O que são emails forjados?
Infelizmente, é muito comum o recebimento de emails forjados — mensagens que aparentam ser enviadas por um determinado endereço, mas que, na realidade, vieram de outro. Esse tipo de fraude é conhecido como spoofing.
O objetivo geralmente é enganar o destinatário, fazendo-o acreditar que a mensagem foi enviada por uma pessoa ou empresa confiável, como seu próprio e-mail, um colega de trabalho ou até sua instituição bancária.
A diferença entre “Remetente real” e o campo “From” (De)
Quando você recebe um e-mail, visualiza no seu programa (Outlook, Thunderbird, Webmail etc.) o campo “De” (From). Esse é o nome e o endereço que o remetente escolheu mostrar.
Porém, esse campo não é validado automaticamente. Faz parte do comando DATA do protocolo SMTP e pode ser preenchido com qualquer valor, até mesmo um que não corresponda ao remetente real.
Já o remetente verdadeiro está registrado de forma mais oculta, no campo Return-Path do cabeçalho da mensagem. Esse campo é adicionado automaticamente pelo servidor que enviou o e-mail e geralmente corresponde ao endereço que irá receber notificações de falha (bounces).
Por que essa diferença existe?
Essa possibilidade de forjar o campo From é uma característica histórica do protocolo SMTP, criado na década de 1980, quando não se imaginava que alguém pudesse abusar do sistema.
Hoje, spammers e criminosos utilizam essa fragilidade para enviar conteúdos maliciosos, tentando burlar filtros de segurança e enganar os destinatários.
⚠️ O risco de receber um e-mail “de você mesmo”
Um dos casos mais comuns de spoofing ocorre quando o golpista simula o envio da mensagem a partir do seu próprio e-mail ou do e-mail de um colega de trabalho. Como o From aparece com um endereço confiável, há uma maior chance de você abrir a mensagem sem suspeitar de fraude.
Por isso, é essencial entender que o que aparece no “De” nem sempre reflete a origem verdadeira da mensagem.
Como identificamos e tratamos esse tipo de e-mail
Para minimizar o risco, nossa plataforma marca automaticamente com o aviso “Possível SPAM” qualquer e-mail que apresente inconsistências entre o From e o remetente real (Return-Path), ou que falhe em validações importantes como SPF ou DKIM.
Assim, você consegue visualizar facilmente que a mensagem pode não ser confiável.
E-mails internos e marcação de spam
Importante destacar que:
✅ E-mails internos (entre endereços do mesmo domínio) não passam pelo sistema de antispam, justamente para evitar atrasos e falsos positivos.
❗ Por isso, se você receber uma mensagem “do seu colega” ou até “de você mesmo”, com a marcação “Possível SPAM” no assunto, desconfie: muito provavelmente trata-se de um e-mail forjado.
Dica: fique atento à posição do “Possível SPAM” no assunto.
- Se aparecer logo no início, significa que a marcação foi feita automaticamente pelo sistema.
- Se vier após um “Re:”, “Fw:” ou similar, pode ser que o e-mail foi encaminhado por outra pessoa que recebeu a marcação, mas não editou o assunto antes de enviar.
Por que não bloqueamos todos os e-mails forjados?
Embora a ideia de bloquear todo e qualquer e-mail forjado pareça interessante, na prática não é viável.
Existem situações legítimas onde o From e o Return-Path podem ser diferentes, como:
✅ Redirecionamentos de e-mail: quando uma conta externa encaminha automaticamente mensagens para você, o remetente original pode ser reescrito para não invalidar o SPF.
✅ Listas de distribuição e newsletters: serviços de envio em massa costumam usar remetentes técnicos (Return-Path) distintos do From apresentado ao usuário.
Por isso, não bloqueamos automaticamente, mas marcamos como “Possível SPAM”, para que você possa analisar e decidir.
Como verificar a verdadeira origem de um e-mail
Você pode analisar a autenticidade de uma mensagem abrindo o cabeçalho completo (ou código-fonte) do e-mail. O nome desta função varia conforme o programa ou webmail que você utiliza:
- Outlook: Opções → Exibir código-fonte da mensagem
- Gmail: Mostrar original
- Thunderbird: Exibir → Código-fonte da mensagem
No cabeçalho, procure pelo campo Return-Path e compare com o From. Se forem diferentes, especialmente em mensagens suspeitas, redobre a atenção.
✅ Exemplos práticos
A seguir, apresentamos três exemplos reais para ajudar na visualização de como identificar se um e-mail é legítimo ou forjado.
✅ 1. E-mail interno legítimo (entre usuários do mesmo domínio)
O Return-Path e o From são iguais, indicando que a mensagem é autêntica:
Return-Path: [email protected]
From: Abuse Team – Specialist Linux Solutions [email protected]
Neste caso, tudo certo!
✅ 2. E-mail externo legítimo
O e-mail veio de fora, mas é legítimo: o Return-Path e o From são iguais, e o e-mail passou nos testes de SPF e DKIM, confirmando sua autenticidade:
Return-Path: [email protected]
DKIM-Status: good
Received-SPF: pass (0: SPF record at _netblocks.google.com designates 209.85.222.43 as permitted sender)
From: Fox Mulder – www.specialist.com.br [email protected]
Além disso, os cabeçalhos mostram que o SPF e DKIM foram validados com sucesso.
❌ 3. E-mail forjado (fraude)
O Return-Path mostra um endereço diferente do From, indicando spoofing:
Return-Path: [email protected]
Received-SPF: Softfail
From: “Suposta pessoa conhecida” [email protected]
Além disso:
- O e-mail não passou na validação de SPF.
- Não possui assinatura DKIM.
- Foi automaticamente marcado como SPAM, com múltiplos indícios técnicos de fraude.
🛡️ Como se proteger de e-mails forjados?
- Desconfie sempre que receber mensagens incomuns, principalmente se parecerem ser enviadas por você mesmo.
- Analise o cabeçalho completo se tiver dúvidas.
- Tenha a certeza que seu provedor de e-mails usa políticas de segurança como SPF, DKIM e DMARC configuradas corretamente no seu domínio.
- Nunca clique em links ou abra anexos de e-mails suspeitos.
Links úteis
❓ Ficou com dúvidas?
Entre em contato com nossa equipe de suporte! Estamos prontos para ajudar você a compreender melhor essas questões e manter sua comunicação eletrônica mais segura.