Email header: leggere le intestazioni per scoprire truffe

Quella email ti sembra strana? Gli header hanno la risposta

Hai presente quella sensazione quando ricevi un'email e qualcosa non torna? Il tono e' diverso dal solito. La richiesta e' urgente. C'e' un allegato che non ti aspetti. Il tuo istinto ti dice di non fidarti, ma il mittente sembra legittimo.

Ecco, in questi momenti gli header email sono il tuo migliore alleato. Sono le intestazioni nascoste che ogni messaggio si porta dietro — una specie di registro di viaggio che ti racconta da dove arriva davvero quell'email, che strada ha fatto, e se qualcuno ha cercato di imbrogliare.

In questa guida ti mostro come leggere gli header email in modo pratico, con esempi concreti. Non serve essere un tecnico. Servono cinque minuti e un po' di curiosita'.

Cosa sono gli header email (in parole semplici)

Ogni email e' composta da due parti: il corpo (quello che leggi) e le intestazioni (quello che non vedi). Le intestazioni sono un blocco di testo tecnico che contiene informazioni su:

• Chi ha inviato l'email (davvero, non solo quello che appare)
• Quali server hanno gestito il messaggio
• Quando e' stata spedita
• Se ha superato i controlli di autenticazione

Pensa alle intestazioni come alla scatola nera di un aereo. Quando qualcosa va storto, e' li' che trovi le risposte. E proprio come una scatola nera, gli header non mentono — registrano fatti, non opinioni.

Perche' dovresti imparare a leggerli? Perche' i truffatori possono falsificare il nome del mittente con facilita'. Possono far sembrare che un'email arrivi dal tuo capo, dalla tua banca, dal tuo fornitore. Ma gli header raccontano una storia diversa. E se sai leggerli, li smascheri.

Come accedere agli header

Prima di tutto, devi sapere dove trovarli. Ogni programma di posta li nasconde in un posto diverso. Ecco le istruzioni rapide per i client piu' usati.

Gmail

Apri l'email. Clicca sui tre puntini verticali in alto a destra del messaggio. Seleziona "Mostra originale". Si apre una nuova scheda con un riepilogo (SPF, DKIM, DMARC) e il testo completo degli header.

Outlook (desktop)

Apri l'email. Vai su File > Proprieta'. In basso trovi la sezione "Intestazioni Internet" con il testo completo degli header. Su Outlook Web (Microsoft 365), clicca i tre puntini > Visualizza > Visualizza origine messaggio.

Thunderbird

Apri l'email. Vai su Visualizza > Sorgente del messaggio (oppure premi Ctrl+U). Si apre una finestra con gli header completi in cima, seguiti dal corpo del messaggio.

Apple Mail (macOS)

Apri l'email. Vai su Vista > Messaggio > Tutte le intestazioni (oppure Cmd+Shift+H). Gli header appaiono sopra il corpo del messaggio.

In tutti i casi, ti troverai davanti un blocco di testo che puo' sembrare incomprensibile. Niente panico — ora ti spiego cosa guardare.

I campi piu' importanti (e cosa significano)

Gli header contengono decine di righe. Non devi leggerli tutti. Ecco i cinque campi chiave su cui concentrarti.

1. From:

E' il campo piu' visibile e il piu' ingannevole. Mostra il nome e l'indirizzo del mittente. Il problema? Puo' essere falsificato facilmente. Un truffatore puo' far apparire qualsiasi indirizzo nel campo From:. E' come scrivere un nome falso sulla busta di una lettera — chiunque puo' farlo.

Quindi: mai fidarsi solo del From:. E' il punto di partenza, non la prova.

2. Return-Path:

Questo campo indica dove vanno le risposte automatiche e i messaggi di errore (bounce). In un'email legittima, il Return-Path dovrebbe corrispondere al dominio del From:. Se il From: dice mario@azienda.it ma il Return-Path dice x7k2m@server-sconosciuto.ru, hai un problema.

E' uno dei primi segnali di email spoofing: il mittente apparente non corrisponde al mittente reale.

3. Received:

Questo e' il campo piu' utile — e anche il piu' lungo. Ogni server che gestisce l'email aggiunge una riga Received:. Leggendole dal basso verso l'alto, ricostruisci il percorso dell'email dal mittente a te.

Ogni riga Received: ti dice:

• Da quale server arriva (from)
• Quale server l'ha ricevuta (by)
• Quando (data e ora)

Se un'email dice di arrivare dalla tua banca in Italia, ma la prima riga Received: mostra un server in Nigeria... beh, hai la tua risposta.

Attenzione: le righe Received: piu' in alto (vicine al destinatario) sono piu' affidabili. Quelle in basso (vicine al mittente) possono essere state falsificate. Un truffatore puo' aggiungere righe Received: finte per far sembrare che l'email abbia fatto un percorso diverso.

4. Authentication-Results:

Questo campo e' oro puro. Viene aggiunto dal tuo server di posta (quindi e' affidabile) e ti dice se l'email ha superato tre controlli fondamentali:

• SPF: il server mittente era autorizzato a inviare per conto di quel dominio? (pass = si', fail = no)
• DKIM: la firma digitale dell'email e' valida? (pass = integra, fail = manomessa o assente)
• DMARC: il dominio ha una policy e i controlli SPF/DKIM sono coerenti? (pass = tutto ok, fail = qualcosa non torna)

Se vedi spf=fail o dkim=fail o dmarc=fail, quell'email non ha superato i controlli di autenticazione. Non significa automaticamente che sia una truffa, ma e' un segnale rosso forte.

5. X-Spam-Status / X-Spam-Score

Molti sistemi antispam aggiungono un punteggio di spam negli header. Piu' e' alto il punteggio, piu' l'email e' sospetta. Ad esempio, un X-Spam-Score di 2.1 e' nella norma. Un punteggio di 8.5 suggerisce fortemente che si tratti di spam o phishing.

Esempio pratico: analisi di un'email di phishing

Vediamo un caso reale. Ricevi un'email che sembra arrivare dalla tua banca:

From: Servizio Clienti <sicurezza@intesasanpaolo.com>
Subject: Attivita' sospetta sul tuo conto - Azione richiesta

L'email ti chiede di cliccare un link per "verificare la tua identita'". Sembra professionale. Ha il logo della banca. Ma qualcosa non ti convince. Apri gli header.

Ecco cosa trovi:

Return-Path: <bounce-384@smtp-relay.truffaldino.xyz>
Received: from smtp-relay.truffaldino.xyz (185.234.xx.xx)
  by mx.tuodominio.it; Thu, 6 Mar 2026 09:14:22 +0100
Authentication-Results: mx.tuodominio.it;
  spf=fail (sender IP not authorized);
  dkim=none;
  dmarc=fail (p=reject)
X-Spam-Score: 7.8

Analizziamo:

1. Return-Path: truffaldino.xyz — non ha nulla a che fare con Intesa Sanpaolo. Primo segnale rosso.
2. Received: l'email parte da smtp-relay.truffaldino.xyz con IP 185.234.xx.xx. Non e' un server di Intesa Sanpaolo.
3. SPF: fail — il server non e' autorizzato a inviare email per conto di intesasanpaolo.com.
4. DKIM: none — nessuna firma digitale. Intesa Sanpaolo firma le sue email con DKIM. Questa no.
5. DMARC: fail con policy reject — il dominio reale di Intesa Sanpaolo dice di rifiutare le email che falliscono i controlli.
6. Spam Score: 7.8 — molto alto.

Verdetto: phishing certo. L'email e' stata inviata da un server non autorizzato, non ha firma digitale, e viola la policy DMARC del dominio impersonato. In tre minuti, guardando cinque campi, hai smascherato la truffa.

Il tool che fa il lavoro per te

Leggere gli header manualmente e' utile per capire cosa succede dietro le quinte. Ma non devi farlo ogni volta. MailSniper offre un analizzatore di header email gratuito che fa tutto in automatico.

Come funziona:

1. Copi gli header dell'email sospetta
2. Li incolli nel tool
3. In pochi secondi ottieni un'analisi completa: mittente reale, percorso, risultati SPF/DKIM/DMARC, punteggio di rischio

Non serve installare nulla. E' uno strumento online, gratuito, pensato per chi vuole risposte rapide senza dover interpretare righe di testo tecnico.

Se poi vuoi andare oltre e verificare che il tuo dominio sia configurato correttamente contro lo spoofing, puoi usare il nostro tool di verifica DNS. Controlla se hai SPF, DKIM e DMARC attivi e ti dice cosa manca.

Cinque segnali rossi da cercare negli header

Ricapitoliamo. Quando analizzi gli header di un'email sospetta, cerca questi cinque segnali:

1. Return-Path diverso dal From: — il mittente reale non corrisponde a quello visualizzato
2. Received: da server sconosciuti — l'email parte da un server che non c'entra con il presunto mittente
3. SPF fail — il server di invio non e' autorizzato
4. DKIM fail o none — la firma digitale e' assente o non valida
5. DMARC fail — i controlli di autenticazione non sono coerenti con la policy del dominio

Anche uno solo di questi segnali dovrebbe metterti in allerta. Due o piu' insieme? Quasi certamente e' un tentativo di phishing o spoofing.

Come proteggersi a livello aziendale

Sapere leggere gli header e' un'abilita' preziosa. Ma in azienda non puoi chiedere a ogni dipendente di analizzare gli header di ogni email. Serve un sistema che lo faccia automaticamente.

Un gateway email professionale come MailSniper verifica ogni singola email in entrata: controlla SPF, DKIM e DMARC, analizza gli header, confronta il percorso con la reputazione dei server, e blocca le email che non superano i controlli. Tutto in tempo reale, senza che l'utente debba fare nulla.

In piu', MailSniper aggiunge l'analisi sandbox degli allegati e la verifica dei link in tempo reale — due livelli di protezione che vanno oltre la semplice lettura degli header.

Inizia subito

Vuoi mettere alla prova quello che hai imparato? Ecco tre cose che puoi fare adesso:

1. Analizza un'email sospetta: prendi un'email che ti ha insospettito, estrai gli header e analizzali con il nostro tool gratuito.
2. Verifica il tuo dominio: usa il check DNS per scoprire se il tuo dominio e' protetto contro lo spoofing.
3. Attiva la protezione professionale: prova MailSniper gratis per 30 giorni e lascia che il sistema faccia il lavoro al posto tuo.

Le email truffa sono sempre piu' convincenti. Ma gli header non mentono. Impara a leggerli — e non cascherai piu'.