Header delle e-mail: quali in­for­ma­zio­ni contiene?

La sezione in­te­sta­zio­ne dell’e-mail si suddivide in due parti: gli header generati di­ret­ta­men­te dal mittente cor­ri­spon­den­te e l’invio al de­sti­na­ta­rio. Una volta inviato, al messaggio elet­tro­ni­co viene aggiunta la co­sid­det­ta busta, envelope header, che viene generata dai mail server coinvolti durante la tra­smis­sio­ne. Queste in­for­ma­zio­ni aggiunte suc­ces­si­va­men­te alla “busta”, le co­sid­det­te righe received, sono di fon­da­men­ta­le im­por­tan­za per rin­trac­cia­re le e-mail. Ogni riga dell’header comincia con una parola chiave (il nome), seguita da due punti e dal contenuto.   

In­di­ca­zio­ni nascoste nell’header

Return-Path: questa riga (se presente) si trova quasi sempre all’inizio e indica le opzioni di re-invio per il mail server, nel caso in cui non sia stato possibile con­se­gna­re l’e-mail. L’indirizzo mostrato è uguale a quello contenuto nel campo dell’“Envelope from”.

Esempio: Return-Path: <indirizzo-return@mail.it>

Received: le righe received vengono generate dai mail server coinvolti nella tra­smis­sio­ne. Lo­gi­ca­men­te esistono in ogni header almeno due di queste righe, dato che è in­di­spen­sa­bi­le un server per l’invio e uno per la ricezione. Dal punto di vista del contenuto, nelle righe viene svelato il percorso dell’e-mail compresa la data e gli indirizzi dei mail server coinvolti (ge­ne­ral­men­te tra parantesi quadre).

Esempio: Received: from mx3.gmx.example (qmailr@mx3.gmx.example [195.63.104.129])

                by mail­ser­ver.de­sti­na­ta­rio.it with SMTP

                for <de­sti­na­ta­rio@mail.it>; Thu, 24 Dec 2015 17:36:20

                +0200 (MET DST)

Message-ID: ogni e-mail riceve questo iden­ti­fi­ca­ti­vo, trasmesso in linea di massima dai mail server o già compreso nel programma e-mail del mittente. L’ID è composto da un codice numerico, il simbolo della chioc­cio­la “@” e il nome del dominio.

Esempio: Message-ID: <434571BC.8070702@mail.it>

Content-Type: in questa riga sono contenute le in­for­ma­zio­ni sul tipo e sul codice del corpo del testo. I singoli parametri sono separati da un punto e virgola.

Esempio: Content-Type: text/plain; charset=UTF-8

Analisi dell’header: come funziona

Per iniziare ad ana­liz­za­re la sezione in­te­sta­zio­ne, è ne­ces­sa­rio prima di tutto l’estratto completo. Dato che i programmi e-mail comuni na­scon­do­no i contenuti rilevanti per la tra­smis­sio­ne, è ne­ces­sa­rio renderli visibili. Su Microsoft Outlook 2010 aprite, ad esempio, il ri­spet­ti­vo messaggio e nella barra cliccate la tab “fileà pro­prie­tàà in­te­sta­zio­ni internet”. Su Mozilla Thun­der­bird, invece, attivate le in­for­ma­zio­ni tramite il menu “vi­sua­liz­za” e se­le­zio­nan­do la voce “sorgente del messaggio”. Anche i webmail online con­sen­to­no di vi­sua­liz­za­re l’header delle e-mail, ma le procedure variano a seconda dell’ap­pli­ca­zio­ne uti­liz­za­ta.

Per in­di­vi­dua­re il de­sti­na­ta­rio, cercate nell’in­te­sta­zio­ne l’indirizzo IP e il nome del primo server coinvolto nella tra­smis­sio­ne del messaggio. Leggete sem­pli­ce­men­te partendo dall’alto le diverse voci delle righe received (del mail server che avete uti­liz­za­to) fino all’in­di­ca­zio­ne del server di posta in uscita, che è ge­ne­ral­men­te la voce più bassa delle righe received. Se dopo questa compaiono altre voci, si tratta pro­ba­bil­men­te di un tentativo di frode e in questo caso avete appena in­di­vi­dua­to il server di posta in uscita. Infine, copiate l’indirizzo IP in un qualsiasi tool online per il trac­cia­men­to dell’IP, come la pagina di Network-Tools.com. Otterrete così delle in­for­ma­zio­ni su dove si trova il server. Il risultato dovrebbe coin­ci­de­re con il nome del server così come con la riga del fuso orario indicato.

Al posto di iniziare una caccia all’errore tra le in­for­ma­zio­ni delle righe received dell’header, si consiglia di uti­liz­za­re dei programmi gratuiti come eToolz. Qui potete inserire l’header completo alla voce “analisi header” nel campo “HTTP-Header” e iniziare la ricerca. L’ap­pli­ca­zio­ne elenca in ordine cro­no­lo­gi­co tutti i mail server coinvolti; alla voce “inviato da:” trovate l’indirizzo IP del primo server, ve­ri­fi­ca­bi­le anche ma­nual­men­te su Network-Tools.com.

Come vengono ma­ni­po­la­ti gli header delle e-mail

Nella maggior parte dei casi i mittenti spam non hanno interesse a ricevere risposte al loro spam. Ge­ne­ral­men­te chi invia messaggi spam, vuole restare anonimo. Ne consegue che i campi “da” e “return-path” delle e-mail spam con­ten­go­no di rado in­for­ma­zio­ni vere. Per questo motivo gli autori reali assumono delle false identità. Oggi capita che molti ricevano presunte e-mail da banche, dalla posta, da Paypal o ad­di­rit­tu­ra da isti­tu­zio­ni ufficiali. Oltre al fatto che in questi messaggi viene sempre richiesto di cliccare su dei link esterni, gli indirizzi falsi uti­liz­za­ti sono simili agli originali, ma tramite un’analisi dell’header vengono fa­cil­men­te sma­sche­ra­ti e con­tras­se­gna­ti come spam. Resta difficile sapere chi siano i reali fautori di queste e-mail spam. Infatti, tramite dei mail server con­fi­gu­ra­ti er­ro­nea­men­te o at­tra­ver­so l’invio da computer infetti, uti­liz­za­ti come stazione in­ter­me­dia durante l’invio, molti mittenti spam riescono ad evitare di essere iden­ti­fi­ca­ti tramite header.

Le voci delle righe received sono gli unici elementi dell’header che non possono essere con­traf­fat­ti com­ple­ta­men­te. Ciò dipende dal fatto che gli spammer non hanno accesso all’ ultima voce delle righe received che contiene nor­mal­men­te l’ip del server di posta in uscita, generato au­to­ma­ti­ca­men­te dal mail server del de­sti­na­ta­rio. Una ma­ni­po­la­zio­ne delle righe aiuta i mittenti spam solo a causare con­fu­sio­ne e a creare percorsi falsi: ad esempio invece che inserire il proprio server all’inizio della catena, viene mostrato come una parte del percorso.