**Outlook na Windows**: otwórz wiadomość w osobnym oknie → karta "Plik" → "Właściwości" → pole **"Nagłówki internetowe"** na dole. **Outlook 365 / web**: otwórz wiadomość → trzy kropki w prawym górnym rogu → "Wyświetl" → "Wyświetl szczegóły wiadomości". **Nowy Outlook**: niestety Microsoft chowa tę opcję w różnych miejscach - najprościej kliknąć prawym na wiadomości w skrzynce → "Wyświetl źródło".

**Otwórz wiadomość → menu "Widok" → "Wiadomość" → "Wszystkie nagłówki"** (skrót `Shift+Cmd+H`). Nagłówki pojawią się nad treścią w oknie wiadomości. Zaznacz wszystko od `Delivered-To:` do końca i skopiuj. Alternatywa: **"Widok" → "Wiadomość" → "Surowe źródło"** (`Cmd+Option+U`) pokazuje cały surowy plik EML.

Co dokładnie pokazuje łańcuch Received?

**Każdy serwer pocztowy, który dotknął wiadomości, dopisuje na samej górze nagłówek `Received:`**. Czyli kolejność w pliku jest **odwrotna** do kolejności chronologicznej - najnowszy hop jest u góry. My to odwracamy w widoku, żeby było czytelne: numer 1 = pierwszy serwer (najczęściej nadawcy), ostatni numer = Twoja skrzynka. Każdy hop pokazuje: **kto się zalogował** (from), **kto odebrał** (by), **jakim protokołem** (with, np. ESMTPS / SMTP), **kiedy** (timestamp z końcówki) i **ile to zajęło od poprzedniego hopa** (delta).

Co oznacza SPF / DKIM / DMARC w nagłówku Authentication-Results?

**Authentication-Results** to nagłówek dodany przez **ostatni zaufany serwer w łańcuchu** (najczęściej Twojego dostawcy poczty). Zapisuje wyniki trzech testów: **SPF pass** = serwer wysyłający jest na liście dozwolonych nadawców domeny From, **DKIM pass** = cyfrowy podpis wiadomości się zgadza, **DMARC pass** = wynik SPF i DKIM jest zgodny z polityką domeny. Jeden czerwony rzadko sam w sobie znaczy phishing; **dwa-trzy fail to bardzo silny sygnał spoofingu**.

Po czym poznać sfałszowany mail z samych nagłówków?

**Pięć klasyków**: (1) **From inny niż Return-Path** lub Reply-To - wiadomość deklaruje się jako z banku, ale odpowiedzi pójdą gdzie indziej. (2) **SPF / DKIM / DMARC = fail** w Authentication-Results. (3) **Brak Message-ID** lub format nietypowy dla deklarowanego nadawcy. (4) **Pierwszy hop z serwera niezwiązanego** z domeną From (np. mail "z PKO" wysłany z VPS w Hetznerze). (5) **Date dużo wcześniejsza niż pierwszy timestamp w Received** - atakujący ręcznie ustawił datę.

Co mówi delta między hopami?

**Ile czasu wiadomość spędziła "u pośrednika"**. Typowo każdy hop trwa milisekundy do sekund. **Hopy z deltą rzędu minut-godzin** to znak, że na którymś serwerze była **kolejka** - najczęściej greylist (celowe opóźnienie przy pierwszej próbie od nieznanego nadawcy) albo szczyt obciążenia. **Bardzo długie delty na hopach blisko końca** to często skanowanie antyspamowe / antywirusowe.

Jak działa wasz wskaźnik spamu?

**Suma punktów z prostych heurystyk**: SPF fail = +3, DKIM fail = +2, DMARC fail = +2, więcej niż 7 hopów = +1, niezgodność reverse DNS (host w nawiasie nie pasuje do hosta from) = +1, brak Message-ID = +1, brak Date = +1. Maksimum 10. **To NIE jest pełny silnik antyspamowy** (jak SpamAssassin), tylko szybki sygnał z samych nagłówków. **3-5 = warto sprawdzić**, **6-10 = prawdopodobnie spam lub phishing**.

Dlaczego niektóre hopy mają dziwne IP / brak nazwy hosta?

Dwa typowe powody: (1) **wewnętrzne hopy** w infrastrukturze dostawcy - np. wiadomość przechodzi przez 3-4 wewnętrzne serwery Gmaila, które nie mają publicznych nazw DNS. (2) **Reverse DNS się nie zgadza** - administrator nie ustawił rekordu PTR. To samo w sobie nie znaczy phishing, ale **w połączeniu z SPF fail** to silny sygnał. **Kliknij IP w whois-lookup** żeby zobaczyć, do kogo należy zakres adresów.

Czy ten analizator coś u was zapisuje?

**Nie. Cała analiza idzie w przeglądarce**. Nie wysyłamy nigdzie nagłówków, nie ma żadnego API call po stronie serwera w trakcie parsowania. Możesz to potwierdzić w narzędziach deweloperskich (zakładka Network - pusto przy klejeniu). **Wklejaj spokojnie nawet poufne wiadomości** - wszystko zostaje na Twoim urządzeniu.

Analizator nagłówków e-maila - darmowy

Czym jest analizator nagłówków wiadomości?

Analizator nagłówków bierze surowy tekst nagłówków e-maila (wszystko ponad pustą linią, która oddziela nagłówki od treści) i pokazuje, przez jakie serwery przeszła wiadomość, kto ją podpisał i czy uwierzytelnienie się zgadza. Wszystko dzieje się w przeglądarce - żadne dane nie opuszczają Twojego komputera.

Z jednego okna dostajesz cztery rzeczy: podstawowe pola (From, To, Subject, Message-ID, Date), werdykty SPF / DKIM / DMARC z nagłówka Authentication-Results, chronologiczną oś czasu hopów Received (od najstarszego do najnowszego, z opóźnieniem między hopami) oraz heurystyczny wskaźnik spamu 0-10 z wypisanymi powodami.

Dla każdego adresu IP widocznego w łańcuchu Received masz klikalny link do whois-lookup - można jednym kliknięciem sprawdzić, do kogo należy serwer pośredniczący.

Jak tego użyć

Skopiuj surowe nagłówki z klienta poczty. W Gmailu otwórz wiadomość → trzy kropki → "Pokaż oryginał" → skopiuj cały tekst. W Outlooku otwórz wiadomość → Plik → Właściwości → pole "Nagłówki internetowe". W Apple Mail otwórz wiadomość → Widok → Wiadomość → Wszystkie nagłówki.
Wklej do pola tekstowego powyżej. Możesz wkleić same nagłówki albo całą wiadomość - narzędzie odetnie treść w pierwszej pustej linii.
Spójrz na wskaźnik spamu na górze. Zielony 0-2 = wszystko zdrowe, żółty 3-5 = sygnały ryzyka, czerwony 6-10 = bardzo prawdopodobny phishing lub spam.
W sekcji Authentication-Results sprawdź, czy SPF / DKIM / DMARC są pass. Jeden czerwony = wiadomość prawdopodobnie nie pochodzi od deklarowanego nadawcy.
Przewiń do Received chain. Górny hop (numer 1) to najstarszy serwer, czyli ten, który najpierw przyjął wiadomość. Najniższy hop = serwer, który wręczył ją Twojej skrzynce.
Kliknij dowolne IP w łańcuchu, żeby otworzyć whois-lookup w nowej karcie i sprawdzić, do kogo należy.
Jeśli widzisz dziwny pierwszy hop (np. wiadomość z banku, ale pierwszy hop to serwer hostingowy w innym kraju), masz prawie pewność, że to podszywanie się pod nadawcę.

Kiedy to się przydaje

Pięć codziennych sytuacji, w których analiza nagłówków rozstrzyga sprawę:

Czy ten mail to phishing?. Dostałeś wiadomość "z banku" z linkiem do "weryfikacji konta". Spójrz na From vs Return-Path vs pierwszy hop w Received chain. Jeśli pierwszy serwer nie ma nic wspólnego z bankiem, to klasyczny phishing.
Mój ważny e-mail nie dotarł, kontrahent twierdzi że wysłał. Poproś o kompletne nagłówki odpowiedzi, którą rzekomo dostał. Możesz prześledzić dokładną ścieżkę, sprawdzić, gdzie wiadomość się zatrzymała i ile zajął każdy hop.
Skarga klienta "Twój mail przyszedł w spamie". Spójrz na nagłówki kopii, którą Ci przesłał. Najczęściej znajdziesz SPF fail albo DKIM fail w Authentication-Results - masz konkretną przyczynę, nie domysł.
Audyt bezpieczeństwa po incydencie. Włamywacz wysłał maile z firmowej domeny. Z nagłówków podejrzanych wiadomości widać, czy szły przez Twój serwer (kompromitacja konta) czy przez obcy serwer z fałszywym From (spoofing - Twoja domena nie ma DMARC).
Dziwna wiadomość od współpracownika. CFO pisze do księgowości z prośbą o pilny przelew. Sprawdź Reply-To i Return-Path - w atakach BEC (Business Email Compromise) różnią się od pola From, więc Twoja odpowiedź wyląduje u atakującego.

Powiązane narzędzia: sprawdzanie DNS poczty (audyt SPF/DKIM/DMARC Twojej domeny), whois-lookup (właściciel IP z łańcucha Received), DNS lookup.

Pytania i odpowiedzi

Otwórz wiadomość → trzy kropki obok przycisku "Odpowiedz" → "Pokaż oryginał". Otworzy się nowa karta z dwoma sekcjami: u góry meta (SPF/DKIM/DMARC w wersji uproszczonej), poniżej pełny tekst wiadomości z nagłówkami. Skopiuj wszystko od początku do pierwszej pustej linii (mniej więcej do `Content-Type:`). Dla skrótu kliknij "Pobierz oryginał" i wklej zawartość pliku - narzędzie i tak obetnie treść.

Czym jest analizator nagłówków wiadomości?

Dla każdego adresu IP widocznego w łańcuchu Received masz klikalny link do whois-lookup - można jednym kliknięciem sprawdzić, do kogo należy serwer pośredniczący.

Jak tego użyć

Skopiuj surowe nagłówki z klienta poczty. W Gmailu otwórz wiadomość → trzy kropki → "Pokaż oryginał" → skopiuj cały tekst. W Outlooku otwórz wiadomość → Plik → Właściwości → pole "Nagłówki internetowe". W Apple Mail otwórz wiadomość → Widok → Wiadomość → Wszystkie nagłówki.

Wklej do pola tekstowego powyżej. Możesz wkleić same nagłówki albo całą wiadomość - narzędzie odetnie treść w pierwszej pustej linii.

Spójrz na wskaźnik spamu na górze. Zielony 0-2 = wszystko zdrowe, żółty 3-5 = sygnały ryzyka, czerwony 6-10 = bardzo prawdopodobny phishing lub spam.

W sekcji Authentication-Results sprawdź, czy SPF / DKIM / DMARC są pass. Jeden czerwony = wiadomość prawdopodobnie nie pochodzi od deklarowanego nadawcy.

Przewiń do Received chain. Górny hop (numer 1) to najstarszy serwer, czyli ten, który najpierw przyjął wiadomość. Najniższy hop = serwer, który wręczył ją Twojej skrzynce.

Kliknij dowolne IP w łańcuchu, żeby otworzyć whois-lookup w nowej karcie i sprawdzić, do kogo należy.

Jeśli widzisz dziwny pierwszy hop (np. wiadomość z banku, ale pierwszy hop to serwer hostingowy w innym kraju), masz prawie pewność, że to podszywanie się pod nadawcę.

Kiedy to się przydaje

Pięć codziennych sytuacji, w których analiza nagłówków rozstrzyga sprawę:

Czy ten mail to phishing?. Dostałeś wiadomość "z banku" z linkiem do "weryfikacji konta". Spójrz na From vs Return-Path vs pierwszy hop w Received chain. Jeśli pierwszy serwer nie ma nic wspólnego z bankiem, to klasyczny phishing.
Mój ważny e-mail nie dotarł, kontrahent twierdzi że wysłał. Poproś o kompletne nagłówki odpowiedzi, którą rzekomo dostał. Możesz prześledzić dokładną ścieżkę, sprawdzić, gdzie wiadomość się zatrzymała i ile zajął każdy hop.
Skarga klienta "Twój mail przyszedł w spamie". Spójrz na nagłówki kopii, którą Ci przesłał. Najczęściej znajdziesz SPF fail albo DKIM fail w Authentication-Results - masz konkretną przyczynę, nie domysł.
Audyt bezpieczeństwa po incydencie. Włamywacz wysłał maile z firmowej domeny. Z nagłówków podejrzanych wiadomości widać, czy szły przez Twój serwer (kompromitacja konta) czy przez obcy serwer z fałszywym From (spoofing - Twoja domena nie ma DMARC).
Dziwna wiadomość od współpracownika. CFO pisze do księgowości z prośbą o pilny przelew. Sprawdź Reply-To i Return-Path - w atakach BEC (Business Email Compromise) różnią się od pola From, więc Twoja odpowiedź wyląduje u atakującego.

Powiązane narzędzia: sprawdzanie DNS poczty (audyt SPF/DKIM/DMARC Twojej domeny), whois-lookup (właściciel IP z łańcucha Received), DNS lookup.

Pytania i odpowiedzi

Analizator nagłówków e-maila

Czym jest analizator nagłówków wiadomości?

Jak tego użyć

Kiedy to się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

DNS poczty (SPF, DKIM, DMARC)

WHOIS Lookup

Sprawdzanie DNS

Sprawdzanie IP / ASN

Analizator nagłówków e-maila

Czym jest analizator nagłówków wiadomości?

Jak tego użyć

Kiedy to się przydaje

Pytania i odpowiedzi

Powiązane narzędzia

DNS poczty (SPF, DKIM, DMARC)

WHOIS Lookup

Sprawdzanie DNS

Sprawdzanie IP / ASN