Intestazione email: Definizione e come leggerla

Definizione

Un'intestazione email è la sezione di metadati allegata a ogni messaggio email che contiene informazioni essenziali di routing e autenticazione. Le intestazioni includono indirizzi di mittente e destinatario, timestamp, righe dell'oggetto e un registro dettagliato dei server attraverso cui il messaggio è passato durante la consegna. Questi dati tecnici consentono ai server email di instradare correttamente i messaggi, verificare l'autenticità del mittente e aiutare i sistemi di sicurezza a rilevare tentativi di spoofing o manomissione.

Casi d'uso comuni

Investigare email di phishing per identificare la vera origine del mittente

Debug di errori di consegna email e problemi di bounce

Verificare i risultati dell'autenticazione SPF, DKIM e DMARC

Tracciare il percorso di routing di email in ritardo o mancanti

Identificare quale server o hop ha causato problemi di consegna

Rilevare tentativi di spoofing email in messaggi sospetti

Analizzare le decisioni dei filtri antispam e perché le email sono state segnalate

Analisi forense per incidenti di sicurezza e audit di conformità

Perché le intestazioni email sono importanti

Le intestazioni email sono cruciali sia per la sicurezza che per la deliverability. Per i professionisti della sicurezza, le intestazioni rivelano la vera origine di un'email, esponendo potenziali tentativi di phishing anche quando il campo 'From' visibile sembra legittimo. Esaminando la catena Received e i risultati dell'autenticazione, puoi verificare se un'email proviene effettivamente dal mittente dichiarato. Dal punto di vista della deliverability, le intestazioni contengono i segnali di autenticazione che i provider di caselle di posta utilizzano per decidere se accettare, mettere in quarantena o rifiutare la posta in arrivo. Le email con intestazioni di autenticazione corrette che mostrano superamento di SPF, DKIM e DMARC hanno molte più probabilità di raggiungere la casella di posta rispetto a quelle che non superano questi controlli. Le intestazioni forniscono anche informazioni essenziali per il debug quando le email si perdono o finiscono nello spam. I team di supporto tecnico si affidano all'analisi delle intestazioni per diagnosticare errori di consegna, identificare IP in blacklist e risolvere problemi di routing.

Come funzionano le intestazioni email

Ogni email è composta da due parti: l'intestazione e il corpo. Mentre il corpo contiene il messaggio effettivo, l'intestazione conserva le informazioni tecniche che rendono possibile la consegna dell'email. Quando invii un'email, il tuo server di posta aggiunge campi intestazione iniziali come From, To, Date e Subject. Man mano che il messaggio viaggia attraverso Internet, ogni server di posta che attraversa aggiunge una voce intestazione 'Received', creando una traccia cronologica del percorso dell'email. Queste voci sono impilate in ordine inverso, quindi il server più recente appare in cima. Questa catena aiuta a risolvere problemi di consegna e a rilevare pattern di routing sospetti. Le intestazioni di autenticazione come Authentication-Results, DKIM-Signature e Received-SPF vengono aggiunte dai server di ricezione dopo aver verificato i record SPF, DKIM e DMARC. Queste intestazioni indicano se l'email ha superato o meno i vari controlli di autenticazione, aiutando i filtri antispam e i destinatari a valutare la legittimità del messaggio.

Best practice

Impara a leggere la catena di intestazioni Received dal basso (primo hop) verso l'alto (ultimo hop)

Controlla sempre l'intestazione Authentication-Results per lo stato di SPF, DKIM e DMARC

Confronta il dominio dell'intestazione From con il dominio della firma DKIM per l'allineamento

Usa strumenti di analisi delle intestazioni email per decodificare rapidamente intestazioni complesse

Verifica che il Return-Path corrisponda all'indirizzo From per rilevare potenziale spoofing

Cerca hop di server insoliti o anomalie di routing geografico

Conserva le intestazioni originali quando segnali phishing o abusi

Includi le intestazioni complete quando invii ticket di supporto per la deliverability

Domande frequenti

Come posso visualizzare le intestazioni email in Gmail, Outlook o altri client email?

In Gmail, apri l'email e clicca sul menu a tre punti, quindi seleziona 'Mostra originale'. In Outlook, apri il messaggio, vai su File > Proprietà e visualizza la sezione delle intestazioni Internet. La maggior parte dei client email ha un'opzione simile 'visualizza sorgente' o 'mostra originale' nel menu del messaggio.

Quali sono le intestazioni più importanti da controllare per la sicurezza?

Concentrati su Authentication-Results (mostra se SPF/DKIM/DMARC sono passati o falliti), intestazioni Received (rivelano il percorso e l'origine effettivi), Return-Path (indirizzo del mittente della busta) e DKIM-Signature (verifica crittografica). Le discrepanze tra questi e l'indirizzo From visibile spesso indicano spoofing.

Le intestazioni email possono essere falsificate o manipolate?

Alcune intestazioni come From e Subject possono essere facilmente falsificate dai mittenti. Tuttavia, le intestazioni Received aggiunte da ogni server nella catena sono più affidabili, e le intestazioni di autenticazione come DKIM-Signature utilizzano la crittografia che gli attaccanti non possono falsificare senza accesso alla chiave privata del dominio.

Perché alcune email hanno decine di righe di intestazione?

Ogni server che elabora l'email aggiunge le proprie intestazioni, e le email possono passare attraverso filtri antispam, gateway di sicurezza e più server di posta prima di raggiungerti. Le email di marketing inviate tramite ESP hanno spesso intestazioni aggiuntive di tracciamento e autenticazione, risultando in sezioni di intestazione molto lunghe.

Intestazione email

Tutti i termini email che devi conoscere per padroneggiare l'email marketing e la deliverability, spiegati in modo chiaro e semplice.