4Sep

¿Cómo puedo averiguar de dónde proviene realmente un correo electrónico?

click fraud protection

El hecho de que aparezca un correo electrónico en su bandeja de entrada con la etiqueta Bill. [email protected], no significa que Bill realmente haya tenido algo que ver con eso. Siga leyendo mientras exploramos cómo cavar y ver de dónde vino realmente un correo electrónico sospechoso.

Pregunta de hoy &La sesión de respuesta nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación de comandos de comunidad de sitios web de Q & A.

El lector

SuperUser de Question Sirwan quiere saber cómo se originan realmente los correos electrónicos:

¿Cómo puedo saber de dónde proviene realmente un correo electrónico?
¿Hay alguna forma de averiguarlo?
He oído hablar de los encabezados de los correos electrónicos, pero no sé dónde puedo ver los encabezados de los correos electrónicos, por ejemplo, en Gmail.

Echemos un vistazo a estos encabezados de correo electrónico.

El colaborador de SuperUser

de Respuestas Tomas ofrece una respuesta muy detallada y perspicaz:

instagram viewer

. Vea un ejemplo de estafa que me han enviado, fingiendo que es de mi amigo, afirmando que ha sido robada y solicitándome ayuda financiera. He cambiado los nombres, supongamos que soy Bill, el estafador ha enviado un correo electrónico a [email protected], pretendiendo que es [email protected]. Tenga en cuenta que Bill tiene que enviar a [email protected].

Primero, en Gmail, use show original:

Luego, se abrirá el correo electrónico completo y sus encabezados:

Entregado-A: [email protected] Recibido: por 10.64.21.33 con id. SMTP s1csp177937iee;Lun, 8 de julio de 2013 04:11:00 -0700( PDT) X-Received: por 10.14.47.73 con SMTP id s49mr24756966eeb.71.1373281860071;Lun, 08 de julio de 2013 04:11:00 -0700( PDT) Return-Path: & lt; [email protected]>Recibido: de maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) por mx.google.com con ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 para & lt; [email protected]>(versión = cifrado TLSv1 = bits RC4-SHA = 128/128);Lun, 08 de julio 2013 04:11:00 -0700( PDT) Recibido-SPF: neutral( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 no está permitido ni denegado por el mejor registro de suposicióndominio de [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Autenticación-Resultados: mx.google.com;spf = neutral( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 no está permitido ni denegado por el mejor registro de aproximación para el dominio de [email protected]) [email protected] Recibido: por maxipes.logix.cz( Postfix, del ID de usuario 604) id C923E5D3A45;Lun, 8 de julio 2013 23:10:50 +1200( NZST) X-Original-To: [email protected] X-Greylist: retrasado 00:06:34 por SQLgrey-1.8.0-rc1 Recibido: de elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) por maxipes.logix.cz( Postfix) con ESMTP id B43175D3A44 para & lt; [email protected]> ;Lun, 8 de julio de 2013 23:10:48 +1200( NZST) Recibido: de [168.62.170.129]( helo = laurence39) por elasmtp-curtail.atl.sa.earthlink.net con esmtpa( Exim 4.67)( sobre-de& lt; [email protected]>) id 1Uw98w-0006KI-6y para [email protected];Lunes, 08 de julio de 2013 06:58:06 -0400 De: "Alice" & lt; [email protected]>Asunto: Terrible Travel Issue. .... Amablemente responda lo antes posible a: [email protected] Content-Type: multipart / alternative;boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" Versión MIME: 1.0 Reply-To: [email protected] Fecha: Lun, 8 de julio de 2013 10:58:06 +0000 Message-ID: & lt; E1Uw98w-0006KI-6y @ elasmtp-curtail.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [... He cortado el cuerpo del correo electrónico. ..]

Los encabezados deben leerse cronológicamente de abajo hacia arriba, los más antiguos están en la parte inferior. Cada nuevo servidor en el camino agregará su propio mensaje, empezando por Recibido. Por ejemplo:

recibido: de maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) por mx.google.com con ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 para & lt; [email protected]>(versión = cifrado TLSv1 = bits RC4-SHA = 128/128);Lun, 08 de julio de 2013 04:11:00 -0700( PDT)

Esto dice que mx.google.com recibió el correo de maxipes.logix.cz el lunes, 08 de julio de 2013, 04:11:00 -0700( PDT).

Ahora, para encontrar el remitente real de su correo electrónico, su objetivo es encontrar la última puerta de enlace de confianza, la última al leer los encabezados de arriba, es decir, primero en el orden cronológico. Comencemos por encontrar el servidor de correo de Bill. Para esto, consulta el registro MX para el dominio. Puede usar algunas herramientas en línea, o en Linux puede consultarlas en línea de comandos( tenga en cuenta que el nombre de dominio real se cambió a domain.com):

~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Entonces verá que el servidor de correo para domain.com es maxipes.logix.cz o broucek.logix.cz. Por lo tanto, el último( primer cronológicamente) "salto" confiable - o el último "registro recibido" de confianza, o como se llame - es este:

Recibido: de elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) por maxipes.logix.cz( Postfix) con ESMTP id B43175D3A44 para & lt; [email protected]> ;Lun, 8 de julio de 2013 23:10:48 +1200( NZST)

Puede confiar en esto porque el servidor de correo de Bill lo registró para domain.com. Este servidor lo obtuvo de 209.86.89.64.Esto podría ser, y muy a menudo es, el verdadero remitente del correo electrónico, en este caso el estafador. Puede verificar esta IP en una lista negra.- Ver, él está en la lista en 3 listas negras! Hay aún otro registro debajo:

recibido: de [168.62.170.129]( helo = laurence39) por elasmtp-curtail.atl.sa.earthlink.net con esmtpa( Exim 4.67)( envelope-from & lt; alice @ yahoo.com & gt;) id 1Uw98w-0006KI-6y para [email protected];Lunes, 08 de julio 2013 06:58:06 -0400

pero no se puede confiar en esto, porque eso podría ser agregado por el estafador para eliminar sus rastros y / o tendrían un rastro falso .Por supuesto, aún existe la posibilidad de que el servidor 209.86.89.64 sea inocente y solo actuó como relé para el atacante real en 168.62.170.129, pero luego el relevo a menudo se considera culpable y muy a menudo aparece en la lista negra. En este caso, 168.62.170.129 está limpio, por lo que podemos estar casi seguros de que el ataque se realizó desde 209.86.89.64.

Y, por supuesto, como sabemos que Alice usa Yahoo!y elasmtp-curtail.atl.sa.earthlink.net no está en Yahoo!red( es posible que desee volver a verificar su información de IP Whois), podemos concluir con seguridad que este correo electrónico no fue de Alicia, y que no debemos enviarle dinero a sus vacaciones reclamadas en Filipinas.

Otros dos colaboradores, Ex Umbris y Vijay, recomendaron, respectivamente, los siguientes servicios para ayudar en la decodificación de encabezados de correo electrónico: SpamCop y la herramienta de análisis de encabezado de Google.

¿Tiene algo que agregar a la explicación? Suena apagado en los comentarios.¿Desea leer más respuestas de otros usuarios de Stack Exchange expertos en tecnología? Mira el hilo de discusión completo aquí.