位應顯示 dkim=pass 並包含標頭 d=[寄件者網域]
SPFSPF (Sender Policy Framework) 是一種驗證協定,用於檢查電子郵件是否從獲得授權的 IP 位址(新視窗)寄出。與 DKIM 一樣,Authentication-Results 欄位應顯示 spf=pass
DMARCDMARC (Domain-based Message Authentication, Reporting and Conformance) 是一種驗證協定,透過結合 DKIM 與 SPF 的檢查結果來防止電子郵件冒充。DMARC 允許寄件者定義若其電子郵件未通過 DKIM 與 SPF 檢查時的處理方式。
Authentication-Results (驗證結果)顯示 DKIM、SPF 和 DMARC 等驗證檢查結果(詳見上文)。
ARC-Authentication-ResultsARC 是一種在電子郵件轉寄時保留其驗證結果(DKIM、SPF 和 DMARC)的方法。ARC 應顯示 dkim, spf, and dmarc=pass
Message-ID為每封電子郵件訊息建立的唯一識別碼。
Spam-Action/
Spam-Status/
Spamscore
取決於所使用的垃圾郵件平台,會有各種垃圾郵件評級。例如,Spam-Action 欄位可能會顯示 inbox(非垃圾郵件)、spamphishing
Content-Type顯示電子郵件格式,例如 text/html 表示 HTML 訊息(格式化文字),或 text/plain 表示純文字(無格式)。
Message-Body訊息的主要內容。在 Proton Mail 的端對端加密電子郵件中,這會顯示為不可讀的 密文
電子郵件標頭中繼資料類型

電子郵件標頭分析工具

與其手動搜尋電子郵件標頭中的文字,一種更簡單的查找關鍵欄位的方法是使用電子郵件標頭分析工具,例如 MxToolbox 或 Mailheader.org 提供的工具。

將電子郵件標頭複製並貼上到分析工具中,然後點擊分析按鈕。它們不僅能為您定位主要欄位,還可能顯示該訊息是否經過驗證。

閱讀 Proton Mail 電子郵件標頭

Proton Mail 端對端加密訊息中的標頭與普通電子郵件中的標頭略有不同。我們包含了最少量的中繼資料,因此標頭較短,且訊息內容顯示為不可讀的 密文(從 BEGIN PGP MESSAGE 開始)。

顯示 PGP 加密密文的 Proton Mail 電子郵件標頭

與所有電子郵件一樣,如果您認為訊息看起來有問題,可以在電子郵件標頭中檢查其來源。

檢查顯示的寄件者和電子郵件地址

首先,顯示的寄件者名稱是否與對應的電子郵件地址相符?在這封冒充聯合國發送的網路釣魚郵件中,顯示的名稱「United Nations Compensation」與隨機的 @gmail.com 寄件者地址以及 @yahoo.com 回覆給 (Reply-To) 地址顯然有很大差異。

電子郵件標頭顯示寄件者名稱為「United Nations Compensation」,但對應的電子郵件地址卻是一個可疑的 @gmail.com 地址,而回覆給地址則是一個隨機的 @yahoo.com 地址

寄件者的地址是否來自您信任的網域?例如,下方的訊息來自 Proton Mail 地址 (@proton.me) 並由 mail.protonmail.ch(受信任的 Proton Mail 網域)傳送。

顯示包含已知受信任網域名稱的寄件者 (From) 和接收 (Received) 欄位的電子郵件標頭

檢查接收 (Received) 欄位

大多數電子郵件(如在 Proton Mail 與非 Proton Mail 使用者之間發送的訊息)都會經過多個 SMTP 伺服器。每個伺服器都會在電子郵件標頭的頂部新增一個包含時間戳記和伺服器 IP 位址(新視窗)Received 欄位。

從底端往上閱讀,您可以追蹤電子郵件傳輸過程中每個「跳躍點」的歷程。如果跳躍點之間存在長時間延遲,或者有訊息被重新導向至另一個地址的紀錄,則該訊息可能已被身分冒充或遭竄改。

在 Proton Mail 標頭中,我們新增了最頂部的 Received 欄位,因此您可以確信它是真實的。

垃圾郵件篩選和網路釣魚

最後,電子郵件服務提供者可能會在電子郵件標頭中包含垃圾郵件篩選的詳細資料。但在 Proton Mail,我們使用 多層垃圾郵件防護系統,因此電子郵件標頭中的垃圾郵件欄位無法為您提供完整的情況。

您不需要檢查垃圾郵件標頭,因為我們會自動將已知垃圾郵件過濾到您的 Spam(垃圾郵件)資料夾中,並清楚標記疑似網路釣魚的電子郵件。

將此訊息標記為網路釣魚嘗試的 Proton Mail 注意訊息

檢查電子郵件標頭,保持安全

電子郵件標頭包含有關訊息路由和驗證的重要詳細資料。透過檢視電子郵件的標頭,您可以調查可疑的寄件者並檢查該訊息是否為真。

然而,訊息標頭所能提供的資訊有限。您需要具備全面垃圾郵件防護功能(如 Proton Mail)的電子郵件服務,才能擊敗郵件濫發者並保持安全。透過 Proton Mail,您將獲得:

註冊免費的 Proton Mail 帳號,您將獲得加密的 Proton CalendarProton DriveProton VPN(新視窗),以保護您的隱私與安全。保持安全!

Create a free Proton Account button

電子郵件標頭常見問題解答

電子郵件標頭可以被冒充嗎?

您無法 冒充 完整的標頭,但可以冒充標頭中的個別欄位。駭客可以使用 SMTP 伺服器來編輯許多標頭欄位(例如 FromReply-ToReturn-Path),使偽造的電子郵件看起來像是來自合法寄件者。

最好的電子郵件提供者(如 Proton Mail)擁有 全面的垃圾郵件篩選 和網路釣魚防護功能,可以標記潛在的惡意訊息。儘管如此,您仍然可以透過 檢查電子郵件標頭 自行調查可疑訊息。

電子郵件標頭中的 X-headers 是什麼?

X-headers 是在標準標頭(如 FromToDate 等)之外,新增至電子郵件標頭中的欄位。例如,電子郵件提供者會新增 X-headers 以包含驗證結果和垃圾郵件篩選資訊。

X-headers(例如 X-Originating-IP 欄位,它顯示寄件者的 IP 位址)在調查可疑訊息時可以提供有用的線索。

為什麼電子郵件標頭中會有這麼多 Received 欄位?

當您發送電子郵件時,它會經過一系列伺服器或 郵件傳輸代理 (MTA) 的跳躍點。每個 MTA 的 SMTP 伺服器都會在電子郵件標頭的頂部新增一個包含時間戳記和伺服器 IP 位址(新視窗)Received 欄位。

從底部的 Received 標頭開始,您可以檢查寄件者的電子郵件地址,並在 Received 標頭中追蹤電子郵件傳輸的每個跳躍點歷程。

您可以透過電子郵件標頭追蹤特定的人嗎?

您無法僅透過查看電子郵件標頭來追蹤個人。

然而,電子郵件提供者、網際網路服務供應商 (ISP) 以及執法機構或許能透過您的公開 IP 位址和其他 中繼資料(新視窗) 來識別您的身分。進一步瞭解 電子郵件如何被追蹤