Quando spediamo una email ci sono tutta una serie di controlli, tra i due server di posta, che vanno a certificare che il messaggio inviato sia regolare, che provenga da fonte sicura e non sia uno spam spedito da una botnet creata da un malware. Nel messaggio di posta questi dati vengono registrati, anche se non sono direttamente visibili, ma si possono consultare e servono per aiutarvi a capire se la mail è stata realmente spedita dal vostro cliente, o dalla banca, e non da un truffatore che vi vuole fregare.
I dati non sono di facile consultazione, appena li vedete vi potreste spaventare e rinunciare, però con il servizio online di mxtoolbox.com potreste riuscire a capirci qualcosa di più (non tutto, ma almeno vi convincerà a non rispondere subito alla mail e a fare una telefonata al mittente per sapere se è stato veramente lui a spedirvi il messaggio sospetto).
Tutte le informazioni presenti vanno lette dal basso verso l’alto, nell’immagine vedete solo la parte finale, e contengono dati come il mittente, i server di posta e i loro indirizzi IP attraverso cui è passato il messaggio, data e ora di spedizione e ricezione, e tante altre informazioni ancora più incomprensibili per noi comuni mortali.
Alcuni di questi dati possono essere falsificati nella mail originale e sono proprio su questi dati che il nostro spammer, o distributore di malware, di turno si appoggia nella speranza di far passare la sua mail per buona e veritiera.
Ci sono però delle “firme” nella mail, come SPF, DKIM e DMARC, che identificano chiaramente i server di provenienza e permettono di vedere se sono sicuri.
Si può così scoprire che la mail che sembrava provenire dal vostro vicino d’ufficio è in realtà partita da un server straniero e privo di qualsiasi sicurezza.
Visualizzare l’header
In Thunderbird se vogliamo solo visualizzare l’header bisogna andare in Visualizza – Intestazioni e scegliere Estese.
Se però ci serve copiare tutto il testo, come nella prima foto dell’articolo, bisogna scegliere il Sorgente del messaggio.
In Outlook dovete aprire il messaggio, poi andare in File – Informazioni – Proprietà e nelle Intestazioni Internet dovete copiare il testo presente.
Da Gmail si deve aprire il menu presente nei tre pallini sulla destra del messaggio e da qui scegliere Mostra Originale.
Una volta fatto questo ci si reca nella pagina di mxtoolbox.com e si incolla il testo ottenuto, qualche momento di attesa e si ottengono le prime risposte.
A sinistra vedete una mail proveniente dalla mia banca, a destra una mail di phishing.
Altri dati utili per capire che è una mail fasulla li possiamo ricavare da un server di posta in blacklist e da un intesasanpaolo.cam invece di .com.
Altri possibili problemi sono la mancanza di DMARC e DKIM (questo però è il server di posta della mia ditta e non di uno spammer).
Quindi non tutti i server che presentano dei problemi sono pericolosi, magari non sono aggiornati e messi completamente in sicurezza.
All’interno della stessa analisi trovate anche l’headers in un formato più ordinato e leggibile.
Viene generato un link dell’analisi che potete condividere con persone più esperte oppure in fondo alla pagina potete cancellare l’analisi e non lasciare i vostri dati.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]