Domanda
Come è possibile avere informazioni sull'autore di una mail, ad esempio sapere da dove è stato inviato il messaggio?

Risposta
I messaggi di posta elettronica contengono molte informazioni interessanti oltre a quella normalmente mostrate dai vari client (in questo articolo prenderemo in considerazione Outlook Express o Windows Mail, Outlook di Office, Mozilla Thunderbird ed Eudora) che in genere si limitano a mittente e oggetto del messaggio. Le intestazioni delle mail contengono ad esempio il percorso che ha compiuto il messaggio a partire dal mittente fino ai server del vostro provider di posta elettronica (ad esempio Libero, Hotmail o infiniti altri), il tipo di contenuto, date di arrivo e di invio e altre infinite possibili intestazioni personalizzate, il cui significato non è in genere difficile da comprendere. Vediamo come è possibile visualizzare per intero le intestazioni del messaggio nei più comuni client di posta elettronica.
In Outlook Express/Windows Mail, individuare il messaggio in questione nella lista e aprirlo (doppio click), nella finestra che apparirà andare al menu File, Proprietà, scheda Dettagli: nella casella Intestazioni Internet del messaggio apparirà quanto ci interessa.
In Eudora, una volta effettuata la ricezione, basta fare doppio click sulla voce per vedere il messaggio per intero con tutte le intestazioni disponibili.
Su Mozilla Thunderbird aprire il messaggio in questione (doppio click), andare al menu Visualizza, Intestazioni e selezionare Tutte: sotto ai classici campi Oggetto, Da, ecc. apparirà la lista di intestazioni avanzate.
Su Microsoft Office Outlook invece fare click destro sul messaggio in questione, Opzioni, quindi consultare il campo Intestazioni Internet.
Guardare queste intestazioni è utile nel caso si voglia avere informazioni sull'autore oppure si pensi che si tratti di una mail contraffatta: è infatti molto semplice inviare e-mail a nome di altri. Le intestazioni però possono offrirci alcune interessanti informazioni come il client di posta elettronica utilizzato dal mittente, il suo indirizzo IP (dal quale è in genere possibile scoprire approssimativamente la sua locazione e il provider Internet utilizzato) e il provider di posta elettronica utilizzato.
Si pensi ad esempio alla seguente situazione: in caso arrivi una mail che afferma di provenire da eBay o PayPal, vedere che è stata inviata con un programma come Outlook Express o Thunderbird dovrebbe far insospettire in quanto quel genere di servizi utilizzano sistemi di invio di posta elettronica automatizzati e non comuni client destinati ad uso personale. Lo stesso potrebbe dirsi se si scoprisse che tale mail è stata inviata da un server non di eBay.
Oppure prima di effettuare un acquisto su Internet potrebbe essere utile verificare che la nazionalità del venditore corrisponda a quella che ci ha comunicato: dall'indirizzo IP è possibile scoprire se il mittente utilizza una connessione italiana, statunitense, australiana o di un paese africano.

Domanda
Quali sono le intestazioni più interessanti, come si può ricavare informazioni da esse?

Risposta
Per prima cosa il client di posta elettronica può essere individuato facilmente, se presente, nelle intestazioni X-Mailer o User-Agent. Alcuni esempi possono essere:

• per Eudora "X-Mailer: QUALCOMM Windows Eudora Version 7.1.0.9";

• per Windows Mail "X-Mailer: Microsoft Windows Mail 6.0.6000.16386";

• per Outlook Express "X-Mailer: Microsoft Outlook Express 6.00.2900.5512";

• per Thunderbird "User-Agent: Thunderbird 2.0.0.14 (Windows/20080421)";

L'indirizzo IP (codificato in una forma simile a 85.45.12.8) è invece in genere identificabile dall'intestazione X-Originating-IP o se assente da X-EN-OrigIP. Se queste due intestazioni sono assenti l'IP può essere ricavato dall'ultima intestazione Received, tra parentesi quadre dopo from. Ad esempio per la seguente intestazione è 10.0.0.1

Received: from User (host.provider.it [10.0.0.1])
    by ...;
    ...

Sul web è possibile trovare vari siti che offrono servizi per reperire informazioni su un IP, tra questi ricordiamo IP2LOCATION (per individuare provider Internet e locazione di un IP), Geo IP Tool (mostra su una cartina la locazione approssimativa dell'utente) e IP Checker (reperisce informazioni di Whois sull'IP e sul provider Internet). È bene però precisare che questi servizi, sebbene molto precisi per locazioni statunitensi, possono risultare alquanto aleatori in altri paesi: i loro risultati sono da considerarsi validi a livello di Stato. Inoltre, si ricordi che gli IP sono in genere dinamici, ovvero cambiano ogni volta che si effettua una connessione (in genere rimangono però fisse i primi due gruppi di cifre).
Per scoprire invece il provider di posta elettronica (Libero, Hotmail, GMail, ecc.) utilizzato bisogna analizzare con attenzione le intestazioni Received: ognuna di esse indica un passaggio intermedio tra il mittente e il destinatario. Se tra esse non appare nemmeno una volta un dominio simile a quello dell'indirizzo email del mittente (ad esempio per nessuno@libero.it, libero.it oppure per nessuno@hotmail.it, homail.it o hotmail.com) allora molto probabilmente il mittente è stato contraffatto. Facciamo un esempio: ogni messaggio da un indirizzo di hotmail.it dovrebbe contenere almeno un'intestazione Received che contenga un riferimento ad un dominio di Hotmail, dunque la seguente intestazione garantisce che il messaggio è passato per un server hotmail.com:

Received: from blu0-omc3-s15.blu0.hotmail.com ([65.55.116.90])
    by ... with ...;
    ...

Nota: i puntini di sospensione indicano parti che non sono di interesse e per questo rimosse.
Le intestazioni Received sono in genere ordinate dall'ultimo nodo al primo. Si tenga in ultimo presente che sebbene non semplice e comunque raro, anche client di posta, IP del mittente e percorso del messaggio possono essere contraffatti, a eccezione della prima intestazione Received impostata dal vostro provider di posta e quindi attendibile.
Vediamo infine le intestazioni salienti di una e-mail tipicamente contraffatta:

From: "Poste Italiane S.p.A."<bonus@posteitaliane.it>
Subject: Poste.it ti premia con un bonus di fedeltà !
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
Received: from ... ([...]) by ... with ...; ...
Received: (from root@localhost)
    by ... Sharetech Mailgateway id m4NIaqH04795;
    ...
Received: from User (adsl-76-228-51-62.dsl.hrlntx.sbcglobal.net [76.228.51.62])
    by ... Sharetech with ESMTP id m4NIadxH004662;
    ...

Il titolo del messaggio ovviamente deve già indurre a sospettare, tuttavia troviamo diversi altri indizi. Per prima cosa è stata mandata con Outlook Express, e ovviamente le Poste non utilizzano per inviare e-mail automatiche un client così limitato. In secondo luogo analizzando il percorso compiuto dal messaggio (intestazioni Received) si vede subito che non è passato per alcun server di posteitaliane.it o poste.it. Infine pur non essendo disponibili le intestazioni X-Originating-IP o X-EN-OrigIP l'IP è visibile nell'ultima Intestazione Recevied tra parentesi quadre (76.228.51.62): usando i suddetti tool si potrà scoprire che si tratta di una connessione staunitense, della SBC Internet Services. Perché mai Poste Italiane dovrebbe servirsi di un client come Outlook Express, di un server di posta elettronica sconosciuto e di una connessione statunitense? È evidente che si tratta di una truffa.