Det här är ett äkta gammal sparat SPAM som vi använder som exempel.
Brevet finns inlagt flera gånger på sidan för att det skall vara synligt i stort sett hela sidan så att man lätt kan se hur det ser ut.
Received: from smtp11.bellglobal.com (smtp11.bellglobal.com [204.101.251.53])
by intermedius.lh.umu.se (8.8.7/8.8.7) with ESMTP id FAA08586
for <någon@educ.umu.se>; Mon, 4 May 1998 05:20:45 +0200 (MET DST)
From: CoryA@bigfoot.com
Received: from danquibe (ppp7028.on.bellglobal.com [206.172.223.236])
by smtp11.bellglobal.com (8.8.5/8.8.5) with SMTP id WAA09327;
Sun, 3 May 1998 22:57:03 -0400 (EDT)
Date: Sun, 3 May 1998 22:57:03 -0400 (EDT)
Received: from login_0122.ybecker.net (mail.ybecker.net[204.126.205.203])
by ybecker.net (8.8.5/8.7.3) with SMTP id XAA05754
for CoryA@bigfoot.com; Sun, 3 May 1998 22:59:38 -0700 (EDT)
To: you@yourdomain.net
Subject: Do you need more money?
Reply-To: CoryA@bigfoot.com
X-PMFLAGS: 20720340.50
Comments: Authenticated Sender is <CoryA@bigfoot.com>
Message-Id: <65334150_84523498>
X-UIDL: 20720340_201230.501
Received: from smtp11.bellglobal.com (smtp11.bellglobal.com [204.101.251.53]) by intermedius.lh.umu.se (8.8.7/8.8.7) with ESMTP id FAA08586 for <någon@educ.umu.se>; Mon, 4 May 1998 05:20:45 +0200 (MET DST)
Detta headerfält har lagts på av mottagarens server. Den heter intermedius.lh.umu.se. Den har i sin tur fått brevet från en dator som kallade sig smtp11.bellglobal.com och hade ip-adressen 204.101.251.53 som visar sig vara smtp11.bellglobal.com. Inte mycket att kolla upp, vi vet ju att den senaste Received-raden alltid är mest korrekt.
Received: from danquibe (ppp7028.on.bellglobal.com [206.172.223.236]) by smtp11.bellglobal.com (8.8.5/8.8.5) with SMTP id WAA09327; Sun, 3 May 1998 22:57:03 -0400 (EDT)
Här ser vi var smtp11.bellglobal.com har fått mailet ifrån. Den fick det från en dator som kallade sig "danquibe" men hade ip-adressen 206.172.223.236 som slogs upp baklänges till ppp7028.on.bellglobal.com. ppp7028 tyder på en uppringd förbindelse, här har vi antagligen vår spammare.
Received: from smtp11.bellglobal.com (smtp11.bellglobal.com [204.101.251.53])
by intermedius.lh.umu.se (8.8.7/8.8.7) with ESMTP id FAA08586
for <någon@educ.umu.se>; Mon, 4 May 1998 05:20:45 +0200 (MET DST)
From: CoryA@bigfoot.com
Received: from danquibe (ppp7028.on.bellglobal.com [206.172.223.236])
by smtp11.bellglobal.com (8.8.5/8.8.5) with SMTP id WAA09327;
Sun, 3 May 1998 22:57:03 -0400 (EDT)
Date: Sun, 3 May 1998 22:57:03 -0400 (EDT)
Received: from login_0122.ybecker.net (mail.ybecker.net[204.126.205.203])
by ybecker.net (8.8.5/8.7.3) with SMTP id XAA05754
for CoryA@bigfoot.com; Sun, 3 May 1998 22:59:38 -0700 (EDT)
To: you@yourdomain.net
Subject: Do you need more money?
Reply-To: CoryA@bigfoot.com
X-PMFLAGS: 20720340.50
Comments: Authenticated Sender is <CoryA@bigfoot.com>
Message-Id: <65334150_84523498>
X-UIDL: 20720340_201230.501
Received: from login_0122.ybecker.net (mail.ybecker.net[204.126.205.203]) by ybecker.net (8.8.5/8.7.3) with SMTP id XAA0 5754 for CoryA@bigfoot.com; Sun, 3 May 1998 22:59:38 -0700 (EDT)
Detta fält är antagligen bara nonsens för att förvirra mottagaren. Det står att en dator som heter ybecker.net skall ha fått brevet från en dator som kallade sig login_0122.ybecker.net och hade ip-adressen 204.126.205.203 (som baklänges slogs upp till mail.ybecker.net).
Vi kan se i flödet att ybecker.net bara finns med i en Received-rad. Kollar vi upp adresserna ser vi att ybecker.net har en ip-adress 207.166.*.*, login_0122.ybecker.net verkar inte finnas och ip-adressen 204.126.205.203 verkar inte finnas.
Vi kan också reflektera lite över övriga header-rader. Varför ligger From och Date så som de gör? Det ser ut som om de inte fanns från början utan har lagts dit på vägen. From kan ha lagts dit av smtp11.bellglobal.com om brevet saknade From-rad (den har då troligen lagt dit den adress som angavs som MAIL FROM i SMTP-sessionen). Date har samma tid som Received-raden så den kan ha hamnat där på samma sätt. Notera att tiderna som anges är nästan desamma i två av Received-raderna, men tidszonerna är olika! Det verkar inte heller rimligt.
Man skulle också kunna misstänka att det är gjort för att få folk att klaga på CoryA@bogfoot.com.... men det är bara spekulationer. Det är viktigt att tänka på att syftet med ett SPAM oftast inte är det som anges i brevet utan vanligare är att man vill misskreditera någon annan (det är ju inte vettigt att göra reklam för sig själv genom att reta upp folk).