Lotta allo spam

Analizzare le intestazioni delle e-mail: Come trovare le fonti di spam in modo rapido e affidabile

A intestazione e-mail vi aiuta a riconoscere le e-mail di phishing e lo spam delle botnet ancora prima che vengano aperte. Analizzando le intestazioni, è possibile risalire in modo affidabile al mittente, al controllo di autenticazione, alla catena di consegna e alle manipolazioni.

Punti centrali

Informazioni sull'intestazione fornire dettagli tecnici sull'origine e la consegna di ogni messaggio.
SPF, DKIM e i valori DMARC mostrano se una mail è legittima o è stata manipolata.
Indirizzi IP e le linee Received aiutano a trovare il server di origine.
Strumenti per l'analisi delle intestazioni facilitano la valutazione e la visualizzazione delle caratteristiche principali.
Indicatori di spam come lo stato X-Spam e i valori BCL indicano contenuti indesiderati o pericolosi.

Che cos'è l'intestazione di un'e-mail?

Oltre al testo visibile, ogni e-mail contiene anche una sezione invisibile: l'intestazione dell'e-mail. Questa consiste in informazioni tecniche memorizzate riga per riga. Tra le altre cose, indica il server tramite il quale è stato inviato il messaggio, quando è stato inviato e come il server di posta del destinatario lo ha controllato. Contiene anche i risultati dell'autenticazione e le informazioni sulla sicurezza.

Un'intestazione completa inizia di solito con la prima Ricevuto-linea - documenta cronologicamente ogni nodo della catena di consegna. Quanto prima appare, tanto più è vicino alla fonte originale. Ci sono anche dati di controllo come Percorso di ritorno, ID messaggio, Risultati dell'autenticazione oppure Stato di X-Spam.

Campi di intestazione rilevanti per la sicurezza

Alcuni campi dell'intestazione di un'e-mail sono particolarmente utili se si vuole determinare l'origine di un'e-mail di spam. Questi includono l'indirizzo completo Catena ricevutama anche campi come Risultati dell'autenticazione e Intestazioni X.

Anche i dati SPF, DKIM e DMARC vengono trasmessi nell'intestazione, ad esempio in questo modo:

Campo	Descrizione	Esempio
Risultati dell'autenticazione	Risultato dell'autenticazione del dominio	spf=pass; dkim=pass; dmarc=fail
Ricevuto	Cronologia della ricezione attraverso gli hops SMTP	da mail.example.com (IP) da mx.google.com
Stato di X-Spam	Risultato del controllo del filtro antispam	SÌ, punteggio=9,1 richiesto=5,0

Identificare le fonti di spam in base alle righe ricevute

Il sito Linee ricevute forniscono informazioni sulle stazioni server attraverso le quali è stato trasportato un messaggio. L'ultima riga Received indica il server originale, ovvero la vera fonte. I mittenti di spam spesso utilizzano intestazioni manipolate o loop per nascondere il percorso.

Per prima cosa è necessario esaminare la riga ricevuta più vecchia e verificare se contiene indirizzi IP, nomi di server o scostamenti temporali insoliti. Osservando la mappatura GeoIP o la risoluzione DNS, è possibile scoprire dove si trova il server e se appartiene a un provider legittimo o se è registrato in reti di spam conosciute. In casi critici, un confronto con database come Casa dello spam.

Riconoscere le informazioni manipolate del mittente

Gli spammer spesso manipolano il campo dell'indirizzo ("Da:"), i campi di risposta o il percorso di ritorno. Al mittente viene fatto credere che l'e-mail provenga da un partner o da un cliente affidabile. Tuttavia, le intestazioni rivelano molto sul server di posta tecnicamente responsabile: qui ci sono contraddizioni.

Se i campi "Da:" e "Percorso di ritorno:" non corrispondono, è bene insospettirsi. Anche un campo "Reply-To" che porta a un dominio completamente diverso indica un tentativo di inganno. Alcune e-mail di phishing contengono persino firme DKIM false o nomi di dominio presumibilmente validi, ma l'intestazione mostra il percorso effettivo attraverso la rete.

Leggere i controlli di autorizzazione: SPF, DKIM e DMARC

Per proteggersi da spoofing e bot mail, la maggior parte dei server di posta si affida a procedure di autenticazione. Queste generano risultati di verifica leggibili dalla macchina, ad esempio:

SPF: Il mittente era autorizzato a inviare tramite questo IP?
DKIM: La chiave crittografica corrisponde al dominio di invio?
DMARC: L'indirizzo Da e l'autenticazione vanno insieme?

Queste informazioni si trovano nella riga "Authentication-Results:". L'aspetto è diverso a seconda del provider, ma spesso contiene SPF=pass, dkim=fail o dmarc=pass. Se, ad esempio, il DMARC fallisce ma la posta sembra corretta, è necessario analizzare ulteriormente l'intestazione o eseguire un ulteriore controllo DNS. In questi casi, è opportuno dare un'occhiata più approfondita ai rapporti DMARC, supportati da strumenti come Rapporti SecureNet per DMARC.

Valutazione dello spam da parte dei filtri: stato X-Spam e BCL

Molte e-mail contengono campi aggiuntivi aggiunti da un filtro antispam interno. Questi campi contengono un punteggio o uno stato che indica la probabilità che il contenuto sia indesiderato. Questi sono particolarmente comuni:

Stato X-Spam: Mostra se il messaggio supera la soglia del filtro interno (ad esempio, SI, punteggio=9,3).

Livello X-Spam: Contiene un numero di asterischi ("*") che rappresentano un valore di soglia.

Valore BCL: Le mail Microsoft-family contengono il Business Category Level, un fattore di rischio compreso tra 0 e 9.

Se questi valori sono molto alti, è necessario avviare attivamente il monitoraggio e la ricerca del mittente. Spesso è possibile trovare informazioni cruciali sulla configurazione e sul punteggio utilizzando strumenti di analisi o facendo un confronto con altre intestazioni dello stesso canale.

Strumenti di analisi per la valutazione delle testate

Il controllo manuale delle intestazioni può richiedere molto tempo. Per questo motivo molti strumenti offrono un'analisi grafica, visualizzano le fasi intermedie a colori o consentono il controllo diretto dell'IP. Le soluzioni più diffuse includono

Microsoft Message Header Analyser (compatibile con Office365)
Google Header Analyser (per Gmail)
Mailheader.net (multipiattaforma, open source)

Questi strumenti danno esplicitamente risalto alle valutazioni SPF, DKIM o DMARC. Anche le mappature IP-DNS, le configurazioni errate o le catene incomplete possono essere riconosciute rapidamente a colpo d'occhio. Mi piace usarli quando analizzo l'inoltro o la posta massiva in arrivo.

I dati di log come fonte supplementare: analisi del server di posta elettronica

Oltre all'intestazione delle e-mail, i log del server di posta forniscono ulteriori informazioni. Qui è possibile identificare facilmente flussi di messaggi correlati, consegne errate o mittenti ricorrenti. I registri dettagliati sono particolarmente utili negli ambienti aziendali con Postfix, Exim o Microsoft Exchange.

La combinazione di intestazioni e registri fornisce un quadro più completo. Ad esempio, cerco catene di ID messaggio sospette o domini IP che forniscono ripetutamente dati SPF errati. L'analisi tecnica può essere organizzata in modo efficiente, ad esempio con Analisi dei file di log di Postfix e rimbalzi automatici.

Classificazione dei percorsi di trasporto legittimi

Non tutte le righe di intestazione dall'aspetto insolito sono automaticamente sospette. Potrebbe essere stato coinvolto un servizio di terze parti: Servizi di newsletter, sistemi CRM o gateway interni modificano spesso le voci DKIM/SPF. Il contesto è fondamentale in questo caso.

Dovreste salvare regolarmente le intestazioni di riferimento dei mittenti legittimi. Questo vi permetterà di riconoscere immediatamente la differenza in casi insoliti. Ciò aumenta la velocità di diagnostica del routing o degli errori di consegna critici.

Rilevare in modo affidabile le fonti di spam analizzando gli header

Le intestazioni delle e-mail contengono numerosi indizi tecnici che consentono di riconoscere abusi e contenuti indesiderati in modo molto più mirato. È possibile scoprire catene di server nascoste, errori di autenticazione o falsificazioni mirate. Questo è molto più efficace di un controllo basato esclusivamente sui contenuti.

Controllando regolarmente le intestazioni sospette e documentando le anomalie, è possibile migliorare i tassi di consegna e proteggere l'instradamento della posta. Potete anche proteggere la vostra infrastruttura dalle voci di elenco e dalle escalation di abusi.

Procedure avanzate per casi complessi

Soprattutto in ambienti aziendali di grandi dimensioni o con un intenso traffico di e-mail, capita spesso che nelle linee ricevute compaiano diverse stazioni di inoltro e intermedie. Ad esempio, le aziende inviano tramite provider esterni di mailing list o utilizzano dispositivi anti-spam centralizzati. Ciò comporta la presenza di campi di intestazione Received e X aggiuntivi, che a prima vista possono risultare confusi. In queste situazioni, può essere utile disegnare diagrammi dettagliati o generare un elenco automatico utilizzando strumenti di analisi delle intestazioni.

Se avete spesso a che fare con intestazioni complesse, potete anche creare una lista di controllo. Questa contiene gli elementi tipici e il loro contenuto previsto. Nell'elenco, indicate quali IP sono memorizzati come server di origine autorizzati nella vostra zona SPF e quali selettori DKIM devono comparire nelle e-mail. Se si riscontrano deviazioni, questo è un buon indicatore di una possibile manipolazione dell'intestazione.

Confronto con le testate di riferimento: Tenete a portata di mano esempi di e-mail legittime provenienti dal vostro dominio.
Manutenzione regolare dei record DNS: Le strutture IP modificate devono sempre riflettersi tempestivamente in SPF e DMARC.
Considerazione degli spedizionieri: Verificare se viene utilizzato ARC (Authenticated Received Chain) per trasmettere le informazioni di autenticazione.

ID del messaggio e suo significato

Il campo è anche rivelatore ID messaggio. A ogni e-mail inviata viene assegnato un identificativo univoco al momento della creazione o del trasporto. Tuttavia, alcune campagne di spam utilizzano ID di messaggi generici o completamente casuali che non possono essere abbinati al mittente o al contenuto. Anche gli ID dei messaggi duplicati o gli ID vistosamente semplici possono indicare strumenti di spam automatizzati.

In alcuni casi, è possibile utilizzare i file di registro o i sistemi di archiviazione per trovare ID di messaggi simili e quindi riconoscere i modelli. Ciò consente di individuare più rapidamente le campagne di phishing seriali. Se l'ID del messaggio non è coerente con il dominio nel campo "Da:", aumenta la probabilità che le informazioni sul mittente siano state falsificate.

Standard di sicurezza supplementari: ARC e BIMI

La catena di ricezione autenticata (ARC) può essere utilizzata in particolare per flussi di posta complessi con inoltro o mailing list. Consente di trasmettere i risultati dell'autenticazione attraverso le stazioni intermedie, in modo che i server di posta dei destinatari possano giudicare meglio se un messaggio è legittimo. Si può riconoscere nell'intestazione da righe come ARC-Seal oppure Risultati dell'autenticazione ARC. Se queste intestazioni sono gestite correttamente, una firma DKIM originale rimane valida anche dopo l'inoltro.

Esistono anche iniziative più recenti come il BIMI (Brand Indicators for Message Identification), che può visualizzare il logo del mittente se il DMARC è implementato correttamente. Sebbene il BIMI non sia un componente diretto dell'intestazione dell'e-mail in termini di catena di consegna, funziona in modo affidabile solo se i dati dell'intestazione come DKIM e DMARC possono essere analizzati correttamente. Il BIMI fornisce quindi un'indicazione visiva per capire se un'e-mail proviene effettivamente dal proprietario del marchio o se è un falso.

Tipiche configurazioni errate e come trovarle

Non tutte le intestazioni vistose sono il risultato di un intento malevolo. Spesso dietro ci sono semplici errori di configurazione. Ad esempio, il vostro server di posta può inavvertitamente fornire voci SPF o DKIM errate se non avete regolato correttamente il DNS quando avete cambiato hoster. Anche le voci con "softfail" invece di "pass" a volte indicano che l'IP del mittente non è incluso nel record SPF.

Firma DKIM mancante: Servizi di firma accidentalmente non attivati o configurati in modo errato.
IP inappropriati nella voce SPF: Gli IP nuovi o cancellati non vengono aggiornati.
Sottodomini dimenticati: I sottodomini sono facilmente trascurati, soprattutto nelle organizzazioni più grandi, per cui non vi si inserisce un record SPF corretto.

Se durante il controllo dell'intestazione ci si imbatte sempre nella stessa configurazione errata, è necessario verificare la voce DNS del mittente e correggere eventuali errori di battitura. In questo modo si ridurrà il tasso di falsi positivi per le e-mail legittime e allo stesso tempo si garantirà un'efficace difesa dallo spam.

Monitoraggio e tempi di risposta

Una strategia antispam efficace richiede che siate in grado di riconoscere rapidamente le e-mail più vistose e di reagire di conseguenza. A seconda delle dimensioni della vostra rete o del numero di e-mail che ricevete ogni giorno, può essere utile l'automazione. Molte aziende installano sistemi SIEM o di gestione dei log che analizzano automaticamente le intestazioni delle e-mail e verificano la presenza di minacce. Vengono definiti alcuni valori di soglia al di sopra dei quali viene segnalato un incidente.

Un'altra misura utile è la formazione regolare dei dipendenti che lavorano nell'assistenza clienti o nel team IT. Essi devono saper riconoscere immediatamente i peggiori indicatori di spam nell'intestazione. In questo modo, si può evitare che un'e-mail critica rimanga nel sistema per troppo tempo prima di essere identificata come una minaccia. Una volta riconosciuto un incidente, una chiara routine di risposta agli incidenti supporta ulteriori indagini. È qui che entrano in gioco gli strumenti e le tecniche descritte nell'articolo.

Integrazione dell'analisi delle intestazioni nel processo di sicurezza complessivo

Un'analisi approfondita delle intestazioni non dovrebbe mai essere effettuata in modo isolato. È possibile combinarla con altre misure di sicurezza per creare una catena olistica di difesa. Ad esempio, dopo aver individuato un indirizzo IP sospetto, non solo controllate lo stato SPF, ma eseguite anche un'analisi antivirus e dei link nel corpo del messaggio. Le vere ondate di spam delle botnet sono spesso basate su più punti di attacco, tra cui allegati manipolati, link contraffatti o trojan.

Se si utilizza uno stack di sicurezza standardizzato, è possibile combinare i risultati dell'analisi delle intestazioni con le informazioni provenienti dai firewall, dalla sicurezza degli endpoint o dai registri dei server web. Un IP che sta causando accessi falliti o attacchi DDoS per diversi servizi è particolarmente sospetto se compare contemporaneamente nelle righe di ricezione delle e-mail. Ciò consente di ottenere tempi di risposta significativamente più rapidi e una valutazione completa della sicurezza.

Le migliori pratiche per una valutazione efficiente delle testate

Per avere successo a lungo termine, è consigliabile attenersi ad alcuni principi di base nell'analisi delle intestazioni. Questi includono

Procedere in modo sistematico: Lavorare secondo una sequenza definita, ad esempio: prima le righe ricevute, poi i risultati dell'autenticazione, quindi le intestazioni X.
Aggiornare regolarmente: Mantenete aggiornate le basi di conoscenza e le intestazioni di riferimento per i vostri partner di comunicazione più importanti.
Utilizzare strumenti automatizzati: Alcune cose possono essere fatte più velocemente e in modo più sicuro utilizzando strumenti di analisi specializzati, soprattutto in ambienti con grandi volumi.
Documentazione sostenibile: Qualsiasi anomalia nell'intestazione può essere parte di un modello più ampio. Utilizzate ticket o log interni per gestire gli incidenti in modo tracciabile.

In particolare nei team, è una buona idea tenere un database di conoscenze e raccogliere esempi specifici di e-mail, comprese le intestazioni, i risultati dell'autenticazione e un breve riassunto dell'analisi. In questo modo, anche i nuovi colleghi possono imparare rapidamente cosa è importante quando si analizza un'e-mail sospetta.

Vantaggi condivisi per mittente e destinatario

Un'infrastruttura di posta elettronica pulita e tracciabile non è importante solo per i destinatari, ma anche per voi come mittenti. Chiunque invii newsletter professionali o e-mail transazionali deve assicurarsi che tutti i meccanismi di autenticazione siano configurati correttamente. In caso contrario, le e-mail potrebbero finire involontariamente nella cartella dello spam. Una voce SPF corretta, firme DKIM valide e una politica DMARC adeguata assicurano che i mittenti affidabili siano immediatamente riconoscibili e abbiano meno probabilità di finire nei filtri discutibili.

I destinatari, a loro volta, beneficiano di percorsi e risultati di autenticazione chiaramente visibili, in quanto possono individuare molto più rapidamente potenziali attacchi o tentativi di falsificazione. Il risultato è uno scambio di e-mail trasparente da entrambe le parti, che crea fiducia e riduce al minimo le superfici di attacco.

Sintesi

L'analisi degli header è una delle tecniche più importanti per controllare il traffico e-mail e riconoscere gli attacchi di spam o phishing prima che causino danni. Esaminando le catene ricevute, i controlli di autenticazione (SPF, DKIM, DMARC) e i campi specificamente inseriti, come i valori X-Spam-Status o BCL, è possibile scoprire trucchi nascosti e tentativi mirati di inganno. In ambienti complessi, è utile procedere in modo sistematico, mantenere intestazioni di riferimento e documentare con precisione le deviazioni. Allo stesso tempo, è opportuno combinare strumenti e analisi dei log per ottenere risultati affidabili.

Coloro che analizzano regolarmente le intestazioni delle e-mail e si occupano degli schemi che scoprono non solo beneficiano di una maggiore sicurezza e di tassi di spam più bassi, ma migliorano anche il proprio tasso di consegna. Un approccio strutturato, gli strumenti giusti e una solida base di conoscenze sui record DNS, sul comportamento dei server di posta e sulle configurazioni a rischio di errore sono le chiavi per un traffico di posta sicuro e affidabile.

Articoli attuali

Wordpress

Perché il caricamento della prima pagina è sempre più lento con WordPress

Scoprite perché il caricamento della prima pagina è più lento con WordPress, come avviene la cache fredda di wordpress e quali misure miglioreranno le prestazioni di wp a lungo termine.

Gennaio 11, 2026 Nessun commento

Wordpress

WordPress senza cache di pagina: quando ha senso e quando no

Scoprite quando WordPress senza cache di pagina ha senso, quali rischi comporta per le prestazioni e la SEO e come sviluppare una strategia di caching ottimale con la parola chiave wordpress senza cache.

Gennaio 11, 2026 Nessun commento

Wordpress

Perché WordPress è lento su alcuni server: le dipendenze dell'hosting spiegate tecnicamente

Scoprite come si sviluppano realmente le prestazioni del vostro hosting WordPress, perché molti server rallentano WordPress e di quale tuning del server wp avete bisogno per una velocità stabile.

Gennaio 11, 2026 Nessun commento