Địa chỉ email trả lại không phải lúc nào cũng cho bạn biết toàn bộ câu chuyện về nguồn của email đó. Tuy nhiên, mọi email được gửi đều bao gồm thông tin đầy đủ về đường dẫn mà nó đã đi từ ISP của người gửi đến hộp thư đến của bạn. Thông tin này được lưu trữ trong tiêu đề email, có thể xem được trong hầu hết các hộp thư trực tuyến và phần mềm ứng dụng email.
Mở tiêu đề email
Hầu như tất cả các ứng dụng thư đều cung cấp cho bạn khả năng đọc tiêu đề email. Ví dụ: trong Gmail, hãy mở thư, nhấp vào mũi tên xuống bên cạnh nút Trả lời, sau đó nhấp vào “Hiển thị Thư gốc” trong menu xuất hiện để hiển thị thư có tiêu đề đầy đủ. Trong Thunderbird, nhấp vào “Hành động khác” bên cạnh thư email, sau đó nhấp vào tùy chọn “Xem nguồn” để xem toàn bộ thư có tiêu đề. Trong Microsoft Outlook, nhấp vào menu "Tệp", sau đó chọn "Thuộc tính" để hiển thị hộp thoại bao gồm phần Tiêu đề Internet.
Đọc tiêu đề
Tiêu đề xuất hiện nhiều thông tin bị cắt xén; những gì bạn đang tìm kiếm nằm bên cạnh trường được đánh dấu “Đã nhận:”. Bạn có thể đọc trực tiếp điều này, hãy nhớ rằng tiêu đề được xây dựng ngược lại: hành động “Đã nhận:” cuối cùng của thư, tức là thư đó được gửi đến hộp thư của bạn, xuất hiện đầu tiên, vì vậy bạn cần cuộn xuống cuối tiêu đề để tìm nguồn gốc của nó. Trong một số chương trình, chẳng hạn như Outlook, thông tin đã được sắp xếp và đặt vào các trường được mô tả tốt. Ngoài ra, bạn có thể dán tiêu đề email vào công cụ phân tích cú pháp tiêu đề, chẳng hạn như công cụ được cung cấp bởi Hộp công cụ của Google (xem Tài nguyên). Trình phân tích cú pháp thường đảo ngược các tiêu đề được xây dựng ngược, đặt hành động đầu tiên trên email ở trên cùng.
Xác định ISP
Việc tìm ISP ban đầu giúp xác định máy chủ đầu tiên nhận được thông báo. Trong một tin nhắn chưa được phân tích, đây là một trong những mục cuối cùng được gắn nhãn "Đã nhận:" trước nó. Lý do không phải lúc nào cũng là máy chủ đầu tiên là vì một số tổ chức có máy chủ đóng vai trò trung gian trong quá trình phân phối. Để phân tích thông tin, hãy tìm văn bản sau đó. Ví dụ, trường có thể bao gồm những điều sau:
từ BL2PR03MB228.myispemail03.blank.vision.com ([169.254.50.146]) với id mapi 15.00.0775.005; Thứ sáu, ngày 27 tháng 9 năm 2013 19:17:03 +0000.
Thông tin trước dấu ngoặc đơn là tên và địa chỉ IP của máy chủ thư, thường là ISP gốc.
Tra cứu IP
Tất nhiên, tên DNS và địa chỉ IP không phải lúc nào cũng cung cấp bức tranh rõ ràng về ISP. Để giải quyết vấn đề này, hãy thực hiện tra cứu WHOIS đối với địa chỉ IP mà bạn đã tìm thấy. Tra cứu WHOIS truy vấn một cơ sở dữ liệu lớn về địa chỉ IP công cộng và chủ sở hữu của chúng, vì vậy hãy nhập địa chỉ IP vào tra cứu WHOIS (xem phần Tài nguyên) để lấy thông tin về chủ sở hữu. Điều này sẽ cho bạn biết ISP chính xác của người gửi. Tuy nhiên, hãy cảnh báo rằng một số thư rác sử dụng tiêu đề thư giả mạo hoặc "giả mạo" để che giấu nguồn gốc thực của chúng.