En e-postadress som returneras berättar inte alltid hela källans historia. Varje e-post som skickas innehåller dock fullständig information om sökvägen från avsändarens ISP till din inkorg. Denna information lagras i e-postrubriken, som kan visas i de flesta online-brevlådor och e-postklientprogramvara.
Öppnar e-postrubriker
Praktiskt taget alla e-postklienter ger dig möjlighet att läsa e-postrubriker. I Gmail, till exempel, öppna meddelandet, klicka på nedåtpilen bredvid Svara-knappen och klicka sedan på “Visa original” i menyn som visas för att visa meddelandet med en fullständig rubrik. I Thunderbird klickar du på "Andra åtgärder" bredvid e-postmeddelandet och klickar sedan på alternativet "Visa källa" för att se hela meddelandet med rubriken. I Microsoft Outlook klickar du på "Arkiv" -menyn och väljer sedan "Egenskaper" för att visa en dialogruta som innehåller en Internet-rubrik.
Läshuvuden
Rubriker verkar ha mycket förvrängd information; det du letar efter ligger bredvid ett fält märkt "Mottaget:". Du kan läsa detta direkt, med tanke på att rubriken är bakåtkonstruerad: den senaste åtgärden "Mottagen:" i meddelandet, som var meddelandets leverans till din brevlåda, visas först, så du måste bläddra till botten av rubriken för att hitta sitt ursprung. I vissa program, som Outlook, är informationen redan organiserad och placerad i väl beskrivna fält. Alternativt kan du klistra in e-postrubriken i ett analyseringsverktyg för rubriker, till exempel det som erbjuds av Google Verktygslåda (se Resurser). Parsers vänder ofta bakåtkonstruerade rubriker och placerar den första åtgärden i e-postmeddelandet högst upp.
Identifiera ISP
Att hitta den ursprungliga ISP: n kommer att identifiera den första servern som fick meddelandet. I ett oparat meddelande är detta bland de sista posterna som är märkta med "Mottaget:" före det. Anledningen till att det inte alltid är den allra första servern är att vissa organisationer har servrar som fungerar som mellanhänder i leveransprocessen. För att analysera informationen, leta efter texten som följer. Fältet kan till exempel innehålla följande:
från BL2PR03MB228.myispemail03.blank.vision.com ([169.254.50.146]) med map-id 15.00.0775.005; Fre, 27 Sep 2013 19:17:03 +0000.
Informationen innan parentes är namnet och IP-adressen till en e-postserver, som vanligtvis är den ursprungliga ISP.
Slå upp IP-adressen
Naturligtvis ger DNS-namn och IP-adresser inte alltid en tydlig bild av ISP. För att lösa detta utför du en WHOIS-sökning av IP-adressen du hittat. En WHOIS-sökning frågar efter en stor databas med offentliga IP-adresser och deras ägare, så ange IP-adressen i WHOIS-sökningen (se Resurser) för att få information om ägaren. Detta ska berätta exakt ISP per avsändare. Varna dock att vissa skräppostmeddelanden använder förfalskade eller "falska" e-postrubriker för att dölja deras faktiska ursprung.