Email Por Fernanda Schmidt, Analista de OSINT 20 de junho de 2026 7 min de leitura

Como identificar um email de phishing e descobrir o remetente real

Para saber se um email é phishing, não confie no nome que aparece — confie no que está por baixo dele. O nome exibido ("Banco do Brasil", "Nubank", "RH da empresa") é texto livre que qualquer um pode escrever. O que importa é o endereço real do remetente, o domínio que de fato enviou a mensagem e o que os cabeçalhos técnicos (SPF, DKIM, DMARC) dizem sobre essa origem.

Na prática você cruza três coisas: o domínio do remetente (é o oficial ou um sósia tipo nubank-seguranca.com?), o cabeçalho técnico (a mensagem passou na verificação de autenticidade?) e a reputação desse domínio (quando foi registrado, já apareceu em golpes?). Quando os três batem como suspeitos, é phishing — e dá para provar antes de clicar em qualquer link.

Este guia mostra o passo a passo de leitura forense de um email suspeito, com foco em proteção e verificação de fraude. Tudo usando dados públicos e técnicos do próprio email que chegou para você.

espectro · módulo email

Consulta

[email protected]

Fontes consultadas

Domínio/WHOISReputaçãoVazamentosDNS/SPFGoogle+ outras

Resultado correlacionado

Domínio registrado emhá 9 dias
SPF / DKIMfalhou (não autenticado)
Nome exibido vs. real"Nubank" → [email protected]
Servidor de envioVPS genérica, fora do BR
Marca oficial usa@nubank.com.br

Analisar remetente → Exemplo ilustrativo — dados mascarados para demonstração.

Atalho: Recebeu algo suspeito? Cole o endereço e analise o remetente real do email antes de clicar em qualquer link.

Resumo rápido

O nome do remetente é falsificável: o que vale é o endereço real entre < > e o domínio depois do @.
O cabeçalho do email (Received, SPF, DKIM, DMARC) mostra de onde a mensagem saiu de verdade e se passou na autenticação.
Domínios de golpe costumam ser recém-registrados e imitam a marca (typosquatting): banc0, -seguranca, .com.br.net.
Links e botões mascaram o destino — passe o mouse ou copie o link e leia o domínio real antes de clicar.
Nunca responda, clique ou baixe anexo para "testar": verifique pelo cabeçalho e pelo domínio, não interagindo com a mensagem.

Por que o nome do remetente não prova nada?

O "De:" de um email tem duas partes: o nome exibido e o endereço real. O nome é só um rótulo de texto — o golpista escreve "Suporte Nubank" ou "Receita Federal" livremente. O que identifica de verdade é o endereço entre os sinais < > e, dentro dele, o domínio depois do @.

No celular, o app de email quase sempre esconde o endereço real e mostra só o nome bonito. É exatamente nessa lacuna que o phishing vive. Toque no nome do remetente (ou abra a versão web) para revelar o endereço completo antes de qualquer outra coisa.

Suporte Nubank — domínio errado, é golpe.
Nubank — domínio oficial, coerente.
Desconfie de subdomínios trocados: @nubank.com.br ≠ @nubank.seguranca-cliente.com.

Regra única: leia o domínio depois do @, não o nome antes dele.

O domínio é o oficial ou um sósia?

Depois de achar o endereço real, o domínio é o seu maior sinal. Golpistas usam typosquatting (erro proposital de digitação) e domínios "parecidos" que passam batido na pressa: trocam letra por número, somam um hífen com palavra de medo ("-seguranca", "-verificacao") ou empilham TLDs falsos.

Compare sempre com o domínio oficial que você já conhece — digite o nome da empresa no Google e veja qual o site verdadeiro. Se o email vem de algo que não é exatamente esse domínio, trate como suspeito. Uma busca reversa de email ajuda a ver rapidamente a que domínio e a que reputação aquele endereço está ligado.

Troca de caractere: banc0-brasil.com, nubаnk.com (com letra cirílica).
Palavra de urgência colada: -seguranca, -suporte, -atualizacao.
TLD empilhado/estranho: .com.br.net, .online, .click.

Como ler o cabeçalho e provar a origem real?

O cabeçalho técnico (header) é a "caixa-preta" do email: registra cada servidor por onde a mensagem passou e o resultado das verificações de autenticidade. No Gmail, abra o email → menu de três pontos → "Mostrar original". No Outlook, Arquivo → Propriedades. Ali aparecem as linhas que importam.

Procure três siglas: SPF, DKIM e DMARC. Elas dizem se o servidor que enviou tinha permissão de usar aquele domínio e se a mensagem não foi adulterada. Quando todas falham ou aparecem como "none", e o domínio diz ser uma marca grande, é um forte indício de falsificação — bancos e empresas sérias configuram esses registros.

spf=fail ou spf=softfail: o servidor de envio não está autorizado pelo domínio.
dkim=fail / dkim=none: a assinatura que garante a integridade não confere.
dmarc=fail: a política do domínio rejeitaria — quem mandou não é o dono real.
Linhas Received: (de baixo para cima) revelam o primeiro servidor de origem.

Marca conhecida + SPF/DKIM/DMARC falhando = praticamente sempre phishing.

O domínio tem reputação ou nasceu ontem?

Domínio de golpe costuma ser descartável: registrado dias antes do ataque, usado por uma campanha curta e abandonado. A data de registro (no WHOIS) é um dos sinais mais úteis — um "banco" com domínio de 5 dias não é banco. Empresas legítimas têm domínios com anos de histórico.

Some a isso o servidor de envio (uma VPS genérica num país aleatório foge do padrão de um banco brasileiro) e se aquele endereço já apareceu ligado a fraudes. Se você lida com remetentes corporativos, vale também verificar se a empresa é confiável pelo CNPJ e pegada digital, não só pelo email.

Idade do domínio: dias/semanas = bandeira vermelha; anos = normal.
Servidor/IP de envio fora do país e da infraestrutura esperada da marca.
Domínio sem site real, sem MX configurado para receber respostas, ou já listado em blocklists.

E os links e anexos — como checar sem cair?

O texto de um link não é o destino dele. "www.seubanco.com.br" pode apontar para qualquer lugar. No computador, passe o mouse por cima (sem clicar) e leia o endereço real que aparece no canto da tela ou na dica de ferramenta. No celular, segure o link pressionado para abrir a prévia do destino.

Anexos inesperados — boleto, nota fiscal, "comprovante", currículo em .zip/.html/.docm — são vetor clássico. A regra de ouro: nunca interaja para "descobrir se é golpe". Você descobre lendo cabeçalho e domínio, não clicando.

Leia o domínio do link, não o texto: o que vale é o que vem logo após https://.
Encurtadores (bit.ly, etc.) escondem o destino — expanda antes de abrir.
Anexo que pede para "ativar macros" ou vem em .html isolado: não abra.

Se precisa confirmar com a empresa, use o canal oficial do site dela — nunca os contatos do email suspeito.

Checklist rápido antes de clicar

Junte tudo numa verificação de 60 segundos. Se dois ou mais itens acendem o alerta, trate como phishing: não clique, não responda, denuncie e apague. Encaminhar phishing bancário para o canal de abuso do banco também ajuda a derrubar o golpe.

O domínio depois do @ é exatamente o oficial? (não "parecido")
O cabeçalho mostra SPF/DKIM/DMARC passando?
O domínio tem histórico, ou foi registrado há poucos dias?
O link aponta para o site real ou para outro domínio?
A mensagem cria urgência/medo ("sua conta será bloqueada em 24h")?

Perguntas Frequentes

Como descobrir o remetente real de um email?

Abra o endereço completo entre os sinais < > no campo "De:" e leia o domínio depois do @. Depois abra o cabeçalho original ("Mostrar original" no Gmail) e veja as linhas Received e os resultados de SPF, DKIM e DMARC, que indicam de qual servidor a mensagem realmente saiu.

O nome do remetente pode ser falsificado?

Sim, e é o truque mais comum do phishing. O nome exibido é texto livre que o remetente escolhe, então "Banco X" ou "Receita Federal" não prova nada. Só o endereço real e o domínio depois do @ têm valor para identificar quem enviou.

O que significa SPF, DKIM e DMARC falhando?

São verificações de autenticidade do email. SPF confere se o servidor podia usar aquele domínio, DKIM garante que a mensagem não foi alterada e DMARC define a política do domínio. Quando todas falham e a mensagem diz ser de uma marca grande, é forte sinal de falsificação.

É seguro clicar para ver se o email é golpe?

Não. Clicar, responder ou baixar anexos pode disparar malware, confirmar que seu email está ativo ou levar a uma página falsa. A análise correta é feita sem interagir: lendo o cabeçalho, o domínio e a reputação do remetente.

Recebi phishing, o que fazer agora?

Não clique nem responda. Confirme a fraude pelo cabeçalho e domínio, denuncie ao canal de abuso da empresa imitada e marque como spam/phishing no seu provedor. Se você chegou a clicar ou informar dados, troque a senha afetada e ative a verificação em duas etapas imediatamente.

Conclusão

Identificar phishing é uma questão de olhar abaixo da superfície: o domínio real depois do @, o que o cabeçalho diz sobre a origem e há quanto tempo aquele domínio existe. Quando esses sinais batem como suspeitos, você tem prova antes de qualquer clique. Da próxima vez que um email parecer estranho, analise o remetente primeiro — leva menos de um minuto e evita o golpe inteiro.