Când primești un email, vezi de obicei doar partea de suprafață: numele expeditorului, adresa, subiectul și conținutul mesajului. Dar în spate, fiecare email poartă o „etichetă” tehnică numită header (sau antet). Gândește-te la el ca la o cutie poștală pe care sunt scrise toate detaliile legate de traseul acelui email: cine l-a trimis, prin ce servere a trecut și cum a ajuns la tine.
Această informație este ascunsă pentru utilizatorul obișnuit, dar o poți accesa manual din setările clientului de email. De exemplu, în Gmail, poți da click pe cele trei puncte din colțul din dreapta sus al mesajului și alegi opțiunea „Show original” sau „Afișează originalul”. În Outlook, ai o opțiune similară numită „View Message Source” sau „Properties”.
Odată ce ai deschis header-ul, te vei lovi de un bloc de text care pare scris într-o limbă extraterestră. Nu te panica – sunt doar informații tehnice. Tot ce ai nevoie este să știi unde să te uiți. Iată ce e important:
Exemplu rapid: Privești un email care pare să vină de la [email protected]. Deschizi header-ul și vezi că Return-Path e [email protected]. Asta înseamnă că emailul a fost doar camuflat să pară de la BCR, dar în realitate vine dintr-un domeniu rusesc necunoscut. Aici vorbim de spoofing evident.
Tot în header poți vedea dacă mesajul a fost „modificat” sau redirecționat prin servere dubioase. Dacă apar adrese suspecte, IP-uri din țări în care nu ai nicio legătură sau cuvinte ca „relay” sau „spoofed”, merită să fii extrem de precaut.
🔹 SPF, DKIM și DMARC – Ce înseamnă și de ce contează
Când trimiți o scrisoare prin poștă, pui un nume pe plic, dar și o ștampilă, un cod și o adresă reală de expeditor. Așa funcționează și în email, doar că în loc de hârtie, avem protocoale de securitate care spun: „da, acest email chiar vine de unde pretinde”. Cele trei sisteme care fac asta se numesc SPF, DKIM și DMARC.
📌 SPF – Sender Policy Framework
Gândește-te la SPF ca la o listă de servere permise să trimită emailuri pentru un anumit domeniu (ex: bcr.ro). Dacă emailul vine de la un server care NU e pe listă, e ca și cum ar apărea un plic cu o adresă scrisă de mână în loc de una oficială. Adică ceva nu e în regulă. Dacă vezi în header că SPF-ul a „failed” (a eșuat), emailul nu e de încredere.
📌 DKIM – DomainKeys Identified Mail
Aici vorbim despre o semnătură digitală, ca un fel de amprentă unică. Când un email este trimis, serverul semnează mesajul cu o cheie specială. Dacă acea semnătură nu se potrivește cu domeniul din care aparent vine emailul, ceva e falsificat. Dacă DKIM = „fail” sau „none”, nu trebuie să ai încredere.
📌 DMARC – Domain-based Message Authentication, Reporting and Conformance
Acesta e „judecătorul” care ia decizia finală. Verifică dacă SPF și DKIM sunt în regulă și apoi spune ce să se întâmple: livrează emailul, pune-l în spam sau blochează-l complet. Dacă DMARC-ul spune că testele au picat, emailul ar fi trebuit să fie blocat — iar dacă tot a ajuns în inbox, serverul tău nu aplică bine filtrele.
Noi de exemplu avem politici stricte pentru DMARC și refuzăm emailurile care vin de pe servere configurate prost (fără SPF sau DKIM). Chiar dacă poate ratăm emailuri de la instituții sau domenii de încredere, atâta timp cât nu au configurat serverul de email corect, preferăm să nu ne doară capul investigând noi dacă e un email legitim sau nu.
🧠 Ce trebuie să ții minte?
Nu trebuie să știi să configurezi aceste protocoale, dar trebuie să știi că:
Poți copia header-ul unui email suspect și îl poți analiza cu tool-uri gratuite precum:
