Cabeçalhos de e-mail: o DNA de cada mensagem
Todo e-mail contém duas partes: o corpo visível (o texto que você lê) e os cabeçalhos ocultos (os metadados técnicos). Os cabeçalhos de e-mail são como o carimbo de uma carta tradicional, porém muito mais detalhados: registram cada servidor pelo qual a mensagem passou, os carimbos de data/hora de cada etapa, os resultados das verificações de autenticação, o software do servidor e dezenas de outros detalhes técnicos. Saber ler cabeçalhos é uma habilidade fundamental para diagnosticar problemas de e-mail e identificar mensagens fraudulentas.
Nosso Analisador de Cabeçalhos de E-mail simplifica essa análise: basta colar os cabeçalhos brutos e a ferramenta os analisa automaticamente, mostrando a rota da mensagem em ordem cronológica, os atrasos entre cada salto, os resultados de autenticação e quaisquer anomalias. Mas para aproveitar ao máximo a ferramenta, é útil compreender o que significam os principais cabeçalhos.
Campos de cabeçalho fundamentais
Os campos Received são os mais informativos: cada servidor que manipula o e-mail adiciona o seu, em ordem inversa (o mais recente aparece no topo). Lendo de baixo para cima, reconstituímos a rota cronológica da mensagem. Cada campo Received contém o IP do servidor, seu hostname e um carimbo de data/hora. Comparando os carimbos de data/hora entre entradas Received consecutivas, identificamos os atrasos: um intervalo de 30 segundos entre dois saltos é normal, 30 minutos pode indicar um problema.
Identificar e-mails de phishing a partir dos cabeçalhos
Os cabeçalhos são a ferramenta mais confiável para desmascarar e-mails de phishing. Os principais sinais de alerta: o campo From e o Return-Path possuem domínios diferentes (o remetente visível não coincide com o remetente técnico), o Authentication-Results mostra spf=fail ou dkim=fail, os IPs nos campos Received vêm de países inesperados, o Message-ID tem um domínio diferente do remetente e os cabeçalhos X-Mailer ou User-Agent revelam software incomum.
Para uma verificação completa, compare o domínio do From com os resultados de autenticação. Use o SPF Lookup para verificar se o IP do servidor remetente está autorizado pelo registro SPF do domínio declarado. Se o campo Authentication-Results mostra dmarc=fail, o domínio possui uma política DMARC ativa e o e-mail não a passou — um forte indicador de spoofing. O DMARC Lookup mostra qual política está configurada.
Diagnosticar atrasos na entrega
Quando os e-mails chegam com atraso, os cabeçalhos revelam exatamente onde ocorreu a lentidão. Nosso Analisador de Cabeçalhos de E-mail calcula automaticamente o tempo decorrido entre cada salto e destaca os atrasos anômalos. As causas mais comuns de atraso são: greylisting ativo no servidor destinatário (atraso intencional de 5-15 minutos para filtrar spam), filas de mensagens cheias no servidor, problemas de DNS que tornam a resolução mais lenta e filtros antispam que demoram demais para analisar o conteúdo.
Se os atrasos estão no lado do servidor remetente, pode haver um problema de desempenho ou de configuração. Use o Diagnóstico SMTP para medir os tempos de resposta do servidor e verificar se a conexão está estável. Se os atrasos ocorrem no primeiro salto (do cliente ao primeiro servidor), o problema provavelmente está na conexão de rede local ou no cliente de e-mail.
Um caso particular é o greylisting: o servidor destinatário rejeita temporariamente o e-mail (código 4xx) e só o aceita na segunda tentativa, normalmente após 5-15 minutos. Nos cabeçalhos, isso se manifesta como um atraso significativo entre o primeiro Received (envio) e o segundo (aceitação após nova tentativa). O greylisting é eficaz contra spam, mas causa atrasos perceptíveis na entrega de mensagens legítimas.