PEC > Email fraudolente (malspam) > Identificazione del reale mittente di una email NON certificata dall'header

15.2 Identificazione del reale mittente di una email NON certificata dall'headerSolo per caselle PEC abilitate alla ricezione di messaggi NON certificati

Se la casella PEC è stata abilitata alla ricezione di messaggi non certificati e si sospetta la ricezione di email contraffatte, il modo migliore di verificarne la reale identità è quello di leggere le informazioni di autenticazione, procedura comunemente conosciuta come autenticazione email. Questo tipo di operazione consiste nel rintracciare il reale mittente del messaggio di posta, analizzando l'header (denominato anche sorgente o intestazione) dell'email ricevuta.
 
La falsificazione del mittente non è possibile nei messaggi di posta certificata in quanto, in fase di invio, viene sempre verificato che l'indirizzo utilizzato per l'invio del messaggio corrisponda con il mittente presente nell'email.
 
Per gestire la ricezione dei messaggi di posta ordinaria e attivare\modificare il filtro antispam consultare la guida dedicata.

Nei paragrafi che seguono sono indicate la definizione di header, le modalità per visualizzarli e analizzarli:
 
L'header di un messaggio di posta è l'intestazione del messaggio stesso e contiene le informazioni relative alla vita dell’email, dal momento in cui viene inviata all’accettazione da parte del server destinatario, oltre alle informazioni che riguardano l’autore del messaggio stesso. L'intestazione è aggiunto dal client mittente e da ogni mailserver (server in grado di ricevere e spedire posta elettronica), nel quale transita il messaggio; ad ogni passaggio viene quindi inserito un record sopra al precedente. Per questo motivo, l’header deve essere letto dal basso verso l’alto.

Per visualizzare l'header è necessario accedere alle proprietà dell'email ricevuta, operazione eseguibile da un qualunque programma di posta o da WebMail PEC (per i dettagli consultare i paragrafi successivi del presente articolo).

I campi che solitamente compongono l’header di un'email sono i seguenti:
  • Return-Path: indica l’indirizzo email a cui torneranno eventuali errori di recapito del messaggio;
  • Delivered-To: indica l’ indirizzo email a cui è destinato il messaggio;
  • Received: fornisce informazioni sull’accettazione dell'email da parte dei server in cui è transitata, come la data l’ora e i dati del server;
  • Date: data di trasmissione dell'email;
  • Message-Id: è formato da una stringa alfanumerica seguita da @nomedominio_mittente.estensione che identifica in modo univoco l'email ed è generato dal client da cui parte il messaggio;
  • Subject: oggetto dell'email;
  • MIME-Version: definisce la versione del protocollo MIME (standard di internet che estende la definizione del formato dei messaggi di posta elettronica, originariamente definito dall'SMTP, il protocollo di trasmissione delle email) utilizzato dal mittente;
  • X-stringa: non esiste uno standard per i campi che iniziano con X-, vengono inseriti a discrezione del client di posta;
  • Reply-To: vi può essere indicato un indirizzo email, generalmente diverso dal mittente, a cui inviare eventuali risposte;
  • From: indica l’indirizzo mittente;
  • To: indica l’indirizzo destinatario.
 
  • Molte delle informazioni contenute nell'header possono essere falsificate, mentre le linee Received, almeno in parte, possono essere ritenute affidabili.
    Per esempio per quanto riguarda il dettaglio: Received: from indirizzo (IndirizzoIP) By nome_server_mail, il campo indirizzo è il nome con cui si identifica il mittente al destinatario e può essere falsificato; mentre IndirizzoIP è effettivamente il reale mittente.
  • È comunque possibile aggiungere righe di Received falsificati. Eventuali righe di Received falsificate possono essere inserite solo all'inizio dell’header, quindi più in basso, poiché la lettura di un header deve essere fatta dal basso verso l’alto.
 
Nell’header dell’esempio di seguito riportato, il primo received, partendo dal basso, è quello che comunemente identifica la postazione mittente; in particolare, la parte del From indica il server mittente, mentre To (o For) indica il destinatario dell'email. Gli ultimi Received, cioè quelli più in alto, mostrano il passaggio dell’email dai server che ne hanno gestito l’invio ai server che ne hanno gestito la ricezione:
 
Gli orari indicati nell'header fanno sempre riferimento al GMT (tempo medio di Greenwich).
In Italia l’orario è pari a GTM+1 ora con l’ora solare o GTM+2 ore con l’ora legale, ad esempio:
  • Greenwich: 20:00 (GTM+0000)
  • Italia: 21:00 (GTM +0100) durante l’ora solare
  • Italia: 22:00 (GTM + 0200) durante l’ora legale
In genere, l’utilizzo dell’ora locale sulla base del fuso con Greenwich, o l’inserimento diretto dell’orario di Greenwich è una opzione inserita dal server che la imposta in automatico.
Per visualizzare l'header di un messaggio, autenticarsi a WebMail PEC versione Smart (per maggiori dettagli sulla modalità di accesso alla WebMail PEC consultare la guida dedicata) quindi:
  1. selezionare il messaggio in modo da visualizzarne l'anteprima a destra;
  2. cliccare in alto a destra Altro e selezionare del menu contestuale la voce Mostra header:
Per visualizzare nuovamente il messaggio cliccare in alto a destra Altro e selezionare del menu contestuale la voce Nascondi header.
Per visualizzare l'header di un messaggio, autenticarsi a WebMail PEC versione Classic (per maggiori dettagli sulla modalità di accesso alla WebMail PEC consultare la guida dedicata) quindi:
  1. aprire il messaggio dal menu Messaggi;
  2. cliccare Visualizza dettagli:
Per nascondere l'header del messaggio, cliccare Nascondi dettagli:
Di seguito la procedura per visualizzare l'header di un messaggio tramite i client di posta più utilizzati:
  • Thunderbird (e altri client Mozilla)
    Aprire l'email, cliccare a destra sul pulsante Altro e, nel menu, selezionare il comando Visualizza sorgente.
  • Outlook 365 (tramite browser Internet)
    Sulla pagina dei dettagli relativi all'email, cliccare a destra sui 3 puntini verticali di fianco al titolo. Cliccare su Visualizza > Visualizza dettagli dell'email.
  • Outlook 2010/2013/2016
    Aprire l'email con un doppio clic e successivamente cliccare nel menu su File > Proprietà. Navigare fino alla sezione Intestazioni Internet.
  • Mail di Mac
    Aprire l'email e premere contemporaneamente i tasti Shift + Control + H (⇧ + Ctrl + H).
  • Opera
    Aprire l'email corrispondente e cliccare con il tasto destro del mouse sul testo del messaggio. Nel menu a selezione rapida, seleziona l'opzione Mostra il messaggio con tutte le intestazioni.
L’email spoofing è una tecnica utilizzata dagli spammer (soggetti che hanno lo scopo di inviare messaggi indesiderati in modo fraudolento contenenti di solito pubblicità o virus) per falsificare l'identità dell’effettivo mittente. Tale metodo prevede l’invio di email con un mittente falsificato che normalmente corrisponde ad un indirizzo esistente spesso conosciuto dal ricevente. Lo scopo è indurre in errore chi riceve l'email circa la reale provenienza del messaggio. Considerando affidabile il messaggio il destinatario è persuaso ad aprirlo e cliccare i link in esso contenuti.
 
Le email spoofing sono spedite tramite server utilizzati dagli spammer in maniera fraudolenta, generalmente situati in paesi esteri, quindi i Provider stessi non possono impedirne l’invio.

Il titolare dell'email può accorgersi dell’invio di email di spoofing dalle notifiche o dalle email di segnalazione ricevute, che in genere si manifestano quando:
  • email di notifiche o messaggi di errore/ mancata consegna/recapito per email mai inviate appaiono in Posta in Arrivo o nella cartella Spam;
  • i contatti nella rubrica segnalano la ricezione di strane email che in realtà il titolare della casella non ha mai spedito.
Nel caso in cui lo spammer sia riuscito a ottenere la password della casella, le email di Spam vengono inviate dalla casella originale che è stata violata e non da un indirizzo fittizio. In questo caso di parla di Violazione casella e non di Email Spoofing.
È possibile che il proprio Account sia stato violato qualora si verifichi una delle seguenti condizioni:
  • non si riesce ad accedere, e a cambiare la password;
  • nella cartella Posta inviata sono presenti email non spedite dall’utilizzatore della casella;
  • sono state modificate informazioni contenute nelle impostazioni personali.
 

Consigli per proteggersi dalla violazione della casella

  • cambiare con frequenza la propria password;
  • effettuare accurate e periodiche scansioni antivirus del proprio PC; 
  • utilizzare una password sicura rispettando i Requisiti e suggerimenti per la scelta di una password efficace;
  • non condividere la password sui siti web;
  • evitare di utilizzare password contenenti informazioni personali (tipo: nome, cognome, anno di nascita o informazioni analoghe);
  • leggere le informazioni di autenticazione e rintracciare il reale mittente (indirizzo IP) del messaggio di posta, analizzando l'header della email ricevuta;
  • controllare periodicamente la correttezza dei dati personali del proprio account PEC;
  • evitare di conservare le password in file presenti sul PC, in quanto potrebbero essere carpite da eventuali Spyware;
  • non cliccare mai sui link contenuti in un'email se non si è certi della provenienza;
  • inviare ad Aruba una richiesta di assistenza per una verifica nel caso si sospettasse di email spoofing o di violazione casella.
 
Quanto è stata utile questa guida?
 

Non hai trovato quello che cerchi?

Contatta i nostri esperti, sono a tua disposizione.