Esempi di header validi

 From chili@hotmail.com Tue Aug 11 15:58:02 2000
 Delivered-To: mango@snowcrash.pobox.com
 Received: from hotmail.com (f148.hotmail.com 207.82.251.27)
		 by snowcrash.pobox.com (VMailer) via SMTP
		 id 194D517D0C; Tue, 11 Aug 2000 15:57:26 -0400 (EDT)
 Received: (qmail 10862 invoked by uid 0);
 		11 Aug 2000 19:59:38 -0000 
 Message-ID: <20000811195938.10861.qmail@hotmail.com>
 Received: from 208.194.21.2 by www.hotmail.com with HTTP;
			 Tue, 11 Aug 2000 12:59:36 PDT
 X-Originating-IP: [208.194.21.2]
 From: "Megan V." 
 To: mango@snowcrash.pobox.com
 Subject:
 Content-Type: text/plain
 Date: Tue, 11 Aug 2000 12:59:36 PDT
 Content-Length: 2093
 Lines: 57
 Status: RO

Cominciando a leggere dall'inizio vediamo che nella transazione SMTP chi ha spedito l'email si è autenticato come chili@hotmail.com (primo header From, notare la differenza con il secondo).

Ora che si sa chi ha spedito il messaggio, occorre sapere in che modo il messaggio è giunto a destinazione, ovvero per chi è passato durante il suo tragitto. Per far ciò bisogna leggere gli header Received. Dall'ultimo in ordine di inserimento si vede come il messaggio sia stato recapitato dal dominio hotmail.com al dominio snowcrash.pobox.com tramite il protocollo SMTP. Questi due non sono altro che nomi, non indirizzi. Infatti fra parentesi dopo hotmail.com segue il nome del mail exchanger (f148.hotmail.com) e il suo indirizzo IP (207.82.251.27). Si nota anche come la transazione, come già detto, sia avvenuta tramite SMTP, e anche quale è la data e l'orario di essa (Tue, 11 Aug 2000 15:57:26 -0400 (EDT)).

Il successivo header Received mostra dove era il messaggio prima di andare verso il dominio di destinazione: dentro il Mail Transport Agent qmail con data August 11, 2000, at 7:59:38PM. L'orario, nonostante sembri molto dissimile da quello di arrivo del messaggio, in realtà è molto vicino perchè nell'header superiore l'orario è impostato secondo l'Eastern Digital Time, mentre quest'altro fa riferimento al Greenwhich Mean Time e effettivamente ci sono 4 ore di differenza fra i due.

Il successivo e ultimo header Received indica che l'email è originata all'indirizzo IP 208.194.21.2 ed è stata recapitata a www.hotmail.com tramite il protoccolo HTTP in data Tue, 11 Aug 2000 12:59:36 PDT. Sorvolando sulla data (che comunque è corretta), questo header ci dice che l'IP di chi ha inviato l'email.

I rimanenti header sono piuttosto auto-esplicativi e quindi non vengono discussi. Riassumendo chi ha inviato l'email lo ha fatto presso il sito web di Hotmail alle 12.59.36 ora del Pacifico. Il messaggio è arrivato al server di posta Hotmail 2 secondi dopo ed infine è giunto al dominio snowcrash.pobox.com alle 15.57.26 (sembrerebbe impossibile, ma la spiegazione di tale arrivo nel ``passato'' è quasi certamente da ricondurre a una diversa sincronizzazione degli orologi di sistema...). Può questo messaggio essere stato camuffatto dal mittente? Tutti gli header sono manipolabili al momento dell'invio di un messaggio alla sorgente (e quindi camuffabili), ma è praticamente impossibile fare qualcosa di strano su Received: il mittente può solo aggiungerli infatti. Dalla rilettura in ordine di essi si vede come siano autentici e, nonostante non sia affatto una prova, anche il campo To contiente l'indirizzo reale del destinatario, cosa che spesso gli spammer omettono del tutto poichè mandano uno stesso messaggio a più destinatari. In conclusione, il messaggio è legittimo per ciò che riguarda gli header.