# What is an Email Header and How to Read Them?

## 1. What is an Email Header?

The header là một phần của email chứa thông tin như người gửi, người nhận và ngày. Ngoài ra còn có các thành phần như 'Return-Path', 'Reply-To' và 'Received'. Dưới đây bạn có thể xem chi tiết tiêu đề của một email mẫu.

<figure><img src="/files/bNCyWjw4AOcvmpJHhasb" alt=""><figcaption></figcaption></figure>

## 2. What does the Email Header do?

### Allows you to identify the sender and recipient

Nhờ các trường "From" và "To" trong tiêu đề, bạn có thể biết ai đang gửi email và ai đang nhận email đó. Nếu xem email ở trên mà bạn đã tải xuống ở định dạng "Email Message File (EML)", chúng ta có thể thấy rằng nó được gửi từ "<ogunal@letsdefend.io>" đến "<info@letsdefend.io>".

<figure><img src="/files/EZs51QydyShFcKUENBVX" alt=""><figcaption></figcaption></figure>

### Spam Blocker

Có thể phát hiện email spam bằng cách sử dụng phân tích tiêu đề và nhiều phương pháp khác. Điều này ngăn cản mọi người nhận được email **SPAM**.

### Allows You to Track an Email's Route

Điều quan trọng là phải kiểm tra lộ trình gửi email để xem liệu nó có đến đúng địa chỉ hay không. Nếu nhìn vào email mẫu ở trên, chúng ta có thể thấy rằng nó đến từ địa chỉ "<ogunal@letsdefend.io>", nhưng vẫn không chắc liệu nó đến từ miền "letsdefend.io" hay từ một máy chủ giả mạo khác bắt chước cùng tên. Chúng ta có thể sử dụng thông tin tiêu đề để trả lời câu hỏi này.

## 3. Important Fields

### From

Trường 'From' trong tiêu đề Internet hiển thị tên và địa chỉ email của người gửi.

### To

Trường này trong tiêu đề thư chứa thông tin chi tiết về người nhận email, bao gồm tên và địa chỉ email của họ. Chẳng hạn như CC (carbon copy) và BCC (blind carbon copy) cũng thuộc danh mục này vì tất cả chúng đều chứa thông tin chi tiết về người nhận của bạn.

<figure><img src="/files/nKm0G3Hg6Ygy6yknaztx" alt=""><figcaption><p>CC và BCC</p></figcaption></figure>

Khi bạn sử dụng **CC**, tất cả người nhận sẽ thấy địa chỉ email của những người khác được gửi trong trường CC. Điều này có nghĩa là người nhận trong trường "To" và "CC" sẽ biết ai khác đã nhận được email. Sử dụng CC khi bạn muốn chia sẻ thông tin tới một nhóm người và không ngại rằng họ biết lẫn nhau.

Khi bạn sử dụng **BCC**, địa chỉ email của người nhận trong trường BCC sẽ bị ẩn đối với tất cả những người nhận khác. Điều này có nghĩa là những người nhận không biết ai khác đã nhận được email.

Việc hiểu rõ CC và BCC sẽ giúp bạn quản lý việc gửi email hiệu quả hơn, bảo vệ quyền riêng tư của người nhận khi cần thiết và giữ thông tin liên lạc chuyên nghiệp.

### Date

Đây là dấu thời gian hiển thị khi email được gửi.&#x20;

Trong Gmail, nó thường tuân theo định dạng day dd month yyyy hh:mm:ss&#x20;

Vì vậy, nếu một email được gửi vào ngày 16 tháng 11 năm 2021 lúc 4:57:23 chiều, nó sẽ hiển thị là Thứ Tư, ngày 16 tháng 11 năm 2021 16:57:23 .

### Subject

Subject là the topic của email. Nó tóm tắt nội dung của toàn bộ nội dung thư.

### Return-Path

Trường tiêu đề email này còn được gọi là **Reply-to**. Khi bạn trả lời một email, thư trả lời sẽ được gửi đến địa chỉ được chỉ định trong trường **Return-Path**.

### Domain Key and DKIM Signatures

Domain Key và Domain Key Identified Mail (DKIM) là chữ ký email giúp nhà cung cấp dịch vụ email xác định và xác thực email của bạn, tương tự như chữ ký **SPF.**

### Message-ID

The Message-ID header là sự kết hợp duy nhất giữa các chữ cái và số để xác định từng email. Sẽ không có hai email nào có Message ID giống nhau.

### MIME-Version

Multipurpose Internet Mail Extensions (MIME) là một tiêu chuẩn mã hóa Internet. Nó chuyển đổi nội dung phi văn bản, chẳng hạn như hình ảnh, video và các tệp đính kèm khác, thành văn bản để nội dung phi văn bản có thể được đính kèm vào email và gửi qua SMTP (Simple Mail Transfer Protocol).

### Received

Phần Received liệt kê từng máy chủ thư mà email đã đi qua trước khi đến hộp thư đến của người nhận. Nó được liệt kê theo thứ tự thời gian đảo ngược - máy chủ thư ở trên cùng là máy chủ cuối cùng mà thư email được chuyển qua và máy chủ thư ở dưới cùng là nơi email bắt nguồn.

### X-Spam Status

Trạng thái X-Spam hiển thị cho bạn điểm thư rác của một email.&#x20;

Đầu tiên, nó sẽ đánh dấu nếu thư được phân loại là spam.&#x20;

Sau đó, nó hiển thị điểm spam của email và ngưỡng spam cho email.&#x20;

Một email có thể đáp ứng hoặc vượt quá ngưỡng spam của hộp thư đến.&#x20;

Nếu nó quá spam và vượt quá ngưỡng, nó sẽ tự động được phân loại là spam và được gửi vào thư mục Spam.

## 4. How to Access Your Email Header?

Đối với Gmail:

1. Open the email in question
2. Click on the 3 dots at the top right "..."&#x20;
3. Click on the "Download message" button.
4. Open the downloaded file with the extension ".eml" with any notebook application

<figure><img src="/files/gA6oA3i1wzS2egMXpa6o" alt=""><figcaption></figcaption></figure>

Outlook

1. Open the email in question&#x20;
2. File -> Info -> Properties -> Internet headers

<figure><img src="/files/rhdxBOc0jXJFGDPomra3" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/0wEqhNUBu6BGnOcuIfDE" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Có thể xem được các trường ở trong phần mềm Thunderbird -> mở file -> và xem phầm Open Source
{% endhint %}

<figure><img src="/files/LBFhVh044tqZs8PjVL7D" alt=""><figcaption></figcaption></figure>

<figure><img src="/files/Womh7DPmEQ5WJ87vvGfJ" alt=""><figcaption></figcaption></figure>


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://viettaliii.gitbook.io/home/soc-and-dfir/techniques/phishing-email-analysis/what-is-an-email-header-and-how-to-read-them.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.