PEC > Antispam e email fraudolente > Come identificare un'email sospetta di posta ordinaria tramite l'header

15.04 Come identificare un'email sospetta di posta ordinaria tramite l'header

 
Guida valida per PEC configurate per ricevere messaggi di posta ordinaria (non certificata).
 
 

Cos'è l'header di un'email 

L'header è la parte tecnica dell'email che contiene informazioni utili per ricostruire il percorso del messaggio e verificarne l'origine.

Analizzando l'header di un'email di posta ordinaria, cioè non certificata, puoi raccogliere elementi utili per capire se il messaggio è sospetto o potenzialmente fraudolento.
 
 

Come visualizzare l'header

La procedura varia in base al client di posta utilizzato:
 
 

Elementi principali dell'header e come esaminarli

Ogni volta che un'email passa attraverso un server di posta, nell'header viene aggiunta una riga Received, che registra una parte del percorso del messaggio.

Per analizzare l'header, controlla le righe Received in ordine cronologico, partendo dal primo server di invio. Gli elementi principali da verificare sono:
  • Received: mostra il percorso che l'email ha seguito dai server di invio a quelli di ricezione. Controlla che i server siano legittimi.
  • From: mostra l'indirizzo email del mittente. Fai attenzione ai tentativi di spoofing, cioè falsificazione del mittente.
  • Return-Path: indica l'indirizzo utilizzato per la gestione delle risposte o dei messaggi di errore. Verifica che sia coerente con il mittente.
  • Message-ID: è un identificativo univoco del messaggio, utile per tracciarne l'origine, anche se può essere falsificato.
  • Subject: mostra l'oggetto dell'email. Oggetti troppo generici, allarmanti o che richiedono azioni urgenti possono essere segnali di phishing.
  • SPF, DKIM, DMARC: sono controlli di autenticazione del mittente. Se risultano PASS, il dominio del mittente è stato verificato, ma questo non basta da solo a garantire che il messaggio sia affidabile.
  • X-Spam-Status / X-Spam-Flag: indicano se il messaggio è stato classificato come spam.
  • Date: mostra la data e l'ora di invio. Verifica che siano plausibili e coerenti con il contenuto del messaggio.
  • Content-Type: indica se il contenuto è in HTML o testo normale. Se il messaggio è in HTML, presta particolare attenzione a link e allegati.
 
 

Header di un'email di posta ordinaria ricevuta su una PEC

Se la tua casella PEC è abilitata a ricevere messaggi non certificati, puoi analizzare l'header per verificare l'autenticità del mittente. Di seguito un esempio semplificato di email sospetta ricevuta su una PEC: 
​Received: from mail.truffa.com (unknown [IP])
    by mx.pec.it (Postfix) with ESMTP id 1234ABCD
    for <[email protected]>; Thu, 25 Jan 2024 10:30:12 +0100

X-Originating-IP: [IP]
From: "Assistenza PEC" <[email protected]>
Return-Path: <[email protected]>
SPF: FAIL
DKIM: FAIL
DMARC: FAIL
Elementi sospetti:
  • Mittente falsificato: [email protected] invece di un dominio ufficiale Aruba.
  • Server non ufficiale: mail.truffa.com.
  • SPF, DKIM e DMARC falliti: possibile falsificazione del mittente.
  • Indirizzo IP sconosciuto o non coerente.
Se rilevi questi elementi, il messaggio è molto probabilmente fraudolento e non va aperto.
 
 

In conclusione

Se ricevi un'email non certificata che ti sembra sospetta:
  • non aprire allegati e non cliccare sui link;
  • analizza l’header per verificare percorso, mittente e controlli di autenticazione;
  • se SPF, DKIM o DMARC falliscono, considera il messaggio potenzialmente contraffatto;
  • segnala il messaggio come sospetto tramite la pagina dedicata di Aruba.
Approfondisci leggendo le guide su come proteggersi da attacchi informatici via email e sui principali attacchi informatici via email.
 
Quanto è stata utile questa guida?
 

Non hai trovato quello che cerchi?

Contatta i nostri esperti, sono a tua disposizione.