Desmascarando E-mails Fraudulentos: Do Cabeçalho Suspeito ao Takedown do Site Falso
Capítulos
10 seçõesNeste artigo
- O que você vai aprender neste aulão
- Por que investigar e-mails fraudulentos é a habilidade mais subestimada da segurança digital
- Como funciona a estrutura de um e-mail: do visual ao código oculto
- O que é spoofing de e-mail e por que a vulnerabilidade SMTP ainda existe
- Como acessar o cabeçalho de e-mail no Gmail, Outlook e ProtonMail
- SPF, DKIM e DMARC: como verificar a autenticidade de um e-mail
- Ferramentas para analisar cabeçalhos de e-mail de forma visual
- Como verificar a reputação de um IP com AbuseIPDB e MX Toolbox
- Como analisar anexos e PDFs suspeitos sem se infectar
- Como usar o ChatGPT para analisar cabeçalhos de e-mail
- Como investigar e derrubar sites de phishing na prática
- PhishStats: monitorando phishing em tempo real no mundo todo
- Como proteger seu domínio contra spoofing de e-mail
- Ferramentas Utilizadas Neste Aulão
- Perguntas Frequentes
- Como saber se um e-mail é falso ou verdadeiro?
- O que é spoofing de e-mail e como funciona?
- Como ver o cabeçalho de um e-mail no Gmail?
- O que é SPF, DKIM e DMARC?
- Como rastrear o IP de quem enviou um e-mail?
- É possível enviar e-mail se passando por outra pessoa?
- Como denunciar um site de phishing?
- Como usar inteligência artificial para investigar e-mails?
- Referências e Recursos
O que você vai aprender neste aulão
Saber como investigar e-mails fraudulentos é a habilidade que separa quem cai em golpe de quem desmonta o golpe. Nesse aulão 16, eu demonstrei ao vivo — junto com o Antônio (@focoensec) — como analisar cabeçalhos de e-mail, verificar autenticação SPF/DKIM/DMARC, rastrear IPs de remetentes e até usar inteligência artificial para identificar phishing em segundos.
Depois de ler este artigo, você vai conseguir abrir o cabeçalho de qualquer e-mail suspeito no Gmail, Outlook ou ProtonMail, verificar se a autenticação passou ou falhou, checar a reputação do IP de envio, analisar anexos sem se infectar e investigar sites de phishing usando bases de dados atualizadas a cada 90 minutos. Tudo com ferramentas gratuitas que eu mostrei funcionando na prática.
E não estou falando de dicas genéricas tipo "verifique o remetente". Estou falando do método que investigadores profissionais usam — o mesmo tipo de análise que o FBI faz com equipe dedicada exclusivamente a e-mails. A diferença é que você não precisa ser do FBI para fazer isso. Precisa das ferramentas certas e do conhecimento que eu vou te passar agora.
São 294 bilhões de e-mails enviados por dia no mundo, segundo dados da Statista/Radicati Group. E 91% dos ataques cibernéticos começam com um simples e-mail — dados publicados por empresas como Check Point Software e confirmados em relatórios de segurança globais. Sabendo disso, ignorar a investigação de e-mails é como deixar a porta da sua casa aberta e reclamar quando roubam.
Por que investigar e-mails fraudulentos é a habilidade mais subestimada da segurança digital
A investigação de e-mail phishing é subestimada porque a maioria das pessoas confia no que vê na tela. O nome do remetente diz "Bradesco"? Então é do Bradesco. Diz "Polícia Civil"? Então é da Polícia Civil. Só que não funciona assim.
Eu já tive experiência direta com uma empresa da Avenida Paulista que pagava entre 12 e 14 milhões de dólares por ano em licenças de segurança — antivírus, firewalls, monitoramento, tudo de ponta. E sofreram um vazamento gigante por causa de um único e-mail. Um. Milhões de dólares em proteção, e o elo mais fraco foi um clique num e-mail que parecia legítimo.
Mas não é só empresa grande que sofre. Os bancos, que têm equipes extraordinárias de segurança, reportam que 88% dos ataques a instituições bancárias acontecem via e-mail. E os próprios bancos afirmam: 98% das invasões vêm de cliques dos próprios clientes. Não é falha do sistema do banco. É o cliente abrindo a porta.
O FBI tem uma equipe inteira dedicada exclusivamente à análise de e-mails. Eles rastrearam e-mails ameaçadores até endereços IP de remetentes, o que gerou discussão sobre privacidade e monitoramento de cidadãos. Mas o ponto aqui é outro: se o FBI dedica recursos específicos para isso, talvez você também devesse prestar atenção nos e-mails que recebe.
Como funciona a estrutura de um e-mail: do visual ao código oculto
Todo e-mail tem duas camadas: o que você vê (front-end) e o que está escondido (back-end). A parte visual — nome do remetente, assunto, corpo da mensagem — é só a superfície. Por trás existe um código completo que registra cada passo do e-mail, desde o servidor de origem até a sua caixa de entrada.
Os campos obrigatórios de todo e-mail
Todo e-mail carrega estes campos:
- From e To — remetente e destinatário
- Data e hora — timestamp do envio
- Assunto — mesmo que esteja em branco, o campo existe (é obrigatório pelo protocolo)
- CC e CCO — com cópia e com cópia oculta
- Corpo do e-mail — o conteúdo visível
- Message ID — um identificador único, como uma digital. Não existem dois iguais. Cada e-mail enviado gera um Message ID diferente, mesmo que o conteúdo seja idêntico
E tem mais: plataformas como o Streak permitem rastrear se e-mails enviados foram visualizados pelo destinatário, usando justamente o Message ID. Então esse identificador único não serve só para investigação — serve para monitoramento de comunicação corporativa também.
O cabeçalho: o que o FBI realmente investiga
Grava isso: cabeçalho de e-mail. É o grande segredo. É isso que o FBI investiga. É isso que qualquer investigador sério vai pedir.
Se você um dia for fazer uma denúncia, o que vão solicitar é o cabeçalho. Não vão pedir print. Não vão pedir "me manda uma captura de tela do e-mail que você recebeu". O que conta é o cabeçalho — porque contra cabeçalhos não há argumentos.
O cabeçalho registra o IP do servidor de envio, por quais servidores o e-mail passou, quanto tempo demorou cada salto, se passou nas verificações de autenticação e o caminho completo até chegar a você. É como um rastreio de encomenda, só que para mensagens eletrônicas.
O que é spoofing de e-mail e por que a vulnerabilidade SMTP ainda existe
Spoofing de e-mail é a técnica de forjar o campo "from" de um e-mail para se passar por outra pessoa ou empresa. Funciona porque o protocolo SMTP (Simple Mail Transfer Protocol) tem uma falha de design que nunca foi corrigida: ele não exige verificação do remetente no momento do envio.
Demonstração ao vivo: enviando e-mail como "Polícia Civil"
Nesse aulão, eu demonstrei isso ao vivo. Usei um site gratuito — o Emkei's Fake Mailer — que tem um campo "from" editável. No Gmail, esse campo não existe; o remetente é definido automaticamente pela sua conta. Mas em outras plataformas e servidores SMTP, você escreve o que quiser.
Enviei um e-mail como "Bruno Inspetor", do endereço bruno@policiacivil.com.br, para o ProtonMail do Antônio. O e-mail chegou na caixa de entrada — não no spam. O Antônio abriu e lá estava: "Bruno Inspetor, policiacivil.com.br, Preciso falar com você."
Por que não caiu no spam? Porque o domínio policiacivil.com.br provavelmente não tem chaves de autenticação (SPF, DKIM, DMARC) configuradas. Sem essas chaves, o provedor de e-mail não tem contra o que verificar. É como se não existisse um crachá para comparar — então o e-mail passa.
Mas quando fizemos o mesmo teste com o domínio bradesco.com, o Gmail detectou o spoofing. Apareceu um aviso: "Este e-mail falhou na autenticação de domínio. Pode ter sido spoofado." Isso aconteceu porque o Bradesco tem SPF, DKIM e DMARC configurados. O Gmail verificou, não bateu, e alertou.
Por que essa falha ainda existe
Não existe uma regra na internet que impeça alguém de escrever qualquer endereço no campo "from" de um e-mail. Eu posso enviar um e-mail como bruno@fbi.gov, como bruno@casasbahia.com, como quem eu quiser. A proteção vem depois, na verificação — e só funciona se o domínio legítimo tiver configurado seus registros de autenticação.
Eu trabalhei durante 3 meses em 2015 numa empresa que fazia prospecção por e-mail (para ser gentil com o termo). A gente disparava milhões de e-mails por dia. Eu criei um shell script que alternava automaticamente quando um IP era encontrado numa blacklist. Num dia, mandava 1 milhão de e-mails alternando entre 40 ou 50 IPs. Bloqueou um? Vai para o próximo. Enquanto remove da blacklist, já está usando outro. Era uma guerra constante.
E até hoje é assim. Spammers profissionais usam múltiplos IPs, compram servidores na DigitalOcean, Amazon, Azure, criam contas em plataformas de envio com boa reputação. Algumas empresas de cloud já exigem solicitação para liberar a porta SMTP em contas novas — justamente para dificultar esse tipo de abuso. Mas não elimina o risco.
Como acessar o cabeçalho de e-mail no Gmail, Outlook e ProtonMail
Acessar o cabeçalho é o primeiro passo técnico da investigação. Cada plataforma tem seu caminho, mas o resultado é o mesmo: um bloco de código com todas as informações de rota, autenticação e servidores.
No Gmail
- Abra o e-mail suspeito
- Clique nos três pontinhos (menu) no canto superior direito da mensagem
- Clique em "Mostrar original"
- O Gmail já mostra no topo, de forma formatada: SPF, DKIM e DMARC com o resultado (pass ou fail)
- Abaixo, o cabeçalho completo em texto
O Gmail é especialmente bom nisso. Ele já formata os resultados de autenticação no topo da visualização original, o que torna a leitura rápida mais prática.
No Outlook
- Abra o e-mail suspeito
- Procure a opção "Exibir origem da mensagem"
- O cabeçalho completo aparece em texto
No ProtonMail
- Abra o e-mail suspeito
- Clique em "View Headers" (ou "Ver cabeçalhos" em português)
- O cabeçalho completo aparece
Mas não se assuste com o bloco de código. Existem ferramentas que formatam tudo isso de forma visual — e é exatamente o que vou mostrar agora.
SPF, DKIM e DMARC: como verificar a autenticidade de um e-mail
SPF, DKIM e DMARC são os três mecanismos de autenticação que determinam se um e-mail é legítimo. Quando os três mostram "pass", o e-mail veio de um servidor autorizado pelo domínio. Quando mostram "none" ou "fail", algo está errado.
O que cada um faz
SPF (Sender Policy Framework) — Define quais servidores têm permissão para enviar e-mails em nome de um domínio. É um registro DNS que lista os IPs autorizados.
DKIM (DomainKeys Identified Mail) — Adiciona uma assinatura criptográfica ao e-mail. O servidor receptor verifica essa assinatura contra a chave pública no DNS do domínio.
DMARC (Domain-based Message Authentication, Reporting & Conformance) — Combina SPF e DKIM e define uma política: o que fazer quando a verificação falha? Pode ser "none" (não fazer nada), "quarantine" (mandar para spam) ou "reject" (rejeitar completamente).
Return-Path — O endereço para onde e-mails com erro de entrega são devolvidos. Em e-mails spoofados, o Return-Path geralmente não bate com o campo "from" — mais um indicador de fraude.
Na prática: e-mail spoofado vs. e-mail legítimo
Quando analisamos o cabeçalho do e-mail spoofado da "Polícia Civil" que eu enviei para o Antônio, o resultado foi claro:
- SPF: none
- DKIM: none
- DMARC: none
Nenhuma autenticação. Zero. Já no e-mail legítimo que comparamos, os três mostravam pass. A diferença é gritante.
E quando testamos o spoofing com o domínio do Bradesco, o resultado foi DMARC fail e Authentication fail. O Gmail detectou e exibiu o aviso de segurança.
Como verificar as configurações de um domínio
Você pode verificar se qualquer domínio tem SPF e DMARC configurados usando validadores online. Nesse aulão, testamos o domínio focoensec.com.br do Antônio — e não tinha nenhum registro configurado. Qualquer pessoa poderia enviar e-mails se passando por ele.
Já o brunofraga.com estava totalmente configurado: SPF com Google e ActiveCampaign autorizados, DKIM com chave válida e DMARC com política reject — ou seja, qualquer e-mail não autorizado é rejeitado na hora.
Eu uso o GlockApps para receber relatórios mensais de servidores que tentaram usar meu domínio sem autorização. É um serviço pago, mas me dá visibilidade total sobre quem está tentando se passar por mim.
Ferramentas para analisar cabeçalhos de e-mail de forma visual
Ler cabeçalhos em texto puro não é para todo mundo. Por isso existem ferramentas que formatam essas informações de forma visual, destacando o que importa.
Google Admin Toolbox — Message Header
O Google Admin Toolbox tem uma ferramenta chamada Messageheader. Você copia o cabeçalho completo do e-mail, cola na ferramenta e clica em "Analisar cabeçalho".
Ela mostra:
- Message ID único
- Horário de envio e tempo de entrega (no caso do e-mail spoofado, foram 11 segundos)
- Cada "salto" do e-mail entre servidores, com tempo de cada um
- Resultado de SPF, DKIM e DMARC de forma clara
- Possíveis atrasos e qual servidor causou o delay
Quando colamos o cabeçalho do e-mail spoofado, o resultado foi direto: SPF none, DKIM none, DMARC none. Sem autenticação nenhuma.
E tem um detalhe prático: se alguém na sua empresa reclamar que um e-mail atrasou, você pode pegar o cabeçalho e jogar nessa ferramenta para ver exatamente onde foi o atraso e quanto tempo demorou cada salto.
Azure Message Header Analyzer
O Message Header Analyzer da Microsoft é uma alternativa que funciona bem com ProtonMail, Yahoo e outros provedores. Você cola o cabeçalho e ele formata os resultados mostrando subject, remetente e status de autenticação.
Quando analisamos o e-mail spoofado nessa ferramenta, o resultado confirmou: não passou na validação. Mesma conclusão, ferramenta diferente.
Eu recomendo usar as duas. Não por redundância, mas porque cada uma apresenta os dados de forma ligeiramente diferente, e às vezes um detalhe que passa despercebido numa aparece na outra.
Como verificar a reputação de um IP com AbuseIPDB e MX Toolbox
Depois de extrair o IP do cabeçalho do e-mail, o próximo passo é verificar a reputação desse IP. Um IP limpo pode indicar um servidor legítimo. Um IP com centenas de reportes indica spam, phishing ou atividade maliciosa.
AbuseIPDB
O AbuseIPDB é um projeto dedicado a ajudar administradores de sistemas a verificar e reportar IPs envolvidos em atividade maliciosa — spam, tentativas de hack, ataques DDoS e mais.
Quando jogamos o IP do servidor que enviou o e-mail spoofado, o resultado foi: 214 reportes de spam para aquele IP. Alguém já tinha reportado 2 meses antes. Se fosse realmente da Polícia Civil, obviamente não teria nenhum reporte de spam.
Você pode verificar qualquer IP — inclusive o da sua própria casa — para ver se em algum momento foi usado para envio de spam, brute force ou outros abusos.
MX Toolbox
O MX Toolbox permite verificar se um IP está em blacklists. Ele testa contra mais de 100 blacklists de DNS. No nosso teste, o IP do site de envio estava listado na Sorbs Spam.
Mas atenção: quando dezenas de pessoas usam o mesmo site de demonstração ao mesmo tempo (como aconteceu durante o aulão), o IP pode entrar em blacklist rapidamente por excesso de uso. Isso não invalida a ferramenta — só mostra como o sistema de reputação funciona em tempo real.
Como analisar anexos e PDFs suspeitos sem se infectar
Anexos são o segundo vetor de ataque mais comum em e-mails fraudulentos. E os criminosos estão ficando espertos: colocam senha nos PDFs para que nenhum antivírus consiga escanear o conteúdo.
O truque do PDF com senha
Nesse aulão, analisamos um PDF falso do Bradesco com senha "1010". Quando jogamos no VirusTotal para escanear, o resultado foi: nenhum antivírus detectou. Zero detecções em mais de 90 engines.
Por quê? Porque o PDF estava criptografado com senha. Nenhum antivírus, por melhor que seja, consegue ver o que tem dentro de um PDF protegido por senha. Os criminosos sabem disso. É por isso que colocam senha — não para "proteger" o documento, mas para cegar os antivírus.
VirusTotal vs. URLScan.io: por que usar mais de uma ferramenta
Quando escaneamos a URL do site de phishing bancário no VirusTotal, ele deu como limpo. Mais de 90 antivírus olharam e disseram: "sem problema". Mas quando jogamos a mesma URL no URLScan.io, o resultado foi diferente: malicioso. O Google classificou como malicioso dentro do URLScan.
Essa é a grande lição: você não pode confiar em apenas uma ferramenta. Precisa confiar na sua análise e usar mais de um veredito.
O URLScan.io é especialmente útil porque ele acessa o site suspeito remotamente — você não precisa abrir no seu browser. Ele tira screenshot, mostra redirecionamentos, classifica o risco e exibe todo o comportamento da página. No nosso caso, ele mostrou que o site fazia um redirecionamento para outro domínio — comportamento típico de phishing.
Como copiar links sem clicar
Uma técnica simples que pouca gente conhece: clique com o botão direito no link suspeito e selecione "Copiar endereço do link". Assim você pega a URL sem abrir nada. Daí cola no VirusTotal ou URLScan.io para análise segura.
FOCA: extraindo metadados de documentos
O FOCA (Fingerprinting Organizations with Collected Archives) é um software gratuito que extrai metadados de documentos — PDF, DOC, entre outros. Ele revela informações como username do criador, nome do computador, pasta de origem, data de criação e modificação.
No nosso teste, o FOCA revelou que o PDF foi criado por um computador chamado "Só Cola" (era um ambiente de teste, mas imagine isso num cenário real — o nome do computador do criminoso exposto nos metadados). Também mostrou a URL de onde o PDF foi gerado e a pasta de origem.
Mas cuidado: o FOCA é um software para Windows e o repositório no GitHub não recebe atualizações frequentes. Funciona bem para o que se propõe, mas não espere interface moderna.
Como usar o ChatGPT para analisar cabeçalhos de e-mail
Inteligência artificial pode automatizar a análise de cabeçalhos de e-mail em segundos. No aulão, demonstramos isso ao vivo com o ChatGPT e o resultado impressionou até o Antônio.
Passo a passo da análise com IA
- Abra o e-mail suspeito e acesse o cabeçalho (como mostrei antes)
- Copie o cabeçalho completo
- Abra o ChatGPT
- Cole o cabeçalho e peça: "Por favor, analise este e-mail e me diga o que você acha"
- Em segundos, você tem o veredito
Quando colamos o cabeçalho do e-mail spoofado da "Polícia Civil", o ChatGPT identificou em 3 segundos que:
- O e-mail parecia suspeito
- Usou criptografia, mas não passou na autenticação
- SPF, DKIM e DMARC não foram verificados com sucesso
- Não foi a Polícia Civil que enviou
- A falta de autenticação indica que o e-mail pode ser falso
Tudo que fizemos manualmente — verificar SPF, DKIM, DMARC, analisar o IP — o ChatGPT fez automaticamente em segundos. E você pode continuar perguntando: "Qual IP disparou esse e-mail?" E ele responde com a linha exata do cabeçalho.
Mas não use o ChatGPT como substituto da sua análise. Use como ferramenta de triagem rápida. Ele é excelente para uma primeira avaliação, mas você precisa saber interpretar os resultados para casos mais complexos.
O caso do boleto legítimo com remetente fraudulento
Um seguidor me relatou um caso interessante: recebeu uma cobrança do Mercado Pago com cabeçalhos totalmente autênticos — SPF pass, DKIM pass, tudo legítimo. Mas o boleto era de um golpista que criou uma conta real no Mercado Pago usando a mesma razão social e CNPJ de uma empresa legítima.
Nesse caso, a análise de cabeçalho sozinha não resolve. O e-mail é tecnicamente legítimo — foi enviado pelos servidores reais do Mercado Pago. O golpe está na conta, não no e-mail. E isso mostra uma limitação importante: golpistas estão evoluindo e criando contas reais em plataformas de pagamento para emitir cobranças fraudulentas com autenticação legítima.
Como investigar e derrubar sites de phishing na prática
Investigar sites de phishing é uma das experiências mais formativas que um profissional de segurança pode ter. Eu era viciado nisso. Abria dezenas de páginas de phishing, fazia enumeração de diretórios e encontrava os arquivos de log dos criminosos.
A anatomia de um site de phishing amador
A maioria dos criminosos de phishing é amadora. Eles criam formulários de captura (aquela página falsa do banco pedindo agência e conta) e salvam os dados em arquivos de texto no próprio servidor. Eu encontrava arquivos como:
- recebido.txt
- entrada.txt
- log.txt
- painel/cartões.txt
- dados.php (com output em texto plano)
Basta fazer enumeração de diretórios — testar caminhos comuns no browser — e você encontra os logs expostos. Dentro desses arquivos estão os dados das vítimas e, frequentemente, informações que levam ao criminoso.
Sites legítimos hackeados para hospedar phishing
No aulão, abrimos mais de 10 sites de phishing do CSV do PhishStats e encontramos um padrão preocupante: sites brasileiros legítimos que foram hackeados para hospedar phishing.
O site ake.com.br, por exemplo, era uma loja real de vendas. Alguém invadiu a hospedagem e upou uma página de phishing bancário. Resultado? O site inteiro foi banido por todos os browsers. O negócio legítimo foi destruído por uma falha de segurança que permitiu a invasão.
Outro caso: o site de Rafael Paes, uma empresa de consultores de TI, foi hackeado com uma página de phishing de "pacote para agendar entrega". E quando investigamos mais a fundo, encontramos um documento de cybercrime da República Tcheca que já documentava o mesmo golpe — mostrando que era uma operação internacional.
E remover o aviso de "site perigoso" do Google depois de ser hackeado é trabalhoso e demorado. O dano à reputação é real.
Técnicas avançadas de investigação de phishing
Quando encontro um site de phishing, meu processo vai além de só reportar:
- Busca reversa de favicon — Pego o favicon (ícone do site) e busco a hash no Shodan para encontrar outros servidores com o mesmo ícone. Isso revela infraestrutura relacionada.
- Pesquisa por identificadores — Copio textos específicos do golpe (frases, tracking codes, identificadores) e pesquiso no Google. Isso encontra outros sites da mesma quadrilha usando o mesmo template.
- Enumeração de diretórios — Testo caminhos comuns para encontrar logs, painéis administrativos e arquivos expostos.
- Leitura de metadados de imagens — Imagens usadas no phishing podem conter metadados que revelam informações sobre o criador.
- Contato com a hospedagem — Envio e-mail para abuse@ da empresa de hospedagem informando sobre o phishing. Geralmente em 48 a 72 horas o site é derrubado.
PhishStats: monitorando phishing em tempo real no mundo todo
O PhishStats é o principal projeto global de monitoramento de sites de phishing. Desde 2014, ele reúne reportes e identificações de phishing no mundo todo, com dados atualizados a cada 90 minutos.
A cada 90 minutos, o PhishStats gera um novo CSV com sites de phishing identificados. Cada entrada contém data, horário, URL e informações sobre o phishing. No aulão, abri o CSV do dia e fui abrindo os sites listados — páginas clonadas do Facebook/Messenger, sites brasileiros hackeados hospedando phishing bancário, golpes de "pacote para agendar entrega" com checkout para pagamento, links do Bitly já bloqueados por redirecionarem para phishing.
O PhishStats também oferece um dashboard com métricas globais e API para consulta programática. Para quem quer automatizar monitoramento de phishing, é uma fonte de dados indispensável.
Eu aprendi muito investigando phishing na prática. Foram noites sem dormir seguindo rastros, encontrando conexões entre sites, descobrindo operações internacionais. E tem um lado prático também: sites hackeados que aparecem no PhishStats são potenciais clientes para quem trabalha com segurança. "Vi que seu site foi invadido e está hospedando phishing. Posso ajudar a resolver." É prospecção legítima baseada em dados reais.
Como proteger seu domínio contra spoofing de e-mail
Proteger seu domínio é configurar SPF, DKIM e DMARC nos registros DNS. Sem isso, qualquer pessoa pode enviar e-mails se passando por você.
SPF — Liste todos os servidores autorizados a enviar e-mails pelo seu domínio. No meu caso (brunofraga.com), autorizo apenas o Google e o ActiveCampaign.
DKIM — Configure a chave criptográfica que assina seus e-mails. O servidor receptor verifica essa assinatura para confirmar que o e-mail não foi alterado.
DMARC — Defina a política de rejeição. Eu uso "reject" — qualquer e-mail não autorizado é rejeitado na hora. Não vai para spam, não vai para quarentena. É rejeitado.
O BIMI (Brand Indicators for Message Identification) é uma evolução da autenticação de e-mail. Ele permite que sua logo e um selo de verificação apareçam dentro do Gmail e Hotmail quando o destinatário recebe seu e-mail. Para obter o BIMI, você precisa ter DMARC configurado com política estrita, histórico de compliance, e pagar uma licença anual de aproximadamente $300 para o certificado VMC (Verified Mark Certificate). Eu estou no processo de obter essa certificação para o brunofraga.com.
Mas o BIMI não é para todo mundo. É mais relevante para empresas que enviam e-mails em volume e precisam de reconhecimento visual de marca. Para uso pessoal, SPF + DKIM + DMARC com política reject já resolve.
Ferramentas Utilizadas Neste Aulão
| Ferramenta | Finalidade | Link |
|---|---|---|
| AbuseIPDB | Verificar reputação de IPs — reportes de spam, phishing, brute force | AbuseIPDB |
| Google Admin Toolbox — Message Header | Analisar cabeçalhos de e-mail de forma visual e formatada | Google Admin Toolbox |
| Azure Message Header Analyzer | Alternativa para análise de cabeçalhos, funciona com ProtonMail e Yahoo | MHA Azure |
| VirusTotal | Escanear URLs e arquivos com múltiplos antivírus | VirusTotal |
| URLScan.io | Acessar sites suspeitos remotamente sem abrir no seu browser | URLScan.io |
| FOCA | Extrair metadados de documentos (PDF, DOC) — username, computador, datas | FOCA no GitHub |
| ChatGPT | Analisar cabeçalhos de e-mail automaticamente com inteligência artificial | ChatGPT |
| PhishStats | Base de dados global de phishing com CSVs atualizados a cada 90 minutos | PhishStats |
| MX Toolbox | Verificar blacklists de IP e diagnóstico de DNS | MX Toolbox |
| Streak | Rastrear visualização de e-mails enviados via Message ID | Streak |
| Emkei's Fake Mailer | Demonstração de vulnerabilidade SMTP com campo "from" editável | Emkei.cz |
| GlockApps | Relatórios de tentativas de uso não autorizado do seu domínio | GlockApps |
| Shodan | Buscar servidores pela hash do favicon para encontrar infraestrutura relacionada | Shodan |
Perguntas Frequentes
Como saber se um e-mail é falso ou verdadeiro?
Abra o cabeçalho do e-mail (no Gmail: três pontinhos > Mostrar Original) e verifique os resultados de SPF, DKIM e DMARC. Se os três mostram "pass", o e-mail veio de um servidor autorizado. Se mostram "none" ou "fail", o e-mail é suspeito ou forjado.
O que é spoofing de e-mail e como funciona?
Spoofing é a técnica de forjar o campo "from" de um e-mail para se passar por outra pessoa. Funciona por causa de uma vulnerabilidade do protocolo SMTP que permite escrever qualquer endereço como remetente. A proteção depende das configurações de autenticação (SPF, DKIM, DMARC) do domínio legítimo.
Como ver o cabeçalho de um e-mail no Gmail?
No Gmail, abra o e-mail, clique nos três pontinhos no canto superior direito e selecione "Mostrar original". O Gmail exibe SPF, DKIM e DMARC formatados no topo, e o cabeçalho completo abaixo.
O que é SPF, DKIM e DMARC?
SPF define quais servidores podem enviar e-mails por um domínio. DKIM adiciona uma assinatura criptográfica ao e-mail. DMARC combina os dois e define a política de rejeição quando a verificação falha. Juntos, são os três pilares da autenticação de e-mail.
Como rastrear o IP de quem enviou um e-mail?
Abra o cabeçalho do e-mail e procure o campo "Received" — ele mostra os IPs dos servidores por onde o e-mail passou. O IP do servidor de envio pode ser verificado no AbuseIPDB para checar reputação e histórico de abusos.
É possível enviar e-mail se passando por outra pessoa?
Sim. A vulnerabilidade de SMTP permite forjar o campo "from" de qualquer e-mail. Sites como o Emkei.cz demonstram isso. A proteção depende do domínio legítimo ter SPF, DKIM e DMARC configurados — sem isso, o e-mail forjado pode chegar na caixa de entrada sem nenhum aviso.
Como denunciar um site de phishing?
Identifique a empresa de hospedagem do site (via WHOIS ou cabeçalhos HTTP) e envie e-mail para abuse@ dessa empresa informando a URL do phishing. Geralmente o site é derrubado em 48 a 72 horas. Você também pode reportar no Google Safe Browsing e no PhishStats.
Como usar inteligência artificial para investigar e-mails?
Copie o cabeçalho completo do e-mail suspeito e cole no ChatGPT pedindo análise. Em segundos, ele identifica se o e-mail passou na autenticação, qual IP disparou, e se há indicadores de fraude. Use como triagem rápida, não como substituto da análise manual.
Referências e Recursos
- AbuseIPDB — FAQ e funcionalidades
- Google Admin Toolbox
- Message Header Analyzer — Microsoft Learn
- PhishStats — Phishing Intelligence & Cybercrime Data
- PhishStats — API Documentation
- FOCA — GitHub (ElevenPaths)
- URLScan.io — About
- MX Toolbox — Blacklist Check
- BIMI — Brand Indicators for Message Identification (Twilio)
- BIMI — DigiCert FAQ
- Email Sender Guidelines — Google Workspace
- FBI — Business E-Mail Compromise
- Forbes — FBI Warns Gmail and Outlook Users
- Statista — Number of e-mails per day worldwide 2018-2028
- 91% of cyber attacks start with an email — LinkedIn
- Check Point — 90% dos ataques começam com phishing
- GlockApps — Pricing e funcionalidades
- Emkei's Fake Mailer
- Streak — CRM for Gmail
Conteudo Relacionado
Shodan na Prática: Como Encontrar Dispositivos Vulneráveis Expostos na Internet
Transforme seu Android em um laboratório de investigação digital
Pare de Só Estudar Teoria: Desafios Práticos Para Treinar Investigação Digital
