Guia de Análise de Cabeçalhos de E-mail: Domine o Rastreio de Received
Você já se perguntou o que acontece nos bastidores quando envia ou recebe um e-mail? Enquanto o corpo do e-mail contém sua mensagem, o Cabeçalho do E-mail (Email Header) contém as informações críticas do "envelope" que contam a história da jornada do e-mail do servidor do remetente até a sua caixa de entrada. Dominar a análise de cabeçalhos de e-mail é uma habilidade essencial para profissionais de TI, desenvolvedores e analistas de segurança.
O que é um Cabeçalho de E-mail?
Um cabeçalho de e-mail é um bloco de metadados que acompanha cada e-mail. Ele contém detalhes técnicos sobre o remetente, o destinatário, a rota que o e-mail percorreu e os resultados de várias verificações de segurança. Embora a maioria dos clientes de e-mail oculte o cabeçalho por padrão para fornecer uma experiência de leitura limpa, ele está sempre lá, acessível através de opções como "Exibir código-fonte" ou "Exibir original".
Um e-mail consiste em três partes:
- O Envelope: Usado pelos servidores de e-mail para rotear o e-mail (não visível na mensagem final).
- O Cabeçalho: Os metadados que vemos (e analisamos).
- O Corpo: O conteúdo real da mensagem.
Princípios Fundamentais: Campos Chave do Cabeçalho
Para solucionar problemas de entrega ou identificar falsificação (spoofing), você precisa entender estes campos críticos:
1. O Rastreio "Received"
O campo Received é a parte mais importante do cabeçalho para rastrear o caminho de um e-mail. Cada servidor de e-mail que manipula o e-mail adiciona sua própria linha Received no topo do cabeçalho. Para rastrear um e-mail, você lê estas linhas de baixo para cima.
Exemplo:
Received: from mail-ej1-x62c.google.com (mail-ej1-x62c.google.com. [209.85.218.44])
by mx.google.com with ESMTPS id ...
for <[email protected]>;
Fri, 12 Apr 2026 10:00:01 -0700 (PDT)
2. Return-Path vs. From
- From: O endereço exibido no cliente de e-mail (o remetente "amigável").
- Return-Path: O endereço real usado para mensagens de erro/retorno (o remetente do "envelope").
- Dica de Suporte: Em e-mails de phishing, o endereço
Fromgeralmente diz "[email protected]" enquanto oReturn-Pathpode ser o endereço aleatório de um hacker.
3. Authentication-Results
Este campo mostra os resultados das verificações SPF, DKIM e DMARC.
spf=pass: O IP remetente está autorizado.dkim=pass: A assinatura criptográfica é válida.dmarc=pass: O e-mail está alinhado com a política do remetente.
Aplicações Reais: Solução de Problemas de Entrega
Caso 1: Por que meu e-mail está atrasado?
Ao observar os registros de data e hora (timestamps) em cada cabeçalho Received, você pode calcular o atraso entre os saltos (hops). Se o salto 1 for às 10h00 e o salto 2 for às 10h15, você sabe que o atraso ocorreu no segundo servidor.
Caso 2: Identificando Spoofing
Se o campo Authentication-Results mostrar spf=fail ou dkim=fail, é um forte indicador de que o e-mail pode ser fraudulento. Sempre verifique se o domínio From coincide com o domínio em Authentication-Results.
Comparação: Diferenças entre Campos Chave
| Campo | Propósito | Pode ser forjado? |
|---|---|---|
| From | Endereço do remetente exibido | Sim (Facilmente) |
| Return-Path | Endereço de retorno (bounce) | Sim (Mas muitas vezes revela a verdadeira fonte) |
| Received | Saltos do servidor e timestamps | Não (Apenas o mais inferior pode ser forjado pelo remetente) |
| Message-ID | ID exclusivo da mensagem | Sim |
FAQ: Perguntas Comuns sobre Cabeçalhos
P: Por que vejo vários cabeçalhos "Received"?
R: Porque cada servidor de e-mail (MTA) por onde o e-mail passa adiciona um. Uma jornada típica envolve o servidor do remetente, vários filtros/relays intermediários e, finalmente, o servidor do destinatário.
P: O que é um arquivo .eml?
R: Um arquivo .eml é um formato de arquivo padrão para uma mensagem de e-mail. Ele contém o cabeçalho completo e o corpo em texto simples. Você pode abri-los em qualquer editor de texto para ver os cabeçalhos.
P: Como corrijo "Authentication-Results: spf=softfail"?
R: Isso geralmente significa que o IP remetente não está explicitamente listado no seu registro SPF, mas também não está estritamente proibido. Atualize seu registro TXT SPF no seu provedor de DNS para incluir os endereços IP corretos ou instruções include.
Ferramentas Relacionadas
- Analisador de Cabeçalhos de E-mail: Cole seus cabeçalhos para obter um rastreio visual (Em breve).
- Gerador SPF/DKIM/DMARC: Crie os registros DNS corretos para proteger seu domínio.