Como posso descobrir de onde um e-mail realmente veio?

Aug 8, 2025
Nuvem e Internet
CONTEÚDO NÃO CHEGADO

Só porque um e-mail aparece em sua caixa de entrada rotulado [email protected], não significa que Bill realmente teve algo a ver com isso. Continue lendo enquanto exploramos como aprofundar e ver de onde realmente veio um e-mail suspeito.

A sessão de perguntas e respostas de hoje chega até nós como cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento de sites de perguntas e respostas voltado para a comunidade.

A questão

O leitor SuperUser Sirwan quer saber como descobrir a origem real dos e-mails:

Como posso saber de onde realmente veio um e-mail?
Existe alguma maneira de descobrir isso?
Já ouvi falar de cabeçalhos de e-mail, mas não sei onde posso ver os cabeçalhos de e-mail, por exemplo, no Gmail.

Vamos dar uma olhada nesses cabeçalhos de e-mail.

As respostas

O colaborador do superusuário Tomas oferece uma resposta bastante detalhada e perspicaz:

Veja um exemplo de golpe que foi enviado para mim, fingindo ser de minha amiga, alegando que ela foi roubada e me pedindo ajuda financeira. Eu mudei os nomes - suponha que eu seja Bill, o golpista enviou um e-mail para [email protected] , fingindo que ele é [email protected] . Observe que Bill encaminhou para [email protected] .

Primeiro, no Gmail, use show original :

Em seguida, o e-mail completo e seus cabeçalhos serão abertos: 

Delivered-To: [email protected]
Recebido: por 10.64.21.33 com SMTP id s1csp177937iee;
        Seg, 8 de julho de 2013 04:11:00 -0700 (PDT)
Recebido por X: por 10.14.47.73 com id SMTP s49mr24756966eeb.71.1373281860071;
        Seg, 08 de julho de 2013 04:11:00 -0700 (PDT)
Return-Path: <[email protected]>
Recebido: de maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        por mx.google.com com ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        para <[email protected]>
        (versão = cifra TLSv1 = bits RC4-SHA = 128/128);
        Seg, 08 de julho de 2013 04:11:00 -0700 (PDT)
Recebido-SPF: neutro (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 não é permitido nem negado pelo registro de melhor estimativa para o domínio de SRS0=Znlt=QW=yahoo.com=alice@domain .com) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;
Resultados da autenticação: mx.google.com;
       spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 não é permitido nem negado pelo registro de melhor estimativa para o domínio de [email protected] ) [email protected]
Recebido: por maxipes.logix.cz (Postfix, do ID do usuário 604)
    id C923E5D3A45; Seg, 8 de julho de 2013 23:10:50 +1200 (NZST)
X-Original-To: [email protected]
X-Greylist: atrasado 00:06:34 por SQLgrey-1.8.0-rc1
Recebido: de elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    por maxipes.logix.cz (Postfix) com ESMTP id B43175D3A44
    para <[email protected]>; Seg, 8 de julho de 2013 23:10:48 +1200 (NZST)
Recebido: de 900.0004 (helo = laurence39)
    por elasmtp-curtail.atl.sa.earthlink.net com esmtpa (Exim 4.67)
    (envelope de <[email protected]>)
    id 1Uw98w-0006KI-6y
    para [email protected]; Seg, 08 de julho de 2013 06:58:06 -0400
De: "Alice" <[email protected]>
Assunto: Terrível problema de viagem ... Responda o mais rápido possível
Para: [email protected]
Tipo de conteúdo: multiparte / alternativa; limite = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70"
Versão MIME: 1.0
Responder para: [email protected]
Data: Seg, 8 de julho de 2013 10:58:06 +0000
Message-ID: <[email protected]>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Os cabeçalhos devem ser lidos cronologicamente de baixo para cima - os mais antigos estão na parte inferior. Cada novo servidor no caminho adicionará sua própria mensagem - começando com Recebido . Por exemplo: 

Recebido: de maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        por mx.google.com com ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        para <[email protected]>
        (versão = cifra TLSv1 = bits RC4-SHA = 128/128);
        Seg, 08 de julho de 2013 04:11:00 -0700 (PDT)

Isso diz que mx.google.com recebeu o e-mail de maxipes.logix.cz em Seg, 08 de julho de 2013 04:11:00 -0700 (PDT) .

Agora, para encontrar o real remetente do seu e-mail, seu objetivo é encontrar o último gateway confiável - o último ao ler os cabeçalhos a partir do topo, ou seja, o primeiro na ordem cronológica. Vamos começar encontrando o servidor de e-mail do Bill. Para isso, você consulta o registro MX do domínio. Você pode usar alguns ferramentas online , ou no Linux você pode consultá-lo na linha de comando (observe que o nome de domínio real foi alterado para domain.com ): 

~ $ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

Então você vê que o servidor de e-mail para domínio.com é maxipes.logix.cz ou broucek.logix.cz . Portanto, o último (primeiro cronologicamente) "salto" confiável - ou o último "registro recebido" confiável ou o que quer que você chame - é este: 

Recebido: de elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    por maxipes.logix.cz (Postfix) com ESMTP id B43175D3A44
    para <[email protected]>; Seg, 8 de julho de 2013 23:10:48 +1200 (NZST)

Você pode confiar nisso porque isso foi gravado pelo servidor de e-mail de Bill para domain.com . Este servidor obteve de 209.86.89.64 . Este pode ser, e muitas vezes é, o verdadeiro remetente do e-mail - neste caso, o golpista! Você pode verifique este IP em uma lista negra . - Veja, ele está listado em 3 listas negras! Há ainda outro registro abaixo dele: 

Recebido: de [168.62.170.129] (helo = laurence39)
    por elasmtp-curtail.atl.sa.earthlink.net com esmtpa (Exim 4.67)
    (envelope de <[email protected]>)
    id 1Uw98w-0006KI-6y
    para [email protected]; Seg, 08 de julho de 2013 06:58:06 -0400

mas você não pode realmente confiar nisso, porque isso poderia apenas ser adicionado pelo golpista para limpar seus traços e / ou colocar uma pista falsa . Claro que ainda existe a possibilidade de o servidor 209.86.89.64 é inocente e apenas agiu como um retransmissor para o atacante real em 168.62.170.129 , mas a retransmissão é frequentemente considerada culpada e muitas vezes é incluída na lista negra. Nesse caso, 168.62.170.129 está limpo então podemos ter quase certeza de que o ataque foi feito de 209.86.89.64 .

E claro, como sabemos que Alice usa o Yahoo! e elasmtp-curtail.atl.sa.earthlink.net não está no Yahoo! rede (você pode querer verifique novamente as informações de IP Whois ), podemos concluir com segurança que este e-mail não era de Alice e que não devemos enviar dinheiro a ela para alegar férias nas Filipinas.

Dois outros contribuintes, Ex Umbris e Vijay, recomendaram, respectivamente, os seguintes serviços para auxiliar na decodificação de cabeçalhos de e-mail: SpamCop e Ferramenta de análise de cabeçalho do Google .

How Can I Find Out Where An Email Really Came From? (5 Solutions!!)

How Email Really Works?

How Email Really Works VIDEO

How To Really Stop Getting Spam Email

Email Validation Process: How Email Verification Really Works? |The Concept Behind Verifying Emails

How To Get The Email Addresses You Really Need!

How Much Do E-Mail Scammers Really Make?

How To Write An Email (No, Really) | Victoria Turk | TEDxAthens

How YouTube REALLY Works

How To Know If An Email Is Real

Nuvem e Internet - Artigos mais populares

Veja como assistir online a última temporada de Game of Thrones

Nuvem e Internet Apr 12, 2025

HBO HBO's A Guerra dos Tronos retorna para a oitava temporada no domingo, 14 de abril. A série quebrou recordes de pirataria porq..

Você pode hospedar um servidor da Web em sua conexão doméstica com a Internet?

Nuvem e Internet Sep 13, 2025

Configurar um servidor da Web e hospedar seu próprio site pode ser uma experiência de aprendizado divertida e desafiadora. Mas se você deseja fazer isso, deve primeiro verificar ..

Como tirar melhores fotos do Instagram

Nuvem e Internet Mar 23, 2025

O Instagram é uma das redes sociais mais populares do mundo. É um lugar onde você pode compartilhar fotos que tirou, fotos do estilo de vida que você (quer que as pessoas pensem..

Como reduzir o tamanho de documentos do Microsoft Office que contêm imagens

Nuvem e Internet Jul 11, 2025

CONTEÚDO NÃO CHEGADO Mesmo nestes tempos de conexões rápidas de internet, discos rígidos enormes e muito espaço de armazenamento gratuito na nuvem, o tamanho do arq..

Como você faz seus navegadores usarem a resolução total do seu monitor?

Nuvem e Internet Jun 5, 2025

Ter um monitor com uma resolução muito alta é incrível, mas o que você faz quando o Google Chrome e o Internet Explorer se recusam a fazer uso apropriado de todo esse espaço d..

Enhance Internet Explorer 9 with Add-Ons

Nuvem e Internet May 30, 2025

CONTEÚDO NÃO CHEGADO Se você é um daqueles que ainda usam aquele “outro” navegador (Internet Explorer ou IE), ficará feliz em saber que existem maneiras de estender a fun..

Como fazer o Flash funcionar na versão de 64 bits do Internet Explorer

Nuvem e Internet Sep 20, 2025

Você está usando a versão de 64 bits do IE 9 Beta e tenta assistir a vídeos em flash, mas percebe que eles não serão reproduzidos. Aqui, examinamos como corrigir o problema instalando a..

Melhore a sua navegação com Hyperwords no Firefox

Nuvem e Internet Jun 8, 2025

Durante a navegação, é fácil encontrar informações sobre as quais você gostaria de saber mais, converter ou traduzir. A extensão Hyperwords fornece acesso a esses tipos de recursos e ..

Categorias