Gli header email: il DNA di ogni messaggio
Ogni email contiene due parti: il corpo visibile (il testo che leggi) e gli header nascosti (i metadati tecnici). Gli header email sono come il timbro postale di una lettera tradizionale, ma molto più dettagliati: registrano ogni server attraverso cui il messaggio è passato, i timestamp di ogni passaggio, i risultati delle verifiche di autenticazione, il software del server, e decine di altre informazioni tecniche. Saper leggere gli header è una competenza fondamentale per diagnosticare problemi email e identificare messaggi fraudolenti.
Il nostro Email Header Analyzer semplifica questa analisi: basta incollare gli header grezzi e lo strumento li analizza automaticamente, mostrando il percorso del messaggio in ordine cronologico, i ritardi tra ogni hop, i risultati dell'autenticazione e eventuali anomalie. Ma per sfruttare al meglio lo strumento, è utile comprendere cosa significano i principali header.
I campi header fondamentali
I campi Received sono i più informativi: ogni server che gestisce l'email aggiunge il proprio, in ordine inverso (l'ultimo in alto è il più recente). Leggendo dal basso verso l'alto, si ricostruisce il percorso cronologico del messaggio. Ogni Received contiene l'IP del server, il suo hostname, e un timestamp. Confrontando i timestamp tra Received consecutivi si identificano i ritardi: un gap di 30 secondi tra due hop è normale, 30 minuti potrebbe indicare un problema.
Identificare email di phishing dagli header
Gli header sono lo strumento più affidabile per smascherare email di phishing. I segnali d'allarme principali: il campo From e il Return-Path hanno domini diversi (il mittente visibile non corrisponde al mittente tecnico), l'Authentication-Results mostra spf=fail o dkim=fail, gli IP nei campi Received provengono da paesi inattesi, il Message-ID ha un dominio diverso dal mittente, e gli header X-Mailer o User-Agent rivelano software insolito.
Per una verifica completa, confronta il dominio del From con i risultati dell'autenticazione. Usa SPF Lookup per verificare se l'IP del server mittente è autorizzato dal record SPF del dominio dichiarato. Se il campo Authentication-Results mostra dmarc=fail, il dominio ha una policy DMARC attiva e l'email non l'ha superata — un forte indicatore di spoofing. Il DMARC Lookup ti mostra quale policy è configurata.
Diagnosticare ritardi nella consegna
Quando le email arrivano in ritardo, gli header rivelano esattamente dove si è verificato il rallentamento. Il nostro Email Header Analyzer calcola automaticamente il tempo trascorso tra ogni hop e evidenzia i ritardi anomali. Le cause più comuni di ritardo sono: greylist attivo sul server destinatario (ritardo intenzionale di 5-15 minuti per filtrare spam), code di messaggi piene sul server, problemi DNS che rallentano la risoluzione, e antispam che impiegano troppo tempo nell'analisi del contenuto.
Se i ritardi sono sul lato del server mittente, potrebbe esserci un problema di performance o di configurazione. Usa SMTP Diagnostics per misurare i tempi di risposta del server e verificare che la connessione sia stabile. Se i ritardi si verificano sul primo hop (dal client al primo server), il problema è probabilmente nella connessione di rete locale o nel client email.
Una situazione particolare è il greylist: il server destinatario rifiuta temporaneamente l'email (codice 4xx) e la accetta solo al secondo tentativo, tipicamente dopo 5-15 minuti. Negli header, questo si manifesta come un ritardo significativo tra il primo Received (invio) e il secondo (accettazione dopo il retry). Il greylist è efficace contro lo spam ma causa ritardi percepibili nella consegna di messaggi legittimi.