Dlaczego warto analizować nagłówki podejrzanych wiadomości? Jednym z najskuteczniejszych sposobów weryfikacji podejrzanego maila jest analiza jego nagłówka (headera). To „metryka” wiadomości, która zawiera techniczne informacje o tym, skąd naprawdę przyszła, jaką drogę przeszła i czy przeszła podstawowe kontrole bezpieczeństwa. Nagłówek to zestaw danych dodawanych automatycznie do każdej wiadomości. Analiza nagłówka e-maila to potężne narzędzie w walce z phishingiem. Warto nauczyć się podstaw jego analizy – to może uchronić przed utratą danych, pieniędzy, a nawet dostępu do swoich kont. W przeciwieństwie do widocznego pola „Od”, które można łatwo sfałszować, nagłówek pokazuje rzeczywiste serwery i adresy IP, przez które mail był wysyłany.
W większości programów pocztowych opcja ta jest łatwo dostępna:
- Gmail – kliknij trzy kropki przy wiadomości → "Pokaż oryginał”
- Outlook – "Plik” → "Właściwości” → "Nagłówki internetowe”
- Thunderbird – "Widok” → "Nagłówki” → "Wszystkie”
- Apple Mail – "Otwórz wiadomość" → "Widok" → "Wiadomość" → "Wszystkie nagłówki"
- Jeżeli w swoim programie pocztowym nie możesz znaleźć podglądu nagłówka, zapytaj wyszukiwarki internetowej na pewno pomoże.
Na co zwrócić uwagę?
- Pole Received – ślad drogi wiadomości
Każdy serwer, przez który przechodzi mail, zostawia wpis. Czytamy je od dołu do góry.
Jeśli pierwszy adres IP pochodzi z egzotycznego kraju, a mail rzekomo od polskiego banku – to sygnał ostrzegawczy. - SPF (Sender Policy Framework)
Informuje, czy serwer wysyłający ma prawo wysyłać maile w imieniu danej domeny.
SPF: PASS – OK
SPF: FAIL – bardzo podejrzane - DKIM (DomainKeys Identified Mail)
Sprawdza podpis kryptograficzny wiadomości.
DKIM: PASS – wiadomość nie została zmieniona
brak lub FAIL – możliwe fałszerstwo - DMARC Łączy SPF i DKIM – określa politykę domeny.
DMARC: PASS – zgodność
DMARC: FAIL – potencjalny phishing - From vs Return-Path
From (nadawca widoczny) można łatwo podrobić
Return-Path pokazuje faktyczny adres zwrotny
Jeśli są różne – zachowaj ostrożność
Typowe oznaki phishingu w nagłówku:
- niezgodność domen (np. bank w „From”, a dziwna domena w Return-Path),
- serwery pośredniczące z podejrzanych krajów,
- brak SPF/DKIM lub ich niepowodzenie,
- nietypowe adresy IP (np. hostingi VPS zamiast infrastruktury firmowej).
Phishing staje się coraz bardziej zaawansowany – wizualnie maile są często nie do odróżnienia od prawdziwych. Nagłówek to jedno z niewielu miejsc, gdzie oszust pozostawia ślady techniczne, których nie da się łatwo ukryć. Nie musisz być ekspertem – jeśli coś wzbudza wątpliwości: wklej nagłówek do analizatora online (np. MXToolbox), albo skonsultuj się z kimś bardziej zaawansowanym w informatyce.
Analiza nagłówka e-mail – przykład phishingu
Poniżej znajduje się przykładowy nagłówek wiadomości, która podszywa się pod bank, ale w rzeczywistości jest próbą wyłudzenia danych:
Return-Path: <alert @secure-login-xyz.com>
From: "Bank Wielka Polska" <kontakt @bankwielkapolska-xx.pl>
Received: from unknown (HELO mail.secure-login-xyz.com) (185.xxx.xxx..111)
by mx.google.com with SMTP; Wed, 30 Apr 2026 10:15:22 +0200
Received-SPF: fail (google.com: domain of secure-login-xyz.com does not designate 185.xxx.xxx.111 as permitted sender)
Authentication-Results: mx.google.com;
spf=fail;
dkim=fail;
dmarc=fail
Co w powyższym nagłówku jest nie tak?
- Fałszywy nadawca („From”)
From: "Bank Wielka Polska" kontakt @bankwielkapolska-xx.pl Na pierwszy rzut oka wygląda wiarygodnie. Problem w tym, że to pole można łatwo podrobić. Nie jest to dowodem dowodem autentyczności. - Podejrzany adres zwrotny („Return-Path”) alert @secure-login-xyz.comJuż tutaj widać niezgodność:
nadawca twierdzi, że to bankwielkapolska-xx.pl
ale odpowiedzi maja trafić na skrzynkę pocztową w domenie secure-login-xyz.com
To klasyczny sygnał phishingu. - Adres IP serwera wysyłającego
Received: from ... (185.xxx.xxx.111)
Warto sprawdzić ten adres IP, do kogo należy, czy jest częścią infrastruktury informatycznej banku?
Jeżeli nie, to kolejny sygnał ostrzegawczy. - Nieudana weryfikacja SPF
Received-SPF: fail
Oznacza to, że serwer nie ma prawa wysyłać maili w imieniu tej domeny.
Dla legalnych instytucji (banków, firm kurierskich, ...) SPF prawie zawsze powinien być poprawny. - Brak podpisu DKIM
dkim=fail
Wiadomość nie ma poprawnego podpisu kryptograficznego – mogła zostać spreparowana lub zmodyfikowana. - Niepowodzenie DMARC
dmarc=fail
To ostateczny rozstrzygnięcie – domena nadawcy nie przeszła polityki bezpieczeństwa.
W praktyce: wiadomość nie powinna być traktowana jako zaufana.
Wniosek końcowy: Choć otrzymana wiadomość wygląda jak wysłana przez bank, nagłówek jednoznacznie pokazuje, że to klasyczny phishing.
Jeśli domeny się nie zgadzają, SPF/DKIM/DMARC mają status FAIL, domeny oraz adresy IP nie wzbudzają zaufania:
Nigdy nie klikaj linków, nie podawaj żadnych danych. Jeżeli masz dalej wątpliwości, skontaktuj się z bankiem telefonicznie lub poprzez inny zaufany adres mailowy.
Phishing nie polega już tylko na „krzywym mailu z błędami”. Dzisiejsze ataki potrafią przechodzić wszystkie techniczne zabezpieczenia. Dlatego analiza nagłówków powinna być traktowana jako jedno z narzędzi, a nie jedyna metoda oceny. Najgroźniejsze ataki to te, które wyglądają technicznie poprawnie.
Wszelkie treści o charakterze poradnikowym powinny być traktowane jako wiedza ogólna, w przypadku konkretnych problemów należy skonsultować się z wykwalifikowanym specjalistą.
Grafika tytułowa wygenerowana przez model AI OpenAI (ChatGPT / DALL·E).
