Quando spediamo una email ci sono tutta una serie di controlli, tra i due server di posta, che vanno a certificare che il messaggio inviato sia regolare, che provenga da fonte sicura e non sia uno spam spedito da una botnet creata da un malware. Nel messaggio di posta questi dati vengono registrati, anche se non sono direttamente visibili, ma si possono consultare e servono per aiutarvi a capire se la mail è stata realmente spedita dal vostro cliente, o dalla banca, e non da un truffatore che vi vuole fregare.
I dati non sono di facile consultazione, appena li vedete vi potreste spaventare e rinunciare, però con il servizio online di mxtoolbox.com potreste riuscire a capirci qualcosa di più (non tutto, ma almeno vi convincerà a non rispondere subito alla mail e a fare una telefonata al mittente per sapere se è stato veramente lui a spedirvi il messaggio sospetto).
Tutte le informazioni presenti vanno lette dal basso verso l’alto, nell’immagine vedete solo la parte finale, e contengono dati come il mittente, i server di posta e i loro indirizzi IP attraverso cui è passato il messaggio, data e ora di spedizione e ricezione, e tante altre informazioni ancora più incomprensibili per noi comuni mortali.
Alcuni di questi dati possono essere falsificati nella mail originale e sono proprio su questi dati che il nostro spammer, o distributore di malware, di turno si appoggia nella speranza di far passare la sua mail per buona e veritiera.
Ci sono però delle “firme” nella mail, come SPF, DKIM e DMARC, che identificano chiaramente i server di provenienza e permettono di vedere se sono sicuri.
Si può così scoprire che la mail che sembrava provenire dal vostro vicino d’ufficio è in realtà partita da un server straniero e privo di qualsiasi sicurezza.
Visualizzare l’header
In Thunderbird se vogliamo solo visualizzare l’header bisogna andare in Visualizza
– Intestazioni
e scegliere Estese
.
Se però ci serve copiare tutto il testo, come nella prima foto dell’articolo, bisogna scegliere il Sorgente del messaggio
.
In Outlook dovete aprire il messaggio, poi andare in File
– Informazioni
– Proprietà
e nelle Intestazioni Internet
dovete copiare il testo presente.
Da Gmail si deve aprire il menu presente nei tre pallini sulla destra del messaggio e da qui scegliere Mostra Originale
.
Una volta fatto questo ci si reca nella pagina di mxtoolbox.com e si incolla il testo ottenuto, qualche momento di attesa e si ottengono le prime risposte.
A sinistra vedete una mail proveniente dalla mia banca, a destra una mail di phishing.
Altri dati utili per capire che è una mail fasulla li possiamo ricavare da un server di posta in blacklist e da un intesasanpaolo.cam invece di .com.
Altri possibili problemi sono la mancanza di DMARC e DKIM (questo però è il server di posta della mia ditta e non di uno spammer).
Quindi non tutti i server che presentano dei problemi sono pericolosi, magari non sono aggiornati e messi completamente in sicurezza.
All’interno della stessa analisi trovate anche l’headers in un formato più ordinato e leggibile.
Viene generato un link dell’analisi che potete condividere con persone più esperte oppure in fondo alla pagina potete cancellare l’analisi e non lasciare i vostri dati.