25Aug
Cada vez que recibe un correo electrónico, hay mucho más de lo que parece. Aunque normalmente solo presta atención a la dirección, el asunto y el cuerpo del mensaje, hay mucha más información disponible "debajo del capó" de cada correo electrónico que puede proporcionarle una gran cantidad de información adicional.
¿Por qué molestarse mirando un encabezado de correo electrónico?
Esta es una muy buena pregunta. En su mayor parte, realmente no necesitarías a menos que:
- Sospechas que un correo electrónico es un intento de phishing o una parodia
- Quieres ver la información de enrutamiento en la ruta del correo electrónico
- Eres un curioso geek
Independientemente de tus razones, leyendolos encabezados de correo electrónico es bastante fácil y puede ser muy revelador.
Nota del artículo: para nuestras capturas de pantalla y datos, utilizaremos Gmail, pero prácticamente todos los demás clientes de correo deberían proporcionar esta misma información.
Visualización del encabezado del correo electrónico
En Gmail, vea el correo electrónico. Para este ejemplo, usaremos el correo electrónico a continuación.
A continuación, haga clic en la flecha en la esquina superior derecha y seleccione Mostrar original.
La ventana resultante tendrá los datos del encabezado del correo electrónico en texto sin formato.
Nota: en todos los datos del encabezado del correo electrónico que muestro a continuación, he cambiado mi dirección de Gmail para mostrar [email protected] y mi dirección de correo electrónico externa para mostrar como [email protected] y [email protected] además de enmascarar la dirección IP de mis servidores de correo electrónico.
entregado: [email protected]
recibido: por 10.60.14.3 con SMTP id l3csp18666oec;
Mar, 6 de marzo de 2012 08:30:51 -0800( PST)
Recibido: por 10.68.125.129 con SMTP id mq1mr1963003pbb.21.1331051451044;
mar, 06 mar. 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected]>
recibido: de exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com con SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
mar, 06 mar. 2012 08:30:50 -0800( PST)
recibido-SPF: neutral( google.com: 64.18.2.16 no está permitido ni denegado por el mejor registro de conjetura para el dominio de [email protected]) cliente-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutral( google.com: 64.18.2.16 no está permitido ni denegado por el mejor registro de conjetura para el dominio de [email protected]) [email protected]
Recibido: de mail.externalemail.com( [XXX.XXX.XXX.XXX])( utilizando TLSv1) mediante exprod7ob119.postini.com( [64.18.6.12]) con SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Mar, 06 Mar 2012 08:30:50 PST
Recibido: de MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) por
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) con mapi;Mar, 6 de marzo
2012 11:30:48 -0500
De: Jason Faulkner & lt; [email protected]>
Para: "[email protected]" & lt; [email protected]>
Fecha: Mar, 6 de marzo de 2012 11:30:48 -0500
Asunto: este es un correo legítimo
Tema del hilo: Este es un correo legítimo
Índice de subprocesos: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Mensaje-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Versión MIME: 1.0
Cuando lee un encabezado de correo electrónico, los datos están en orden cronológico inverso, lo que significa que la información en la parte superior es el evento más reciente. Por lo tanto, si desea rastrear el correo electrónico del remitente al destinatario, comience en la parte inferior. Al examinar los encabezados de este correo electrónico podemos ver varias cosas.
Aquí vemos información generada por el cliente que envía. En este caso, el correo electrónico se envió desde Outlook, por lo que este es el metadato que Outlook agrega.
De: Jason Faulkner & lt; [email protected]>
Para: "[email protected]" & lt; [email protected]>
Fecha: Mar, 6 de marzo de 2012 11:30:48 -0500
Asunto: Este es un correo legítimo
Tema del hilo: Este es un correo legítimo
Índice de hilos: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Mensaje-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
Versión MIME: 1.0
La siguiente parte rastrea la ruta que toma el correo electrónico desde el servidor de envío al servidor de destino. Tenga en cuenta que estos pasos( o saltos) se enumeran en orden cronológico inverso. Hemos colocado el número respectivo al lado de cada salto para ilustrar el orden. Tenga en cuenta que cada salto muestra detalles sobre la dirección IP y el nombre DNS inverso respectivo.
entregado a: [email protected]
[6] recibido: por 10.60.14.3 con SMTP id l3csp18666oec;
mar, 6 de marzo de 2012 08:30:51 -0800( PST)
[5] recibido: por 10.68.125.129 con SMTP id mq1mr1963003pbb.21.1331051451044;
mar, 06 mar. 2012 08:30:51 -0800( PST)
Return-Path: & lt; [email protected]>
[4] recibido: de exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com con SMTP id l7si25161491pbd.80.2012.03.06.08.30.49;
Mar, 06 Mar 2012 08:30:50 -0800( PST)
[3] Recibido-SPF: neutral( google.com: 64.18.2.16 no está permitido ni denegado por el mejor registro de adivinación para el dominio de jfaulkner @ externolemail.com) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutral( google.com: 64.18.2.16 no está permitido ni denegado por el mejor registro de conjetura para el dominio de [email protected]) [email protected]
[2] Recibido: de mail.externalemail.com( [XXX.XXX.XXX.XXX])( utilizando TLSv1) mediante exprod7ob119.postini.com( [64.18.6.12]) con SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Mar, 06 Mar 2012 08:30:50 PST
[1] Recibido: de MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) por
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) con mapi;Mar, 6 de marzo
2012 11:30:48 -0500
Si bien esto es bastante mundano para un correo electrónico legítimo, esta información puede ser muy reveladora cuando se trata de examinar los correos electrónicos no deseados o de phishing.
Examinando un correo electrónico de phishing - Ejemplo 1
Para nuestro primer ejemplo de phishing, examinaremos un correo electrónico que es un intento evidente de phishing. En este caso, podríamos identificar este mensaje como un fraude simplemente por los indicadores visuales, pero para la práctica veremos las señales de advertencia dentro de los encabezados.
entregado a: [email protected]
recibido: por 10.60.14.3 con SMTP id l3csp12958oec;
Lunes, 5 de marzo de 2012 23:11:29 -0800( PST)
Recibido: por 10.236.46.164 con id. SMTP r24mr7411623yhb.101.1331017888982;
lun, 05 de mar de 2012 23:11:28 -0800( PST)
Return-Path: & lt; [email protected] & gt;
recibido: de ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx.google.com con ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Lunes, 05 de marzo de 2012 23:11:28 -0800( PST)
Recibido-SPF: error( google.com: dominio de [email protected] no designa a XXX.XXX.XXX.XXX como remitente permitido) cliente-ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: dominio de [email protected] no designa XXX.XXX.XXX.XXX como remitente permitido) [email protected]
recibido: con MailEnable Postoffice Connector;Mar, 6 de marzo de 2012 02:11:20 -0500
Recibido: de mail.lovingtour.com( [211.166.9.218]) por ms.externalemail.com con MailEnable ESMTP;Mar, 6 Mar 2012 02:11:10 -0500
Recibido: del usuario( [118.142.76.58])
por mail.lovingtour.com
;Lun, 5 Mar 2012 21:38:11 +0800
Message-ID: & lt; [email protected]>
Respuesta-A: & lt; [email protected] & gt;
De: "[email protected]" & lt; [email protected]>
Asunto: Aviso
Fecha: Mon, 5 de marzo de 2012 21:20:57 +0800
Versión MIME: 1.0
Tipo de contenido: multipart / mixed;
boundary = "- = NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Producido por Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
La primera señal de advertencia se encuentra en el área de información del cliente. Observe que los metadatos añadidos hacen referencia a Outlook Express. Es poco probable que Visa esté tan retrasada en el momento en que alguien envía correos electrónicos manualmente a través de un cliente de correo electrónico de 12 años.
Reply-To: & lt; [email protected]>
De: "[email protected]" & lt; [email protected]>
Asunto: Aviso
Fecha: Lun 5 Mar 2012 21:20:57 +0800
Versión MIME: 1.0
Content-Type: multipart / mixed;
boundary = "- = NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Producido por Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Ahora, al examinar el primer salto en el enrutamiento del correo electrónico, se revela que el remitente se encontraba en la dirección IP 118.142.76.58 y su correo electrónico se transmitió a través del servidor de correo mail.lovingtour.com.
recibido: del usuario( [118.142.76.58])
por mail.lovingtour.com
;Lunes, 5 de marzo de 2012 21:38:11 +0800
Al buscar la información de IP utilizando la utilidad IPNetInfo de Nirsoft, podemos ver que el remitente se encuentra en Hong Kong y que el servidor de correo se encuentra en China.
No hace falta decir que esto es un poco sospechoso.
El resto de los saltos de correo electrónico no son realmente relevantes en este caso, ya que muestran que el correo electrónico rebota en el tráfico del servidor legítimo antes de que finalmente se entregue.
Examinando un correo electrónico de phishing - Ejemplo 2
Para este ejemplo, nuestro correo phishing es mucho más convincente. Aquí hay algunos indicadores visuales si nos fijamos lo suficiente, pero de nuevo a los fines de este artículo, vamos a limitar nuestra investigación a los encabezados de correo electrónico.
entregado: [email protected]
recibido: por 10.60.14.3 con SMTP id l3csp15619oec;
mar, 6 de marzo de 2012 04:27:20 -0800( PST)
recibido: por 10.236.170.165 con id. SMTP p25mr8672800yhl.123.1331036839870;
mar, 06 de marzo de 2012 04:27:19 -0800( PST)
Return-Path: & lt; [email protected]>
recibido: de ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx.google.com con ESMTP id o2si20048188yhn.34.2012.03.06.04.27.19;
Mar, 06 Mar 2012 04:27:19 -0800( PST)
Recibido-SPF: error( google.com: dominio de [email protected] no designa a XXX.XXX.XXX.XXX como remitente permitido) cliente-ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com;spf = hardfail( google.com: dominio de [email protected] no designa a XXX.XXX.XXX.XXX como remitente permitido) [email protected]
recibido: con MailEnable Postoffice Connector;Mar, 6 Mar 2012 07:27:13 -0500
Recibido: de dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) por ms.externalemail.com con MailEnable ESMTP;Mar, 6 Mar 2012 07:27:08 -0500
Recibido: desde apache por intuit.com con local( Exim 4.67)
( envelope-from & lt; [email protected]>)
id GJMV8N-8BERQW-93
por& lt; [email protected]> ;Mar, 6 Mar 2012 19:27:05 +0700
Para: & lt; [email protected]>
Asunto: Su factura de Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Prioridad: 1
Versión MIME: 1.0
Content-Type: multipart / alternative;
boundary = "---- 03060500702080404010506"
Message-Id: & lt; [email protected]>
Fecha: Mar, 6 de marzo de 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
En este ejemplo, no se utilizó una aplicación cliente de correo, sino un script PHP con la dirección IP de origen de 118.68.152.212.
Para: & lt; [email protected]>
Asunto: Su factura de Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
X-Prioridad: 1
Versión MIME: 1.0
Content-Type: multipart / alternative;
boundary = "---- 03060500702080404010506"
Message-Id: & lt; [email protected]>
Fecha: Mar, 6 de marzo de 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
Sin embargo, cuando vemos el primer salto de correo electrónico parece ser legítimo ya que el nombre de dominio del servidor que envía coincide con la dirección de correo electrónico. Sin embargo, tenga cuidado con esto ya que un spammer podría nombrar fácilmente su servidor "intuit.com".
recibido: de apache por intuit.com con local( Exim 4.67)
( envelope-from & lt; [email protected]>)
id GJMV8N-8BERQW-93
para & lt; [email protected]> ;Mar, 6 Mar 2012 19:27:05 +0700
Examinar el próximo paso desmorona este castillo de naipes. Puede ver el segundo salto( donde lo recibe un servidor de correo electrónico legítimo) resuelve el servidor de envío de nuevo al dominio "dynamic-pool-xxx.hcm.fpt.vn", no a "intuit.com" con la misma dirección IPindicado en el script PHP.
recibido: de dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) por ms.externalemail.com con MailEnable ESMTP;Mar, 6 Mar 2012 07:27:08 -0500
Ver la información de la dirección IP confirma la sospecha ya que la ubicación del servidor de correo se resuelve en Vietnam.
Si bien este ejemplo es un poco más inteligente, puede ver qué tan rápido se revela el fraude con solo un poco de investigación.
Conclusión
Si bien ver los encabezados de los correos electrónicos probablemente no forma parte de sus necesidades cotidianas típicas, hay casos en los que la información contenida en ellos puede ser bastante valiosa. Como mostramos anteriormente, puede identificar fácilmente a los remitentes disfrazados como algo que no son. Para una estafa muy bien ejecutada donde las pistas visuales son convincentes, es extremadamente difícil( si no imposible) suplantar a los servidores de correo reales y revisar la información dentro de los encabezados de correo electrónico puede revelar rápidamente cualquier trapacería.
Enlaces
Descargue IPNetInfo desde Nirsoft