Por que analisar o cabeçalho de e-mail?
O cabeçalho de e-mail (header, também chamado "código-fonte do e-mail", "cabeçalho bruto" ou "mensagem original") registra cada etapa da jornada da sua mensagem: servidor de envio, roteamento, verificações de segurança (SPF/DKIM/DMARC), veredictos anti-spam. Esta ferramenta de análise de cabeçalho de e-mail online e grátis permite ler o cabeçalho de e-mail e fazer um diagnóstico de entregabilidade completo, sem instalar nada. Sem essa leitura, você trabalha às cegas.
Esta página mostra como ler o cabeçalho de e-mail na prática e responde às dúvidas mais comuns: como interpretar o campo Authentication-Results, como ler os campos Received na ordem certa e como diferenciar o campo From do Return-Path para flagrar spoofing.
Três casos de uso principais:
- E-mail caindo na caixa de spam → descubra se é SPF, DKIM, DMARC ou o conteúdo
- E-mail não entregue → encontre onde a mensagem parou e por quê
- Verificar a autenticidade do e-mail → detecte tentativas de phishing e spoofing
Como usar o analisador em 3 passos
Passo 1: Extrair o cabeçalho bruto
Gmail / Google Workspace:
- Abra o e-mail
- Clique nos 3 pontos (⋮) → "Mostrar original"
- Copie todo o texto
Outlook / Microsoft 365:
- Abra o e-mail
- Clique em "Ações" (⋯) → "Ver detalhes da mensagem"
- Copie o conteúdo
Apple Mail:
- Abra o e-mail
- Menu "Mensagem" → "Mostrar todos os cabeçalhos"
- Copie o texto
Passo 2: Colar no analisador
Cole o cabeçalho bruto completo no formulário acima. A ferramenta analisa automaticamente:
- ✅ Autenticação SPF, DKIM, DMARC, BIMI
- ✅ Veredictos anti-spam (Gmail, Microsoft, etc.)
- ✅ Roteamento e servidores intermediários
- ✅ Anomalias e riscos de spoofing
Passo 3: Ler os resultados
Você obtém um relatório claro com:
- Status de autenticação (pass/fail para cada protocolo)
- Motivo da falha (se aplicável)
- Ações recomendadas para corrigir
Para um passo a passo detalhado de cada campo do header, consulte nosso guia como ler o cabeçalho de um e-mail.
O que é um cabeçalho de e-mail?
Um cabeçalho de e-mail (header, também chamado "código-fonte do e-mail", "cabeçalho bruto" ou "mensagem original") é o histórico completo de uma mensagem: quem enviou, por qual servidor passou, quais verificações foram feitas e qual veredicto foi emitido. Saber ler o cabeçalho de e-mail ajuda você a entender exatamente o que aconteceu com a entrega.
Ao contrário do corpo do e-mail (que você vê), o cabeçalho é imutável: não pode ser falsificado depois do envio. É por isso que a análise forense de cabeçalho de e-mail é usada por investigadores de segurança e administradores para verificar a autenticidade de uma mensagem e identificar tentativas de phishing.
Campos essenciais do cabeçalho
| Campo | O que contém | Para que serve |
|---|---|---|
| From | Remetente exibido | Pode ser falsificado; comparar com o Return-Path |
| Return-Path | Envelope-from / mailfrom | Endereço técnico validado pelo SPF |
| Received | Saltos de servidor SMTP | Rastrear o caminho e o IP de origem |
| Authentication-Results | Resultados SPF/DKIM/DMARC | Saber se passou (pass) ou falhou (fail) |
| Message-ID | Identificador único da mensagem | Rastrear e referenciar o e-mail |
| DKIM-Signature | Assinatura digital DKIM | Garantir que a mensagem não foi alterada |
Exemplo simplificado:
From: alice@captaindns.com
To: bob@captaindns.com
Date: 19 Jan 2026 10:30:00 +0000
Authentication-Results: pass spf=pass dkim=pass dmarc=pass
X-Spam-Score: 2.1 (LOW)
Received: from mail.captaindns.com (203.0.113.5) by mail.captaindns.com
O que a ferramenta analisa exatamente?
Autenticação de e-mail (SPF, DKIM, DMARC, BIMI)
O analisador lê o campo Authentication-Results e mostra o resultado (pass, fail ou softfail) de cada protocolo:
| Protocolo | Verifica | Resultado |
|---|---|---|
| SPF | O servidor de envio está autorizado? | ✅ Pass / ❌ Fail |
| DKIM | O e-mail foi modificado em trânsito? | ✅ Pass / ❌ Fail |
| DMARC | O remetente está alinhado com SPF/DKIM? | ✅ Pass / ❌ Fail |
| BIMI | Logo da marca autenticado? | ✅ Presente / ❌ Ausente |
Quando um protocolo falha, corrija a configuração do seu domínio com os inspetores dedicados: o verificador de registro SPF, o verificador DKIM e o verificador DMARC.
Veredictos anti-spam e pontuação de spam
O analisador exibe a pontuação de spam e os veredictos de:
- Gmail (pontuação de spam e veredicto final)
- Microsoft 365 (Outlook, Exchange)
- Outros provedores (detectados nos X-Headers e cabeçalhos antispam)
Roteamento e saltos de servidor SMTP
Rastreio completo do caminho do e-mail a partir dos campos Received:
- Servidor de envio original e endereço IP do remetente
- Servidores intermediários (relays)
- Servidor de recepção final
- Atrasos e timestamps de cada salto
Detecção de spoofing e anomalias
A ferramenta sinaliza automaticamente:
- ⚠️ Spoofing potencial (From diferente do domínio real ou do Return-Path)
- ⚠️ Alinhamento DMARC quebrado
- ⚠️ Assinatura digital DKIM inválida
- ⚠️ Roteamento suspeito (muitos relays)
Como ler os campos Received na ordem certa
Os campos Received são a espinha dorsal do roteamento. Cada servidor que toca a mensagem adiciona uma linha no topo do cabeçalho, então a leitura é feita de baixo para cima:
- A linha
Receivedmais embaixo é o servidor de origem, onde está o endereço IP do remetente real. - As linhas do meio são os relays e saltos de servidor SMTP intermediários.
- A linha mais no topo é o último servidor antes da sua caixa de entrada.
Lendo nessa ordem você reconstrói o caminho completo e descobre onde a mensagem atrasou. É assim que se faz para rastrear um e-mail pelo cabeçalho e identificar o IP de origem do remetente.
From x Return-Path: como detectar spoofing
O campo From é o remetente que aparece no seu cliente de e-mail e pode ser falsificado. O Return-Path (também chamado envelope-from ou mailfrom) é o endereço técnico usado na entrega e validado pelo SPF.
Quando os dois apontam para domínios diferentes sem alinhamento (alignment) de domínio e o DMARC aparece como fail, é um forte indício de spoofing ou phishing. Esse cruzamento entre From, Return-Path e Authentication-Results é o núcleo da análise forense de cabeçalho de e-mail.
Por que meu e-mail está caindo na caixa de spam?
Esta é a pergunta mais frequente. A análise do cabeçalho geralmente revela uma destas causas:
| Causa | O que o cabeçalho mostra | Solução |
|---|---|---|
| SPF falhado | spf=fail ou spf=softfail | Adicione o servidor de envio ao seu registro SPF |
| DKIM inválido | dkim=fail ou dkim=none | Configure ou repare a assinatura DKIM |
| DMARC falhado | dmarc=fail com p=reject ou p=quarantine | Corrija SPF/DKIM para alinhar o domínio |
| Pontuação de spam alta | X-Spam-Score: 8.5 ou similar | Revise o conteúdo (links, imagens, palavras-chave) |
| IP em blacklist | Menções de RBL ou blocklist nos cabeçalhos | Verifique a reputação do seu IP de envio |
Dica: cole o cabeçalho no analisador acima para identificar exatamente qual causa está afetando seus e-mails. Para um aprofundamento, leia por que os e-mails vão para o spam.
Casos de uso concretos
Incidente 1: Todos os seus e-mails vão para spam
Sintoma: Você envia newsletters, mas 80% vão para spam.
Diagnóstico: Cole um e-mail de spam no analisador.
- SPF = ❌ Fail → Seu servidor não está autorizado
- DKIM = ✅ Pass
- DMARC = ❌ Fail (SPF falhou)
Ação: Adicione seu servidor ao seu registro SPF.
Incidente 2: Um e-mail específico não chega
Sintoma: Você envia um e-mail importante, o destinatário não o recebe.
Diagnóstico: Peça ao destinatário para verificar os cabeçalhos.
- Roteamento = ✅ Entregue à Microsoft
- Veredicto = ❌ Rejeitado pelo filtro anti-spam
- Pontuação Spam = 8.5 (MUITO ALTA)
Ação: Verifique links, anexos ou conteúdo que aciona o filtro.
Incidente 3: Você suspeita de phishing
Sintoma: Um e-mail alega vir do seu banco, mas algo parece errado.
Diagnóstico: Cole o cabeçalho no analisador.
- From =
noreply@captaindns.com - SPF = ❌ Fail (domínio não autorizado)
- DKIM = ❌ Fail (assinatura inválida)
- DMARC = ❌ Fail
Conclusão: É phishing. O e-mail não vem realmente do seu banco. Para verificar se as URLs do e-mail estão reportadas como maliciosas, use o Phishing URL Checker.
Incidente 4: Encaminhamento que falha
Sintoma: Você encaminha e-mails para um colega, mas vão para spam.
Diagnóstico: O analisador mostra:
- Roteamento = 3 servidores (original → seu servidor → servidor do colega)
- DKIM = ❌ Fail (assinatura quebrada após encaminhamento)
- SPF = ✅ Pass (mas DMARC falha)
Ação: Configure DMARC com p=none ou use ARC (Authenticated Received Chain).
FAQ - Perguntas frequentes
P: Como ver o cabeçalho completo de um e-mail no Gmail e no Outlook?
R: Depende do seu cliente:
- Gmail: abra o e-mail → 3 pontos (⋮) → "Mostrar original"
- Outlook / Microsoft 365: abra o e-mail → "Ações" → "Ver detalhes da mensagem"
- Apple Mail: menu "Mensagem" → "Mostrar todos os cabeçalhos"
Copie todo o texto e cole no analisador acima.
P: O que significa Authentication-Results no cabeçalho do e-mail?
R: É o campo onde o servidor que recebeu a mensagem registra as verificações de autenticação. Ele resume o resultado de SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC, com valores como pass, fail ou softfail. É a forma mais rápida de saber se o remetente é legítimo.
P: Para que serve o campo Received e como ler na ordem certa?
R: Cada campo Received registra um salto entre servidores. Leia de baixo para cima: a linha mais embaixo é o servidor de origem (com o IP do remetente) e a do topo é o último servidor antes da sua caixa. Assim você reconstrói o caminho completo da mensagem.
P: Qual a diferença entre o campo From e o Return-Path?
R: O From é o remetente exibido e pode ser falsificado. O Return-Path (envelope-from ou mailfrom) é o endereço técnico validado pelo SPF. Quando os dois apontam para domínios diferentes sem alinhamento e o DMARC falha, é um forte sinal de spoofing.
P: Por que meu e-mail está caindo na caixa de spam?
R: As razões mais comuns:
- SPF falhado: seu servidor de envio não está autorizado
- DKIM inválido: o e-mail foi modificado ou a assinatura está quebrada
- DMARC falhado: SPF ou DKIM falhou e o domínio não está alinhado
- Conteúdo: links suspeitos, anexos ou palavras-chave de spam
- Reputação: seu IP ou domínio tem má reputação
P: Qual é a diferença entre SPF, DKIM e DMARC?
R:
- SPF: "quem pode enviar do meu domínio?" (whitelist de IPs/servidores)
- DKIM: "este e-mail foi modificado?" (assinatura criptográfica)
- DMARC: "SPF e DKIM estão alinhados?" (política de autenticação)
Analogia: SPF = lista de mensageiros autorizados, DKIM = selo no pacote, DMARC = verificação de que selo e mensageiro correspondem.
P: O leitor de cabeçalho de e-mail é grátis e seguro?
R: Sim, é 100% grátis e online, sem cadastro. Os cabeçalhos nunca contêm dados sensíveis (sem senhas, sem conteúdo privado), apenas metadados técnicos (servidores, domínios, veredictos). Não armazenamos seus dados.
P: O que devo fazer após a análise do cabeçalho?
R: Depende dos resultados:
- SPF falhado → adicione seu servidor ao seu registro SPF
- DKIM falhado → verifique sua chave DKIM ou regenere-a
- DMARC falhado → configure o DMARC com a política apropriada
- Spam alto → revise o conteúdo da mensagem
Ferramentas complementares
| Ferramenta | Finalidade |
|---|---|
| Inspetor SPF | Verificar e corrigir registro SPF |
| Inspetor DKIM | Validar assinatura DKIM |
| Inspetor DMARC | Configurar e testar política DMARC |
| Verificador propagação DNS | Confirmar que registros DNS estão propagados globalmente |
| Verificador blacklist IP | Verificar se seu IP está em uma blacklist |
| Verificador blacklist domínio | Verificar se seu domínio está em blacklist |
| Phishing URL Checker | Verifique se uma URL está reportada como phishing ou malware |
| Monitoring DMARC | Receba e analise automaticamente seus relatórios DMARC agregados |
Guias relacionados
- Como ler o cabeçalho de um e-mail: guia completo para interpretar cada campo do header, do Received ao Authentication-Results.
- Por que os e-mails vão para o spam: as causas de entregabilidade e como corrigir SPF, DKIM, DMARC e reputação.
Recursos úteis
- RFC 5322 - Formato de mensagens Internet (especificação oficial de cabeçalhos)
- Google - Autenticar e-mails (guia Gmail)
- Microsoft - Autenticação de e-mail (guia Outlook/Microsoft 365)