PEC > Email fraudolente > Come identificare un'email sospetta di posta ordinaria tramite l'header

15.03 Come identificare un'email sospetta di posta ordinaria tramite l'header

Guida valida solo perPEC configurate per ricevere messaggi di posta ordinaria (non certificata).
 

Cos'è l'header di un'email 

L'header è una sezione tecnica dell'email che contiene informazioni fondamentali per tracciare il percorso del messaggio e verificarne l'autenticità. Analizzando l'header di un'email di posta ordinaria (non certificata), puoi determinare se l'email è sospetta o se si tratta di una truffa.
 
 

Come visualizzare l'header

A seconda del client di posta utilizzato, segui questi passaggi:​
 
 

Elementi principali dell'header e come esaminarli

Ogni volta che un'email passa attraverso un server di posta, viene aggiunta una riga Received, che registra il percorso del messaggio. Analizza l'header seguendo l'ordine cronologico delle righe Received, partendo dal primo server di invio. I principali elementi da analizzare sono:
  • Received: mostra il percorso che l'email ha seguito dai server di invio a quelli di ricezione. Controlla che i server siano legittimi.
  • From: mostra l'indirizzo email che ha inviato il messaggio. Attenzione ai tentativi di spoofing (falsificazione del mittente).
  • Return-Path: indica l'indirizzo a cui le risposte saranno inviate. Verifica che corrisponda al mittente e non sembri sospetto.
  • Message-ID: identificatore univoco per il messaggio, utile per tracciare la sua origine, anche se può essere falsificato.
  • Subject: mostra l'oggetto dell'email. Un oggetto generico, minaccioso o che richiede azioni urgenti può essere un segnale di phishing. Fai attenzione a errori grammaticali o messaggi che spingono a cliccare subito.
  • SPF, DKIM, DMARC: sono meccanismi di autenticazione che verificano l'autenticità del mittente. Se questi valori sono PASS, il dominio del mittente è stato verificato, ma ciò non esclude che l'email possa essere fraudolenta.
  • X-Spam-Status / X-Spam-Flag: indica se il messaggio è stato classificato come spam.
  • Date: mostra la data e l'ora in cui l'email è stata inviata. Verifica che siano logiche e coerenti con il contenuto dell'email.
  • Content-Type: indica se il contenuto dell'email è in HTML o testo normale. Se è HTML, verifica attentamente i link e gli allegati.
 
 

Header di un'email di posta ordinaria ricevuta su una PEC

Se la tua casella PEC è abilitata a ricevere messaggi non certificati, puoi analizzare l'header per verificare l'autenticità del mittente. Esempio di email di posta ordinaria sospetta ricevuta su una PEC: 
​Received: from mail.truffa.com (unknown [IP])
    by mx.pec.it (Postfix) with ESMTP id 1234ABCD
    for <[email protected]>; Thu, 25 Jan 2024 10:30:12 +0100

X-Originating-IP: [IP]
From: "Assistenza PEC" <[email protected]>
Return-Path: <[email protected]>
SPF: FAIL
DKIM: FAIL
DMARC: FAIL
Elementi sospetti:
  • Mittente falsificato ([email protected] invece di @pec.aruba.it).
  • Server non ufficiale (mail.truffa.com).
  • SPF, DKIM e DMARC falliti possibile falsificazione del mittente.
  • Indirizzo IP sconosciuto.
Se trovi questi elementi, l'email è probabilmente una truffa e non va aperta.
 
 

In conclusione

Se un'email non certificata ti sembra sospetta:
  • Non aprire allegati né cliccare su link.
  • Analizza l’header per verificare il percorso e il mittente.
  • Se SPF, DKIM o DMARC falliscono, il messaggio potrebbe essere contraffatto.
  • Segnala il messaggio come sospetto tramite la pagina di Aruba.
Approfondisci leggendo le guide come proteggersi e cosa fare in caso di infezione e principali attacchi via email.
 
Quanto è stata utile questa guida?
 

Non hai trovato quello che cerchi?

Contatta i nostri esperti, sono a tua disposizione.