Infelizmente, é comum ocorrer do email do remetente ser forjado.
O que ocorre é que a ORIGEM (Sender, Remetente) da mensagem nada ter a ver com o FROM da mensagem (campo “De” que aparece em seu outlook, ou outro). Esse FROM pode ser o que o remetente desejar, pois faz parte do comando DATA do protocolo SMTP, não havendo validação na informação.
Já o remetente real do email pode ser encontrado no campo Return-Path que fica “escondido” no email, dentro apenas do seu header (cabeçalho), porem nenhum usuário tem o costume (ou conhecimento) de olhar aí.
Podemos dizer que essa falha é uma característica do protocolo SMTP mesmo, quando ele foi criado, nunca se pensou nessa possibilidade, que cada vez mais é usada por spammers para disseminar conteúdo malicioso. O maior impacto sem dúvida é quando ele forja o FROM como sendo de alguem de seu próprio domínio (ou de você mesmo), assim você recebe um email vindo de “você mesmo” ou ainda de outro “colega” de trabalho, e acaba abrindo-o sem suspeitar de fraude.
Para MINIMIZAR o problema, todos os emails que tiverem um FROM diferente do real remetente, é marcado como sendo um “Possivel SPAM”, justamente para diferencia-lo.
E sabendo que os emails internos (entre emails do mesmo domínio) não passam pelo antispam, se você receber um email vindo de um endereço que diz ser de sua própria empresa, e este estiver marcado com o Possivel SPAM no assunto, com certeza se trata de fraude. Só atenção para um email letígimo que um colega seu recebeu (como sendo possivel spam) e te encaminhou mas esqueceu de editar o assunto. Uma dica é verificar o “Possivel SPAM” se está no INÍCIO do assunto, se estiver depois, após um “Re:” ou “Fw:” ou outro, indica apenas que a pessoa que te encaminhou ou respondeu que não reescreveu o assunto, mas não que o email foi marcado como possivel spam (ele foi marcado para a pessoa que te encaminhou, mas não para você).
Por fim, vale lembrar que nós não fazemos o bloqueio de emails forjados, pois existem situações onde isso podem ocorrer, como quando você recebe um email redirecionado de outra conta externa, e o remetente original foi reescrito para não invalidar o SPF ou ainda em casos de listas de distribuições e newsletter no geral. Por isso não podemos fazer o bloqueio, apenas marcar como sendo um possível suspeito de spam.
Abaixo citamos um exemplo real de um email interno (entre usuários do mesmo dominio), um vindo de fora (mas corretamente) e um forjado, para demonstrar as diferenças. Essas informações você consegue obter abrindo o Header do email recebido (ou Cabeçalho do email ou ainda código fonte do email, o nome varia entre os programas de emails e webmail).
Email Recebido internamente (entre usuários do mesmo domínio), note que o return-path é igual ao campo from (em negrito para ter destaque):
Return-Path: <abuse@specialist.srv.br>
Delivered-To: specialist.srv.br-alexandre@specialist.srv.br
Return-Path: <abuse@specialist.srv.br>
Delivered-To: specialist.srv.br-alexandre@specialist.srv.br
Received: (qmail 24065 invoked by uid 89); 21 Jan 2020 09:21:00 -0300
Received: by specialist-sc 3.0/1.4.0 ppid: 24043, pid: 24059, t: 0.0167s
scanners: regex: 1.4.0 attach: 1.4.0 clamav: 0.101.4/m:5 /d:25701
X-RORG-IP: internal-core
Received: from unknown (HELO ?192.168.0.10?) (alexandre@specialist.srv.br)
by 0 with ESMTPA; 21 Jan 2020 09:21:00 -0300
To: “Alexandre C. Fonseca” <alexandre@specialist.srv.br>
From: Abuse Team – Specialist Linux Solutions <abuse@specialist.srv.br>
Subject: teste
Message-ID: <26df907e-152c-9ceb-a49f-fa500a6b477a@specialist.srv.br>
Date: Tue, 21 Jan 2020 09:20:59 -0300
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:68.0) Gecko/20100101
Thunderbird/68.4.1
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8; format=flowed
Content-Transfer-Encoding: 7bit
Content-Language: en-US
Email Recebido vindo de fora (mas corretamente), note que o “return-path” contem também o mesmo endereço do campo “From” (em negrito para ter destaque), assim como o email passou nos testes de SPS e DKIM, garantindo sua autenticidade também.
Return-Path: <foxmulder.acf@gmail.com>
Delivered-To: specialist.srv.br-alexandre@specialist.srv.br
From foxmulder.acf@gmail.com Mon Jan 20 17:24:06 2020
Return-Path: <foxmulder.acf@gmail.com>
X-Spam-Level: ***
X-Spam-Status: No, score=3.6 required=5.0 bayes=0.4999/Tokens: new, 36; hammy,
14; neutral, 52; spammy, 9. autolearn=no autolearn_force=no
tests=BAYES_50,FH_DATE_PAST_20XX,FREEMAIL_FROM,HTML_MESSAGE,PDS_HP_HELO_NORDNS,RCVD_IN_DNSWL_NONE,RCVD_IN_MSPIKE_H2,RDNS_NONE,TVD_SPACE_RATIO,TXREP
X-Spam-Checker-Version: specialist-sa 6.0/3.4.1
Delivered-To: specialist.srv.br-alexandre@specialist.srv.br
Received: (qmail 19722 invoked by uid 89); 20 Jan 2020 14:24:06 -0300
Received: by specialist-sc 3.0/1.4.0 ppid: 19705, pid: 19718, t: 0.0223s
scanners: regex: 1.4.0 attach: 1.4.0 clamav: 0.101.4/m:59/d:25701
DKIM-Status: good
X-RORG-IP: external-mx1
Received: from unknown (HELO mail-ua1-f43.google.com) (209.85.222.43)
by 0 with ESMTPS (ECDHE-RSA-AES128-GCM-SHA256 encrypted); 20 Jan 2020 14:24:05 -0300
Received-SPF: pass (0: SPF record at _netblocks.google.com designates 209.85.222.43 as permitted sender)
Received: by mail-ua1-f43.google.com with SMTP id o42so11741508uad.10
for <alexandre@specialist.srv.br>; Mon, 20 Jan 2020 09:24:05 -0800 (PST)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=gmail.com; s=20161025;
h=mime-version:from:date:message-id:subject:to;
bh=FsWFP1zYgpi2mn1d++Jnbx5uXIpJ5F8WEALlwKiBNV8=; b=SYNmEMAl7ugPv2qB2/epFcOs9s4P4eWCygHQDT3mW2Bziq0Bd0ZmFPjAmwJQOiCAxc
e8bgKPnq5+42SQh9hpF8sbd5JBIlv6+NYh8x2Y+995cQher7jtmYUiJMCeLg4jpzRtv+
Alcp1//ouTiOun4Qsr9HeB049n+WTj58MoJoERhnVYAiWy8dJKXXmrc71xisRF9xoVkQ avQG5sznQPMaEUEZ1BtGDkqfH2+Nnr6sdlL8dwMl/mXriAP4aRTnZUTpdyrXA95HmUwL
wxZWZlZ/dxaj4toj91oQSTaYAxgQ8CJS9SSotj1OpY/8e7KmsVv5L8fulmaAy7HHOFDR
5IYw==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=1e100.net; s=20161025;
h=x-gm-message-state:mime-version:from:date:message-id:subject:to;
bh=FsWFP1zYgpi2mn1d++Jnbx5uXIpJ5F8WEALlwKiBNV8=;
b=bVjxSQo9S/WHYKF1kWFKhCa/zaYw5efFR7wk7OjBuHMeKwuRllmmBXWPcp+mnh0ojq G9q4r5hIbKVs/aBscNpTwZJ4Sna7xqFq1QHYZGDZRYl3U7cVqHWIlLZplGiNLey8H1RTZbpvz2JlZV5uxljSwzHeQJyQJGKKkkDl5SWz2IOc0qTo6a9xwMBmFBP/x+61N4jz+pY+reTrCMeJTJaVRup0I2mCah2A3nRedA49ychwA0gw8Q4TwXZr9TeXuHzJ0wXUs1i5foH+13mGGOKNmOtFmxfeUIFTOAA7NvqcxjJJToeHdINrMHAsSPUU+U2RIViinBQRTUfed6qIBDQA==
X-Gm-Message-State: APjAAAX3Kp1BGiRexFEVN03mC6k/LOFM2nFL74IcLxo+ZpWvSWUREPsjtKtW8ZNaiu3PbkQbNSFI9J/BvRnFWQzsCGjWnmI1nNV9
X-Google-Smtp-Source: APXvYqzm7iuUxAZBEGbzu8P7mLuJCqlH+S9BOVnWhuNnHNvDsTndEsCbWncG1YSLM4dQLs49HHmMqF6q26QR1LJAh4U=
X-Received: by 2002:ab0:40a3:: with SMTP id i32mr484438uad.131.1579541043702;
Mon, 20 Jan 2020 09:24:03 -0800 (PST)
MIME-Version: 1.0
From: “Fox Mulder – www.specialist.com.br” <foxmulder.acf@gmail.com>
Date: Mon, 20 Jan 2020 14:23:52 -0300
Message-ID: <CAN0c91fuftQvG5+p6Q4Y=3471CjN_S7bTLL83K=Pe-NT_TGDZQ@mail.gmail.com>
Subject: teste
To: “Alexandre C. Fonseca” <alexandre@specialist.srv.br>
Content-Type: multipart/alternative; boundary=”000000000000d16f6a059c958e09″
Email Recebido vindo de fora, porem com o FROM FORJADO, note que o return-path contem um outro endereço sem nenhum vínculo com o From (em negrito para ter destaque). Isso indica fraude, e portanto o email foi marcado como sendo um spam. Além disso, o email não passou no teste de SPF e não possui DKIM, o que aumentaria ainda mais as chances de ser um spam.
Return-Path: <www-data@das02.cloudapp.net>
Delivered-To: specialist.srv.br-alexandre@specialist.srv.br
Return-Path: <www-data@das02.cloudapp.net>
X-Spam-Level:
X-Spam-Report:
* 3.5 BAYES_99 BODY: Bayes spam probability is 99 to 100%
* [score: 1.0000]
* 5.0 HEADER_FROM_DIFFERENT_DOMAINS From and EnvelopeFrom 2nd level mail
* domains are different
* 1.5 SUBJ_ALL_CAPS Subject is all capitals
* 0.7 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
* 0.2 BAYES_999 BODY: Bayes spam probability is 99.9 to 100%
* [score: 1.0000]
* 0.0 HTML_FONT_LOW_CONTRAST BODY: HTML font color similar or identical to
* background
* 0.0 HTML_MESSAGE BODY: HTML included in message
* 1.8 BR_CLIQUE_AQUI RAW: Contem o texto ‘Clique aqui’
* 1.5 SUBJ_ILLEGAL_CHARS Subject: has too many raw illegal characters
* 0.8 RDNS_NONE Delivered to internal network by a host with no rDNS
* 0.0 SUBJECT_NEEDS_ENCODING Subject is encoded but does not specify the
* encoding
* 0.0 FORGED_OUTLOOK_HTML Outlook can’t send HTML message only
* 2.5 TO_NO_BRKTS_MSFT To: misformatted and supposed Microsoft tool
X-Spam-Flag: YES
X-Spam-Status: Yes, score=17.6 required=5.0 bayes=1.0000/Tokens: new, 10;
hammy, 19; neutral, 157; spammy, 96. autolearn=no autolearn_force=no, tests=BAYES_99,BAYES_999,BR_CLIQUE_AQUI,FORGED_OUTLOOK_HTML,HEADER_FROM_DIFFERENT_DOMAINS,HTML_FONT_LOW_CONTRAST,HTML_MESSAGE,MIME_HTML_ONLY,RDNS_NONE,SUBJECT_NEEDS_ENCODING,SUBJ_ALL_CAPS,SUBJ_ILLEGAL_CHARS,TO_NO_BRKTS_MSFT
X-Spam-Checker-Version: specialist-sa 5.0/3.3.2
Delivered-To: specialist.srv.br-alexandre@specialist.srv.br
Received: (qmail 32562 invoked by uid 89); 12 Dec 2014 01:46:32 -0200
Received: by specialist-sc 2.0/1.4.0 ppid: 32520, pid: 32538, t: 0.6484s
scanners: regex: 1.4.0 attach: 1.4.0 clamav:
0.97.8/m:55/d:19768
X-Remote-IP: 168.63.40.136 (external)
Received: from unknown (HELO das02.das02.f1.internal.cloudapp.net) (168.63.40.136)
by mx1.specialist.srv.br with SMTP; 12 Dec 2014 01:46:31 -0200
Received-SPF: Softfail
Received: by das02.das02.f1.internal.cloudapp.net (Postfix, from userid 33)
id 100E623B25; Fri, 12 Dec 2014 03:24:50 +0000 (UTC)
To: alexandre@specialist.srv.br
Subject: [Possivel SPAM] INTIMAÇÃO PARA COMPARECIMENTO EM AUDIÊNCIA (84885)
X-PHP-Originating-Script: 0:jfovegqdpmkyo.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
X-Mailer: Microsoft Office Outlook, Build 17.551210
Content-Transfer-encoding: 8bit
From: alexandre@specialist.srv.br
Reply-To: alexandre@specialist.srv.br
X-Mailer: iGMail [www.ig.com.br]
X-Originating-Email: alexandre@specialist.srv.br
X-Sender: alexandre@specialist.srv.br
X-iGspam-global: Unsure, spamicity=0.570081 – pe=5.74e-01 -pf=0.574081 – pg=0.574081
Message-Id: <20141212032450.100E623B25@das02.das02.f1.internal.cloudapp.net>
Date: Fri, 12 Dec 2014 03:24:50 +0000 (UTC)
X-Spam-Prev-Subject: INTIMAÇÃO PARA COMPARECIMENTO EM AUDIÊNCIA (84885)