【茶包射手專欄】追查電子郵件傳送歷程(上)

這兩天在支援解決一個Exchange電子郵件傳送的問題，情況是這樣的:

收信方的IT人員轉達來自收信人抱怨，從我們公司送出的兩封信，前後的寄出時間大約只差了五分鐘。第二封在寄出後幾分鐘就送達，第一封信卻遲了45分鐘才送到。兩封信是由同一個人寄出的，收信對象相同，第二封信是為了補充第一封信遺漏的內容，當次序錯亂時，收信人看得滿頭霧水...

對方IT看來也是武林中人，從Mail Header跟Mail Log做了初步的分析，找出了一項重要線索: 兩封郵件是走不同的IMS(Internet Mail Service)過去的!  既然走的路徑不同，就有可能是造成後寄先到的主因，好比先出發的搭公車，後出門的坐捷運，誰會先到? 很難說。

我花了很大的功夫去證明倒楣的第一封信真的坐到一班拖班、塞車還兼拋錨的老爺公車，算是為這個現象提出合理的實證及解釋。不過在說明煩人的Exchange Message Tracking Log前，先分享一個小技巧，即使你不是專業的IT練家子，透過Outlook也可以循著"郵戳"找出郵件轉送的歷程。

每一封電子郵件，除了我們在閱讀的內文、附件之外，其實還包含了郵件傳送過程各SMTP Server所留下的記錄，就像寄信時信封上所蓋的郵戳一樣。一般人很少關心信是怎麼寄到的，可能從來沒看過這些資料，但要檢視並不因難。在Outlook 2003閱讀郵件時，打開"檢視/選項"功能表(Outlook 2007則是在Ribbon灰色"選項"條右方的小Icon，找了好久... orz)，就可以看到如下的"網際網路標題": (Bill Gates並沒有真的寄信給我，Header已被我變造過)

 解讀這段SMTP Header，我們可以知道，這封信是18 Apr 2007 12:14:12寄出的，然後:
1) 12:14:22，信件由AA-EXMSG-456.southpacific.corp.microsoft.com 轉給sin-exhub-123.southpacific.corp.microsoft.com
2) 12:14:24，信件轉給SIN-EXGWY-789.partners.extranet.microsoft.com
3) 12:14:26，信件終於走出Microsoft流到公司對外的IMS: ims2.blah.com.tw
4) 12:14:30，信再轉給ims1.blah.com.tw
5) 12:14:31，信被轉到目的地Exchange Server, exch.blah.com.tw

原來這封信是經過了六台機器的接力，才傳到我手上。下次收到黑函時，也可以用這招先自己當一下柯南，如果對方是水平不高的業餘藏鏡人，用發信軟體從自己的PC寄出，Header中查到的IP就足夠當呈堂證供了。