Os protocolos de e-mail não verificam se os endereços são legítimos - golpistas, phishers e outras pessoas mal-intencionadas exploram essa vulnerabilidade no sistema. Você pode examinar os cabeçalhos de um e-mail suspeito para ver se o endereço dele foi falsificado.
Como funciona o email
Seu software de e-mail exibe de quem é um e-mail no campo "De". No entanto, nenhuma verificação é realmente realizada - seu software de e-mail não tem como saber se um e-mail é de fato de quem ele é originário. Cada e-mail inclui um cabeçalho "De", que pode ser falsificado. Por exemplo, qualquer scammer pode enviar um e-mail que parece ser de [email protected]. Seu cliente de e-mail diria a você que este é um e-mail de Bill Gates, mas não tem como verificar.
Pense no campo "De" de um e-mail como o equivalente digital do endereço de retorno impresso nos envelopes que você recebe pelo correio. Geralmente, as pessoas colocam um endereço de retorno preciso no correio. No entanto, qualquer pessoa pode escrever o que quiser no campo do endereço de retorno. O serviço postal não verifica se uma carta é, na verdade, do endereço de retorno impresso.
Quando o protocolo SMTP (simple mail transfer protocol) foi projetado na década de 1980 para uso da academia e agências governamentais, a verificação dos remetentes não foi uma preocupação.
Como investigar os cabeçalhos de um email
Você pode ver mais detalhes sobre um e-mail ao acessar os cabeçalhos do e-mail. Essas informações estão localizadas em diferentes áreas em diferentes clientes de e-mail. Elas podem ser conhecidas como "fonte" ou "cabeçalhos" do e-mail.
(É claro que geralmente é uma boa ideia desconsiderar totalmente os e-mails suspeitos. Se você não tiver certeza sobre um e-mail, provavelmente será uma farsa.)
No Gmail, você pode examinar essas informações clicando na seta no canto superior direito de um e-mail e selecionando Mostrar original. Isso exibe o conteúdo bruto do e-mail.
Delivered-To: [MY EMAIL ADDRESS] Received: by 10.182.3.66 with SMTP id a2csp104490oba; Sat, 11 Aug 2012 15:32:15 -0700 (PDT) Received: by 10.14.212.72 with SMTP id x48mr8232338eeo.40.1344724334578; Sat, 11 Aug 2012 15:32:14 -0700 (PDT) Return-Path: Received: from 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30]) by mx.google.com with ESMTP id c41si1698069eem.38.2012.08.11.15.32.13; Sat, 11 Aug 2012 15:32:14 -0700 (PDT) Received-SPF: neutral (google.com: 72.255.12.30 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=72.255.12.30; Authentication-Results: mx.google.com; spf=neutral (google.com: 72.255.12.30 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by vwidxus.net id hnt67m0ce87b for <[MY EMAIL ADDRESS]>; Sun, 12 Aug 2012 10:01:06 -0500 (envelope-from ) Received: from vwidxus.net by web.vwidxus.net with local (Mailing Server 4.69) id 34597139-886586-27/./PV3Xa/WiSKhnO+7kCTI+xNiKJsH/rC/ for [email protected]; Sun, 12 Aug 2012 10:01:06 –0500
From: “Canadian Pharmacy” [email protected]
Existem mais cabeçalhos, mas esses são os mais importantes. Eles aparecem na parte superior do texto bruto do e-mail. Para entender esses cabeçalhos, comece pela parte inferior. Esses cabeçalhos rastreiam a rota do e-mail de seu remetente até você. Cada servidor que recebe o email adiciona mais cabeçalhos ao topo - os cabeçalhos mais antigos dos servidores onde o email começou estão localizados na parte inferior.
O cabeçalho “De” na parte inferior afirma que o email é de um endereço @ yahoo.com - é apenas uma informação incluída no email; pode ser qualquer coisa. No entanto, acima disso, podemos ver que o e-mail foi recebido pela primeira vez por "vwidxus.net" (abaixo) antes de ser recebido pelos servidores de e-mail do Google (acima). Esta é uma bandeira vermelha - esperávamos ver o cabeçalho "Recebido:" mais baixo na lista como um dos servidores de e-mail do Yahoo!
Os endereços IP envolvidos também podem lhe dar uma pista - se você receber um e-mail suspeito de um banco americano, mas o endereço IP de onde foi enviado chegar à Nigéria ou à Rússia, provavelmente é um endereço de e-mail falsificado.
Nesse caso, os remetentes de spam têm acesso ao endereço “[email protected]”, onde desejam receber respostas ao spam, mas, de qualquer forma, estão forjando o campo “De:”. Por quê? Provavelmente, porque eles não podem enviar grandes quantidades de spam através dos servidores do Yahoo! - eles seriam notados e desligados. Em vez disso, estão enviando spam de seus próprios servidores e falsificando seu endereço.
