Os cabeçalhos de e-mail contêm informações importantes sobre a origem e o caminho percorrido por um e-mail antes de chegar ao seu destino, incluindo o endereço IP do remetente, o provedor de serviços de Internet, o cliente de e-mail e até o local. As informações podem ser usadas para bloquear futuros e-mails do remetente (no caso de spam) ou para determinar a legitimidade de um e-mail suspeito. Uma revisão dos cabeçalhos também pode ajudar a identificar a “falsificação de cabeçalho”, uma forte indicação de que o e-mail foi enviado com intenção maliciosa.

Cabeçalhos de e-mails possuem várias informações importantes como o e-mail, temos informações sobre a origem e o caminho percorrido por um e-mail antes de chegar ao destinatário, incluindo o endereço IP do remetente, provedor de serviços e, qual o cliente do e-mail utilizado. Essas informações podem ser utilizadas para bloquear e-mails do remetente (caso seja um Phishing ou Spam) ou para termos certeza de que um e-mail é legitimo. Revisar essas informações do cabeçalho pode ajudar a identificar a “alteração de cabeçalho”, o que é uma forte indicação de que o e-mail é.

Compreendendo os campos do cabeçalho

Para a correta interpretação dos cabeçalhos de e-mails, o analista deverá ler a sua estrutura cronologicamente de baixo para cima. Estruturalmente, os cabeçalhos de e-mail podem ser divididos em três categorias principais:

Informações da mensagem

Cabeçalhos X e

Informações de retransmissão do servidor. 

Existe uma ferramenta excelente para analisar cabeçalhos disponíveis on-line em mxtoolbox, como obter cabeçalhos de e-mails dos clientes mais comuns EmailHeaders/.

• 

1. Delivered-To:

Esse campo no cabeçalho contém o e-mail de quem irá receber a mensagem. Se esse endereço não for igual ao endereço real do destinatário, pode ser um sinal de que a mensagem foi alterada.

2. Received:

Esse campo possui detalhes do último servidor SMTP por onde passou, achamos as seguintes informações:
Endereço Ip do servidor
SMTP ID do servidor
Data e hora que o e-mail passou pelo servidor SMTP

3. X-Received:

Alguns parâmetros são incluídos além dos padrões da Internet. Cada provedor pode adicionar ao cabeçalho alguma informação especifica deles. Eles são criados por agentes de transferência de e-mail, como o servidor SMTP do Google Mail, que pode usar o campo X-Received para compartilhar informações não padrão. O campo compartilha os seguintes detalhes:

Endereço Ip do servidor
SMTP ID do servidor
Data e hora que o e-mail passou pelo servidor SMTP

4. Return-Path:

Esse campo do cabeçalho possui o endereço de e-mail para o qual a mensagem deve retornar caso não consiga chegar ao destinatário.

5. Received From:

Esse campo contém informações do primeiro servidor SMTP que mensagem passou. A gente encontra as seguintes informações:

Endereço Ip do servidor
Endereço de e-mail do destinatário
Informações de criptografia
Data e hora pelo qual a mensagem passou por ele

Esse é um dos campos mais importantes no cabeçalho pois você pode encontrar o endereço IP do remetente, além de outros detalhes, como o nome do host.

6. Received-SPF:

O SPF é um protocolo que identifica se os e-mails partiram realmente de onde ele indica que veio. Portanto, ele é muito importante para termos certeza da identidade do remetente. A técnica usa o endereço de domínio para autenticação e adiciona o status de verificação no campo do cabeçalho. Os seguintes códigos são usados:

Pass: a fonte é válida
Softfail: fonte falsa possível
Fail: a fonte é inválida
Neutral: validade da fonte difícil de determinar
None: registro SPF não encontrado
Unknown: a verificação do SPF não pode ser executada
Error: um erro que ocorre durante a verificação do SPF

7. Authentication-Results:

Os MTAs aplicam inúmeras técnicas de autenticação nas mensagens antes de passá-la para a frente. Os resultados dessas técnicas são inseridos no cabeçalho.
Esse campo é importante pois informa o ID do servidor que fez a autenticação.

8. DKIM-Signature:

O campo de cabeçalho da assinatura DKIM é inserido em uma mensagem de e-mail para compartilhar detalhes do remetente, da mensagem e da chave pública necessária para executar a autenticação da mensagem.

Conclusão:

Entender os campos do cabeçalho, permite analisar se uma mensagem veio do remetente que está descrito no e-mail, permite verificar coisas suspeitas no processo do envio.

Sabendo que hoje em dia é simples a alteração de campos de cabeçalho, precisamos entender a estrutura do e-mail para podermos nos defender de possíveis e-mails falsos.