Incolla le intestazioni raw di qualsiasi email e ottieni in pochi secondi un'analisi forense completa: tracciamento hop per hop del percorso del messaggio attraverso i server relay, verifica dei protocolli di autenticazione SPF, DKIM e DMARC, geolocalizzazione di ogni IP coinvolto, controllo blacklist su 5 database DNSBL e rilevamento automatico di anomalie e segnali di phishing. Strumento indispensabile per investigatori digitali, professionisti della sicurezza informatica e consulenti forensi.
Ricostruisce l'intera catena dei server SMTP attraverso cui è passato il messaggio, con timestamp e calcolo dei ritardi tra hop. Ideale per identificare l'IP di origine reale e smascherare server relay anomali.
Controlla i risultati di SPF, DKIM e DMARC dichiarati nelle intestazioni Authentication-Results e Received-SPF. Un DMARC fail combinato con un SPF fail è un segnale critico di domain spoofing.
Ogni indirizzo IP rilevato nella catena viene geolocalizzato con paese, città, provider e coordinate. Utile per verificare se il messaggio ha transitato per Paesi inattesi rispetto al mittente dichiarato.
Verifica ogni IP su 5 database DNSBL (Spamhaus, SpamCop, Barracuda, SORBS, UCEPROTECT) per rilevare server di invio compromessi o con reputazione negativa. Un IP in blacklist è un forte indicatore di spam o botnet.
L'analisi si svolge in cinque fasi automatiche. 1) Parsing degli header: estrazione strutturata di tutti i campi (From, To, Subject, Message-ID, Received, Authentication-Results, DKIM-Signature ecc.). 2) Ricostruzione catena Received: ordinamento cronologico degli hop con calcolo dei ritardi tra server. 3) Verifica autenticazione: lettura di SPF, DKIM e DMARC dai header Authentication-Results e Received-SPF. 4) Analisi IP: geolocalizzazione e controllo DNSBL di ogni IP pubblico trovato. 5) Rilevamento anomalie: confronto tra From, Reply-To e Return-Path; alert per IP in blacklist; segnalazione di fallimenti di autenticazione.
Gmail: apri il messaggio → tre puntini ⋮ → "Mostra originale" → copia tutto il testo.
Outlook: apri il messaggio → File → Proprietà → copia "Intestazioni internet".
Thunderbird: apri il messaggio → Visualizza → Sorgente del messaggio → copia le righe iniziali.
Apple Mail: apri il messaggio → Visualizza → Messaggio → Tutte le intestazioni.
Tutto quello che devi sapere sulle intestazioni email, l'autenticazione e il rilevamento di phishing.
Le intestazioni email (o email headers) sono metadati tecnici allegati a ogni messaggio di posta elettronica. Sono invisibili nella visualizzazione normale ma accessibili tramite la funzione "mostra originale" o "sorgente" dei client email.
Contengono informazioni fondamentali per l'analisi forense:
La catena Received è una sequenza di record aggiunti da ogni server SMTP che ha gestito il messaggio. Si legge dal basso verso l'alto: il record in fondo è il più antico (il primo server a gestire il messaggio), quello in cima è il più recente (il server del destinatario).
Ogni record ha questa struttura tipica:
Received: from mail.mittente.com ([203.0.113.1])
by mx.destinatario.com with ESMTPS id abc123
for <dest@destinatario.com>;
Sun, 27 Apr 2026 10:00:00 +0200
Elementi chiave:
L'IP di origine reale si trova nell'ultimo record Received (il più in basso). Se il hostname dichiarato in from non corrisponde all'IP tra parentesi, o se l'IP non è autorizzato dal record SPF del dominio mittente, è un forte segnale di spoofing.
I tre protocolli di autenticazione email proteggono dalla falsificazione del mittente:
| Risultato | SPF | DKIM | DMARC |
|---|---|---|---|
| pass | Server autorizzato | Firma valida | Tutti i controlli superati |
| fail | Server NON autorizzato | Firma non valida | Policy violata |
| softfail | Server non consigliato | — | — |
| neutral | Nessuna indicazione | — | — |
| none | Record SPF assente | — | — |
| permerror | Errore nel record | Errore permanente | — |
SPF (Sender Policy Framework): il record TXT nel DNS del dominio elenca gli IP autorizzati a inviare email per conto di quel dominio. Il server ricevente verifica se l'IP del mittente è nell'elenco.
DKIM (DomainKeys Identified Mail): aggiunge una firma crittografica all'header del messaggio. La chiave pubblica è nel DNS; il server ricevente verifica che la firma sia autentica e che il contenuto non sia stato alterato.
DMARC: coordina SPF e DKIM e definisce la policy del dominio per i messaggi non autenticati (none, quarantine, reject). Richiede che almeno uno tra SPF e DKIM sia allineato con il dominio nel campo From.
Le DNSBL (DNS-Based Blackhole Lists) sono database pubblici di indirizzi IP con reputazione negativa: server usati per inviare spam, phishing, o appartenenti a botnet. Il controllo avviene tramite una semplice query DNS: se l'IP è nella lista, il dominio esiste e restituisce un codice di risposta.
Le principali liste verificate da questo tool:
Un IP in blacklist non significa necessariamente che il messaggio sia malevolo — l'IP potrebbe essere stato utilizzato da un altro cliente dello stesso provider. Tuttavia è un segnale da verificare, specialmente se combinato con fallimenti SPF/DKIM/DMARC.
I principali segnali di allarme rilevabili nelle intestazioni:
Nessun singolo segnale è definitivo. L'analisi combinata di più indicatori aumenta l'affidabilità della valutazione.
Tag: analisi intestazioni email, email header analyzer online gratis, verifica header email, tracciamento percorso email, SPF DKIM DMARC check, catena received, blacklist IP email, phishing detection intestazioni, spoofing email rilevamento, email forensics tool, email header parser Italia