Причины: При пересылке (Forward) почтовый клиент модифицирует заголовки письма, добавляя новые поля `Received`, `Return-Path`, `Message-ID` и часто вставляет блок `--Original Message--` в тело письма. Злоумышленники могут подделать заголовки, чтобы скрыть факт пересылки.
Решение (пошаговая инструкция по анализу заголовков письма):
1. Извлеките raw-заголовки письма. В почтовых клиентах (Thunderbird, Outlook, Web-интерфейсы) есть опция «Показать исходный текст» или «Просмотреть заголовки». В Gmail это кнопка «Показать оригинал» (три точки → Показать оригинал). В Outlook — «Свойства» для письма. Это необходимо для проверки оригинальности письма по заголовкам.
2. Проверьте цепочку `Received:` (анализ пути передачи).
Если письмо переслано через тот же почтовый сервер, вы увидите несколько цепочек `Received:` с разными временными метками. Оригинальное письмо обычно имеет одну непрерывную цепочку от отправителя до получателя.
Ключевой признак пересылки: заголовки `Received` от «вашего» сервера будут повторяться дважды — один раз как первоначальная доставка, второй раз как доставка после пересылки.
В Gmail ищите поле `X-Google-Original-Received` или `X-Forwarded-For`. Их наличие прямо указывает на пересылку.
3. Проанализируйте поля `Message-ID` и `Subject`.
Оригинальное письмо имеет уникальный `Message-ID` (вида ``), который генерирует сервер отправителя. При пересылке это поле чаще всего сохраняется, но может быть заменено новым, если пересылка делалась через сторонний сервис (например, Mailgun).
Признак пересылки: в поле `Subject` добавляется `Fwd:` или `FW:`. Это тривиально, но надёжно при ручном анализе.
4. Используйте инструменты для выявления подлинности email.
Рекомендация: email forensic tools (например, `eml_parser` в Python или онлайн-сервисы).
Команда для извлечения заголовков из EML-файла (bash/Linux):
bash
cat email.eml | grep -E "^(Received:|From:|To:|Date:|Message-ID:|X-Forwarded-For:)"Это позволит быстро определить инструменты для проверки пересланного письма и увидеть полную цепочку.
5. Проверьте DKIM/SPF/DMARC на всех этапах.
Если письмо переслано, SPF и DKIM первого отправителя могут быть не пройдены (потому что сервер пересылки меняет обратный путь).
Анализ заголовков письма на предмет пересылки в этом случае: найдите поле `Authentication-Results`. Если письмо прошло проверку для сервера пересылающего (например, verification for gmail.com passed, но для исходного домена fail), это признак пересылки.
Итоговая команда для быстрой проверки (Python):
python
import email
from email import policy
with open('email.eml', 'rb') as f:
msg = email.message_from_binary_file(f, policy=policy.default)
print("Message-ID:", msg['Message-ID'])
print("Subject:", msg['Subject'])
print("Received chain:", msg.get_all('Received'))Она выявит аномальную длину цепочки `Received`, что является основным признаком пересылки письма**.