Come Leggere gli Header di un'Email: Guida Pratica

Ogni Email Ha un Passaporto Nascosto: gli Header

Quando ricevi un'email, vedi il mittente, l'oggetto, il corpo del messaggio. Ma sotto la superficie c'e' molto di piu'. Ogni email trasporta un blocco di metadati tecnici chiamati header — informazioni invisibili nella vista normale del tuo client di posta, ma fondamentali per capire da dove arriva davvero un messaggio, che percorso ha fatto, e se e' autentico o contraffatto.

Pensa agli header come al passaporto di un'email. Cosi' come un passaporto contiene foto, dati anagrafici, timbri di ingresso e uscita dai Paesi visitati, gli header contengono l'identita' del mittente, i server attraversati, le verifiche di autenticazione superate (o fallite), e molto altro.

Se hai mai ricevuto un'email sospetta — una fattura inattesa, una richiesta urgente dal "capo", un avviso dalla banca — sapere leggere gli header ti permette di smascherare il tentativo di truffa in pochi secondi. In questa guida ti spiego come farlo, passo per passo, con esempi concreti.

Cos'e' un Header Email

Un header email e' un insieme di campi testuali che accompagnano ogni messaggio di posta elettronica. Contengono informazioni tecniche su chi ha inviato l'email, attraverso quali server e' transitata, quando e' stata spedita, e se ha superato i controlli di autenticazione.

Per capire meglio, pensa alla differenza tra busta e lettera. Quando ricevi una lettera cartacea, guardi il contenuto (la lettera) e magari il mittente scritto sulla busta. Ma se fossi un investigatore, guarderesti anche il timbro postale, il codice di tracciamento, il percorso di smistamento. Gli header sono esattamente questo: le informazioni "sulla busta" dell'email, non visibili a chi legge solo la lettera.

A differenza del contenuto dell'email (che puo' dire qualsiasi cosa), gli header vengono generati e modificati dai server di posta lungo il percorso. Non sono perfetti — il campo From: puo' essere falsificato — ma molti campi sono affidabili perche' inseriti dai server che gestiscono effettivamente il messaggio.

Come Visualizzare gli Header

Prima di poter leggere gli header, devi sapere dove trovarli. Ogni client di posta li nasconde in un punto diverso. Ecco come accedervi nei programmi piu' diffusi.

Outlook (Desktop e Web)

Su Outlook desktop (Windows): apri l'email, vai su File > Proprieta'. Troverai gli header nella sezione "Intestazioni Internet" in fondo alla finestra.

Su Outlook Web (outlook.com / Microsoft 365): apri l'email, clicca sui tre puntini in alto a destra, seleziona Visualizza > Visualizza origine messaggio. Si aprira' una nuova finestra con gli header completi.

Gmail

Apri l'email, clicca sui tre puntini verticali in alto a destra del messaggio, seleziona "Mostra originale". Gmail ti mostrera' un riepilogo con i risultati SPF, DKIM e DMARC, piu' il link per scaricare gli header completi.

Apple Mail (macOS)

Apri l'email, vai su Vista > Messaggio > Tutte le intestazioni (oppure usa la scorciatoia Cmd + Shift + H). Gli header appariranno sopra il corpo del messaggio.

Thunderbird

Apri l'email e premi Ctrl+U (o Cmd+U su Mac). Si aprira' una finestra con il sorgente completo del messaggio, header inclusi.

Una volta che hai gli header davanti, copiali tutti (Ctrl+A, Ctrl+C) — ti serviranno per l'analisi.

I Campi Piu' Importanti

Gli header possono contenere decine di righe. Non devi leggerli tutti. Ecco i campi che contano davvero, quelli che ti dicono se un'email e' autentica o sospetta.

From: — Il Mittente Dichiarato (Attenzione: Puo' Essere Falso!)

Il campo From: mostra chi dichiara di aver inviato l'email. Esempio:

From: Mario Rossi <mario.rossi@azienda-esempio.it>

Ecco il problema: questo campo e' facilmente falsificabile. Chiunque con un minimo di conoscenza tecnica puo' inviare un'email con un From: a sua scelta. Si chiama spoofing ed e' la base del 90% degli attacchi di phishing.

Quindi il From: ti dice chi il mittente vuole farti credere di essere. Non chi e' realmente. Per quello, servono altri campi.

Return-Path: — Il Vero Mittente Tecnico

Il Return-Path: (anche detto "envelope sender") e' l'indirizzo al quale vengono consegnati i messaggi di errore (bounce). A differenza del From:, questo campo e' impostato dal server di invio ed e' piu' difficile da falsificare.

Return-Path: <bounce-12345@mail-server.azienda-esempio.it>

Se il Return-Path: punta a un dominio completamente diverso dal From:, e' un segnale d'allarme. Ad esempio: From: banca@intesasanpaolo.com ma Return-Path: . Questo scenario urla phishing.

Received: — Il Percorso dell'Email (Leggere dal Basso verso l'Alto)

I campi Received: sono i piu' importanti e i piu' sottovalutati. Ogni server di posta che gestisce l'email aggiunge un campo Received: in cima agli header. Questo significa che per ricostruire il percorso del messaggio, devi leggere i Received dal basso verso l'alto.

Received: from server-finale.destinatario.it (10.0.0.1)
  by inbox.destinatario.it; Mon, 3 Mar 2026 10:30:15 +0100
Received: from relay.provider-mittente.com (203.0.113.50)
  by server-finale.destinatario.it; Mon, 3 Mar 2026 10:30:12 +0100
Received: from mail.azienda-esempio.it (192.168.1.10)
  by relay.provider-mittente.com; Mon, 3 Mar 2026 10:30:05 +0100

Leggendo dal basso: l'email e' partita da mail.azienda-esempio.it, e' passata per relay.provider-mittente.com, e infine e' arrivata a server-finale.destinatario.it. Se un Received: intermedio mostra un server in un Paese inaspettato (ad esempio un relay in Russia per un'email che dovrebbe arrivare da un fornitore italiano), qualcosa non torna.

Date: — Quando e' Stata Inviata

Date: Mon, 3 Mar 2026 10:30:00 +0100

Il timestamp dell'invio. Confrontalo con i timestamp nei campi Received:. Se la Date: dice lunedi' mattina ma il primo Received: mostra domenica notte, il campo Date potrebbe essere stato manipolato — oppure il server del mittente ha l'orologio sballato (succede piu' spesso di quanto pensi, ma resta un segnale da valutare).

Message-ID: — L'Identificativo Univoco

Message-ID: <abc123@mail.azienda-esempio.it>

Ogni email ha un ID univoco generato dal server mittente. Il dominio dopo la @ nel Message-ID dovrebbe corrispondere al dominio del mittente. Se ricevi un'email "da" una banca italiana ma il Message-ID contiene @random-server.xyz, c'e' un problema.

X-Mailer: / User-Agent: — Il Software Usato

X-Mailer: Microsoft Outlook 16.0
User-Agent: Thunderbird 128.0

Questi campi (opzionali) indicano il software usato per comporre l'email. Se il tuo collega usa sempre Outlook e un'email "da lui" mostra un User-Agent sconosciuto o un tool di mass mailing, potrebbe essere un segnale di account compromesso.

Authentication-Results: — Il Verdetto su SPF, DKIM e DMARC

Questo e' il campo piu' potente per verificare l'autenticita' di un'email. Viene inserito dal server del destinatario dopo aver verificato i protocolli di autenticazione del mittente.

Authentication-Results: mx.destinatario.it;
  spf=pass (sender IP is 203.0.113.50) smtp.mailfrom=azienda-esempio.it;
  dkim=pass header.d=azienda-esempio.it;
  dmarc=pass (policy=reject) header.from=azienda-esempio.it

Ecco cosa significano i tre protocolli:

• SPF (Sender Policy Framework): verifica che l'IP del server mittente sia autorizzato a inviare per quel dominio. pass = autorizzato, fail = non autorizzato.
• DKIM (DomainKeys Identified Mail): verifica che l'email non sia stata alterata durante il transito, tramite una firma crittografica. pass = firma valida.
• DMARC (Domain-based Message Authentication, Reporting & Conformance): combina SPF e DKIM e stabilisce una policy (none, quarantine, reject) su cosa fare se i controlli falliscono.

Se tutti e tre mostrano pass, l'email e' molto probabilmente autentica. Se anche solo uno mostra fail o none, serve un'indagine piu' approfondita.

Esempio Pratico: Analisi di un Header Sospetto

Mettiamo in pratica tutto. Immagina di ricevere un'email con oggetto "Fattura #2026-0293 — Pagamento urgente entro 48h" apparentemente inviata da un tuo fornitore abituale.

Ti insospettisce l'urgenza. Apri gli header. Ecco cosa trovi (semplificato):

Return-Path: <notification@srv-28461.hostingeconomico.xyz>
Received: from srv-28461.hostingeconomico.xyz (91.234.56.78)
  by mx.tuodominio.it; Mon, 3 Mar 2026 09:15:32 +0100
From: Amministrazione Fornitore Srl <fatture@fornitore-reale.it>
Reply-To: pagamenti.urgenti@gmail.com
Date: Mon, 3 Mar 2026 09:15:00 +0100
Message-ID: <8f3k2j@srv-28461.hostingeconomico.xyz>
X-Mailer: PHPMailer 6.8.0
Authentication-Results: mx.tuodominio.it;
  spf=fail (sender IP 91.234.56.78 not permitted for fornitore-reale.it);
  dkim=none;
  dmarc=fail (policy=none)

Ora analizziamo passo per passo:

1. From: dice fatture@fornitore-reale.it — sembra legittimo. Ma non fidarti.
2. Return-Path: punta a hostingeconomico.xyz — un dominio completamente diverso dal fornitore. Primo allarme rosso.
3. Received: il server mittente e' srv-28461.hostingeconomico.xyz con IP 91.234.56.78 — non e' il server del fornitore. Secondo allarme.
4. Reply-To: le risposte andrebbero a pagamenti.urgenti@gmail.com — un account Gmail generico, non l'indirizzo aziendale del fornitore. Terzo allarme.
5. Message-ID: il dominio dopo la @ e' hostingeconomico.xyz, non fornitore-reale.it. Quarto allarme.
6. X-Mailer: PHPMailer e' uno script PHP per inviare email in massa. Il tuo fornitore usa Outlook. Quinto allarme.
7. Authentication-Results: SPF fail (l'IP non e' autorizzato per quel dominio), DKIM none (nessuna firma), DMARC fail. Sesto allarme — e quello definitivo.

Verdetto: questa email e' un tentativo di phishing con spoofing del mittente. Il campo From: e' stato falsificato. L'email non e' mai partita dal server del fornitore reale. L'obiettivo era probabilmente farti pagare una fattura con IBAN modificato — un classico attacco BEC.

Senza controllare gli header, avresti visto solo "Fattura del fornitore" nella inbox. Con gli header, hai smascherato la truffa in 60 secondi.

Il Tool Che Lo Fa Per Te

Analizzare gli header manualmente e' utile per capire come funzionano. Ma nella vita quotidiana, quando ricevi 50-100 email al giorno, non puoi controllare ogni header a mano.

Per questo abbiamo creato l'Analizzatore Header MailSniper. Funziona cosi':

1. Copia gli header dell'email sospetta (con i metodi spiegati sopra)
2. Incollali nel tool sulla pagina /analizza-header
3. In 3 secondi ottieni un report completo: mittente reale, percorso del messaggio, esito SPF/DKIM/DMARC, eventuali anomalie evidenziate in rosso

Il tool evidenzia automaticamente le discrepanze — come un From: diverso dal Return-Path:, o un SPF fail — cosi' non devi cercarle tu a occhio negli header grezzi.

E se vuoi fare un passo in piu', puoi verificare la configurazione DNS del dominio mittente con il nostro tool di verifica SPF/DKIM/DMARC. In pochi secondi saprai se quel dominio e' configurato per prevenire lo spoofing o se e' completamente esposto.

Quando Controllare gli Header

Non serve controllare gli header di ogni singola email. Ma ci sono 5 situazioni in cui dovresti farlo sempre:

1. Email Sospetta da Mittente Sconosciuto

Ricevi un'email da qualcuno che non conosci, con un link o un allegato? Prima di cliccare qualsiasi cosa, controlla gli header. Bastano 30 secondi per verificare se SPF e DKIM passano.

2. Fattura o Richiesta di Pagamento Inattesa

Le fatture false con IBAN modificato sono il cuore degli attacchi BEC. Se ricevi una fattura che non aspettavi — o una fattura abituale ma con coordinate bancarie diverse — verifica gli header e chiama il fornitore su un numero che conosci gia' (non quello scritto nell'email).

3. Richiesta Urgente dal Capo o da un Collega

"Devo fare un bonifico urgente, puoi occupartene tu?" Se il tuo CEO ti scrive cosi', fermati. Controlla gli header. Nell'80% dei casi di BEC, l'email non arriva davvero dall'indirizzo del dirigente.

4. Allegato Inatteso o Formato Insolito

Un file .zip, .iso, .docm che non aspettavi? Gli header ti diranno se l'email arriva davvero dal mittente dichiarato. Se i controlli di autenticazione falliscono, non aprire quell'allegato.

5. Mittente Noto Ma Contenuto Insolito

Il tuo collega ti scrive in un tono diverso dal solito. Il fornitore abituale usa un layout email diverso. La banca ti chiede cose che non ha mai chiesto. Quando il contenuto "stona" rispetto al mittente, gli header ti dicono se l'account e' stato compromesso o se l'email e' stata falsificata.

Per allenare il tuo occhio a riconoscere email sospette prima ancora di controllare gli header, prova il nostro Test Phishing — un quiz interattivo con scenari reali. E se vuoi approfondire tutti i segnali del phishing, leggi la nostra guida completa al riconoscimento delle email di phishing.

Proteggi la Tua Azienda: Non Solo Occhio Umano

Sapere leggere gli header e' una competenza preziosa. Ma la difesa di un'azienda non puo' dipendere dal fatto che ogni dipendente sappia analizzare header email alle 8 di mattina con il caffe' in mano.

Serve un sistema che verifichi automaticamente ogni email in arrivo — che controlli SPF, DKIM e DMARC, che analizzi il percorso del messaggio, che confronti il From: con il Return-Path: — e che blocchi le email sospette prima che arrivino nella inbox.

E' esattamente quello che fa MailSniper. Il nostro gateway analizza ogni header in tempo reale, verifica l'autenticazione su tutti i livelli, e filtra le email contraffatte con un catch rate del 99,9%.

Prossimi passi:

• Analizza un header adesso — incolla gli header e ottieni un report in 3 secondi
• Prova MailSniper gratis — 30 giorni, zero rischi, setup in 15 minuti
• Scopri come funziona — 14+ livelli di analisi per ogni email in arrivo