Si chiama email spoofing quella pratica che, purtroppo, è quotidianamente usata da spammer e criminali informatici di tutto il mondo. Con questa espressione ci si riferisce al fatto che il mittente di una email può essere facilmente falsificato: se il messaggio non contiene alcuna firma digitale valida e chi lo invia non fa uso di meccanismi come SPF/DKIM (vedere Perché le mie email vanno nella cartella spam?) non è possibile conoscere con certezza da dove proviene una mail.
Se il mittente (e ciò si verifica nella maggioranza dei casi) non usa alcun meccanismo per certificare la sua identità, è impossibile capire, con certezza, se un’email sia stata davvero inviata da quella persona.
Se si hanno dubbi sulla provenienza di una mail o sul suo contenuto, non bisogna assolutamente fare affidamento sull’indirizzo email del presunto mittente.
Come fare, allora, per stabilire da dove arriva una mail e chi l’ha inviata?
Il miglior consiglio consiste nell’accedere al client di posta in uso, selezionare il messaggio d’interesse e premere la combinazione di tasti CTRL+U
.
Così facendo si potrà accedere al “sorgente” del messaggio ossia ottenere una versione testuale del contenuto dell’email, comprese le sue intestazioni o headers.
La combinazione CTRL+U
funziona con tutti i client di posta più diffusi.
Se tuttavia si utilizzasse una webmail o comunque una casella di posta amministrabile da web, utilizzando il browser, bisognerà andare alla ricerca della funzione che permette di accedere al sorgente delle email ed alle corrispondenti intestazioni.
Nel caso di Google Gmail basta fare clic sul menu in figura e scegliere la voce Mostra originale:
Nel caso di Outlook.com la procedura è simile: basta cliccare sul messaggio con il tasto destro del mouse quindi selezionare Visualizza intestazione completa.
È possibile comportarsi in modo simile per qualunque altra webmail, comprese quelle messe a disposizione dai provider italiani.
Le intestazioni di un’email, normalmente nascoste, contengono informazioni importantissime perché, ad esempio, è possibile sapere da quale sistema è stato realmente inviato un messaggio.
In figura le intestazioni di un’email che – solo all’apparenza – sembrava provenire dal nostro indirizzo email principale ma che in realtà arriva da un IP palestinese e, tra l’altro, in questo caso, contiene anche un allegato dannoso (una volta eseguito il codice contenuto nel file ZIP, il malware scarica da remoto pericolosissimi ransomware come Cryptolocker e Locky).
Per scoprire da dove arriva una mail è quindi sufficiente esaminare con attenzione quanto riportato nelle intestazioni del messaggio.
Leggendo le intestazioni dall’alto verso il basso, l’ultimo od il penultimo indirizzo IP che viene indicato in corrispondenza di Received: from, X-Originating-IP, Received by o Received-SPF è quello reale.
Ovviamente si dovranno scartare gli IP privati, locali, del tipo 10.x.x.x, 192.168.x.x, 172.16.0.0 - 172.31.255.255
che sono utilizzati nell’ambito di reti LAN (vedere 192.168.x.x: perché in rete locale vengono usati questi indirizzi?).
Nell’esempio, X-Originating-IP indica un IP locale (in questo caso 192.168.0.28
che è l’indirizzo privato della macchina da cui l’email è effettivamente partita). L’IP pubblico associato al router usato dalla rete LAN da cui arriva l’email è però in questo caso rappresentato a destra dell’ultimo Received: from.
Per stabilire “al volo” da dove arriva una email senza analizzare nel dettaglio le intestazioni, basterà selezionare queste ultime ed incollarle in questa pagina, nella casella To trace an email using a header, copy and paste the email header below.
Cliccando su Trace email sender, l’applicazione web restituirà l’indirizzo IP del mittente e permetterà di capire da dove proviene la mail.
Anche perché, oltre all’indirizzo IP del reale mittente, viene riportato il responso di un whois geografico: in altre parole, si stabilire il provider cui appartiene l’IP da cui l’email è partita e la zona di pertinenza.
Cos’ha a che fare l’account email principale de IlSoftware.it con la Palestina? Nulla.
Ed infatti il mittente del messaggio risulta palesemente falsificato con la banale tecnica dell’email spoofing.
Attenzione quindi a non dare subito credito ad un’email che sembra arrivare da un mittente noto, da un collega, collaboratore od amico (ne abbiamo parlato anche nell’articolo Come riconoscere email phishing).
Va detto, come considerazione finale, che se l’email non fosse partita da un client di posta o comunque un mailer installato in locale, esaminando le intestazioni del messaggio non si rileverà l’IP pubblico del mittente.
È il caso dei messaggi di posta inviati dalle webmail, ad esempio Gmail o Outlook.com, usando l’interfaccia web da browser oppure le app installate sui dispositivi mobili.
In questi casi, gli IP visualizzati ad esempio dai servizi come questo, già presentato in precedenza, corrisponderanno a quelli del provider dell’account email (nell’immagine, Google):