Um endereço de e-mail de retorno nem sempre conta a história completa da origem do e-mail. No entanto, cada e-mail enviado inclui informações completas sobre o caminho percorrido do ISP do remetente até sua caixa de entrada. Essas informações são armazenadas no cabeçalho do e-mail, que pode ser visualizado na maioria das caixas de correio online e software cliente de e-mail.
Abrindo cabeçalhos de e-mail
Praticamente todos os clientes de e-mail oferecem a capacidade de ler cabeçalhos de e-mail. No Gmail, por exemplo, abra a mensagem, clique na seta para baixo ao lado do botão Responder e clique em “Mostrar original” no menu que aparece para exibir a mensagem com um cabeçalho completo. No Thunderbird, clique em “Outras ações” ao lado da mensagem de e-mail e, em seguida, clique na opção “Exibir fonte” para ver a mensagem completa com o cabeçalho. No Microsoft Outlook, clique no menu "Arquivo" e selecione "Propriedades" para abrir uma caixa de diálogo que inclui uma seção de cabeçalhos da Internet.
Leitura de cabeçalhos
Os cabeçalhos parecem conter muitas informações truncadas; o que você está procurando está próximo a um campo marcado “Recebido:”. Você pode ler isso diretamente, tendo em mente que o cabeçalho é construído ao contrário: a última ação "Recebida:" da mensagem, que foi a entrega da mensagem em sua caixa de correio, aparece primeiro, então você precisa rolar até a parte inferior do cabeçalho para encontrar suas origens. Em alguns programas, como o Outlook, as informações já estão organizadas e colocadas em campos bem descritos. Como alternativa, você pode colar o cabeçalho do e-mail em uma ferramenta de análise de cabeçalho, como a oferecida pelo Google Toolbox (consulte Recursos). Os analisadores geralmente invertem os cabeçalhos construídos ao contrário, colocando a primeira ação no e-mail no topo.
Identificando o ISP
Encontrar o ISP de origem se resume a identificar o primeiro servidor que recebeu a mensagem. Em uma mensagem não analisada, este está entre os últimos itens marcados com um “Recebido:” precedendo-o. O motivo pelo qual nem sempre é o primeiro servidor é porque algumas organizações têm servidores que atuam como intermediários no processo de entrega. Para analisar as informações, procure o texto a seguir. Por exemplo, o campo pode incluir o seguinte:
de BL2PR03MB228.myispemail03.blank.vision.com ([169.254.50.146]) com mapi id 15.00.0775.005; Sex, 27 de setembro de 2013 19:17:03 +0000.
As informações antes do parêntese são o nome e o endereço IP de um servidor de e-mail, que normalmente é o ISP de origem.
Pesquisar o IP
Obviamente, os nomes DNS e endereços IP nem sempre fornecem uma imagem clara do ISP. Para resolver isso, execute uma pesquisa WHOIS do endereço IP que você encontrou. Uma pesquisa WHOIS consulta um grande banco de dados de endereços IP públicos e seus proprietários, portanto, insira o endereço IP na pesquisa WHOIS (consulte Recursos) para obter informações sobre o proprietário. Isso deve informar o ISP exato por remetente. Esteja avisado, no entanto, que algumas mensagens de spam usam cabeçalhos de e-mail forjados ou “falsificados” para ocultar sua origem real.