¿Qué puede encontrar en un encabezado de correo electrónico?

Siempre que recibe un correo electrónico, hay mucho más de lo que parece. Si bien normalmente solo presta atención a la dirección de remitente, la línea de asunto y el cuerpo del mensaje, hay mucha más información disponible «debajo del capó» de cada correo electrónico que puede proporcionarle una gran cantidad de información adicional.

¿Por qué molestarse en mirar un encabezado de correo electrónico?

Esta es una muy buena pregunta. En su mayor parte, nunca necesitaría hacerlo a menos que:

  • Sospecha que un correo electrónico es un intento de phishing o una suplantación de identidad.
  • Quieres ver la información de enrutamiento en la ruta del correo electrónico
  • Eres un friki curioso

Independientemente de sus razones, leer los encabezados de los correos electrónicos es bastante fácil y puede ser muy revelador.

Nota del artículo: Para nuestras capturas de pantalla y datos, usaremos Gmail, pero prácticamente todos los demás clientes de correo deben proporcionar esta misma información también.

Ver el encabezado del correo electrónico

En Gmail, vea el correo electrónico. Para este ejemplo, usaremos el correo electrónico a continuación.

Luego haga clic en la flecha en la esquina superior derecha y seleccione Mostrar original.

La ventana resultante tendrá los datos del encabezado del correo electrónico en texto sin formato.

Nota: En todos los datos del encabezado del correo electrónico que muestro a continuación, he cambiado mi dirección de Gmail para que se muestre como myemail@gmail.com y mi dirección de correo electrónico externa para que se muestre como jfaulkner@externalemail.com y jason@myemail.com , además de enmascarar la IP. dirección de mis servidores de correo electrónico.

Entregado a: myemail@gmail.com

Recibido: antes del 10.60.14.3 con el ID de SMTP l3csp18666oec;

Martes 6 de marzo de 2012 08:30:51 -0800 (PST)

Recibido: antes del 10.68.125.129 con ID de SMTP mq1mr1963003pbb.21.1331051451044;

Mar, 06 de marzo de 2012 08:30:51 -0800 (PST)

Ruta de retorno: <jfaulkner@externalemail.com>

Recibido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])

por mx. google.com con el ID de SMTP l7si25161491pbd.80.2012.03.06.08.30.49;

Mar, 06 de marzo de 2012 08:30:50 -0800 (PST)

Received-SPF: neutral (google.com: 64.18.2.16 no está permitido ni denegado por el registro de mejor conjetura para el dominio de jfaulkner@externalemail.com) client-ip = 64.18.2.16;

Resultados de autenticación: mx.google.com; spf = neutral (google.com: 64.18.2.16 no está permitido ni denegado por el registro de mejor conjetura para el dominio de jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com

Recibido: de mail.externalemail.com ([XXX. XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) con SMTP

ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Martes, 06 de marzo de 2012 08:30:50 PST

Recibido: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) por

MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) con mapi; Mar, 6 de marzo de

2012 11:30:48 -0500

De: Jason Faulkner <jfaulkner@externalemail.com>

Para: “myemail@gmail.com” <myemail@gmail.com>

Fecha: Mar, 6 de marzo de 2012 11:30: 48 -0500

Asunto: Se trata de un correo electrónico legítimo

de rosca-Topic: Se trata de un correo electrónico legítimo

de rosca-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==

Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>

Accept-Language: en-US

contenido -Idioma: en-US

X-MS-Has-Attach:

X-MS-TNEF-Correlator:

acceptlanguage: en-US

Tipo de contenido: multiparte / alternativo;

boundary = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”

MIME-Versión: 1.0

Cuando lee un encabezado de correo electrónico, los datos están en orden cronológico inverso, lo que significa que la información en la parte superior es el evento más reciente. Por lo tanto, si desea rastrear el correo electrónico desde el remitente hasta el destinatario, comience por la parte inferior. Examinando los encabezados de este correo electrónico podemos ver varias cosas.

Aquí vemos información generada por el cliente remitente. En este caso, el correo electrónico se envió desde Outlook, por lo que estos son los metadatos que agrega Outlook.

De: Jason Faulkner <jfaulkner@externalemail.com>

Para: “myemail@gmail.com” <myemail@gmail.com>

Fecha: Mar 6 Mar 2012 11:30:48 -0500

Asunto: Se trata de un correo electrónico legítimo

Thread- Tema: Este es un

índice de hilo de correo electrónico legítimo : Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==

ID de mensaje: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>

Accept
X-

Language: en-EE. UU.
-Has-Attach:

X-MS-TNEF-Correlator:

acceptlanguage: en-US

Tipo de contenido: multiparte / alternativo;

boundary = ”_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_”

MIME-Versión: 1.0

La siguiente parte rastrea la ruta que toma el correo electrónico desde el servidor de envío hasta el servidor de destino. Tenga en cuenta que estos pasos (o saltos) se enumeran en orden cronológico inverso. Hemos colocado el número respectivo junto a cada salto para ilustrar el orden. Tenga en cuenta que cada salto muestra detalles sobre la dirección IP y el respectivo nombre DNS inverso.

Entregado a: myemail@gmail.com
[6] Recibido: antes del 10.60.14.3 con ID de SMTP l3csp18666oec;

Martes 6 de marzo de 2012 08:30:51 -0800 (PST)
[5] Recibido: antes del 10.68.125.129 con ID SMTP mq1mr1963003pbb.21.1331051451044;

Mar, 06 de marzo de 2012 08:30:51 -0800 (PST)

Ruta de retorno: <jfaulkner@externalemail.com>
[4] Recibido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])

por mx.google.com con ID de SMTP l7si25161491pbd.80.2012.03.06.08.30.49;

Mar, 06 de marzo de 2012 08:30:50 -0800 (PST)
[3] Received-SPF: neutral (google.com: 64.18.2.16 no está permitido ni denegado por el registro de mejor conjetura para el dominio de jfaulkner@externalemail.com) cliente -ip = 64.18.2.16;

Resultados de autenticación: mx.google.com; spf = neutral (google.com: 64.18.2.16 no está permitido ni denegado por el registro de mejor conjetura para el dominio de jfaulkner@externalemail.com) smtp.mail=jfaulkner@externalemail.com
[2] Recibido: de mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) con

ID de SMTP DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/9@postini.com; Martes, 06 de marzo de 2012 08:30:50 PST
[1] Recibido: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) por

MYSERVER.myserver.local ([fe80 :: a805: c335 : 8c71: cdb3% 11]) con mapi; Mar, 6 de marzo de

2012 11:30:48 -0500

Si bien esto es bastante mundano para un correo electrónico legítimo, esta información puede ser bastante reveladora cuando se trata de examinar correos electrónicos no deseados o de phishing.

Examen de un correo electrónico de phishing: ejemplo 1

Para nuestro primer ejemplo de phishing, examinaremos un correo electrónico que es un intento de phishing obvio. En este caso, podríamos identificar este mensaje como un fraude simplemente por los indicadores visuales, pero para practicar, echaremos un vistazo a las señales de advertencia dentro de los encabezados.

Entregado a: myemail@gmail.com

Recibido: antes del 10.60.14.3 con ID de SMTP l3csp12958oec;

Lunes, 5 de marzo de 2012 23:11:29 -0800 (PST)

Recibido: antes del 10.236.46.164 con ID de SMTP r24mr7411623yhb.101.1331017888982;

Lun, 05 de marzo de 2012 23:11:28 -0800 (PST)

Ruta de retorno: <securityalert@verifybyvisa.com>

Recibido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX] )

por mx.google.com con el ID de ESMTP t19si8451178ani.110.2012.03.05.23.11.28;

Lun, 05 de marzo de 2012 23:11:28 -0800 (PST)

Received-SPF: fail (google.com: el dominio de securityalert@verifybyvisa.com no designa a XXX.XXX.XXX.XXX como remitente permitido) client-ip = XXX.XXX.XXX.XXX;

Resultados de autenticación: mx.google.com; spf = hardfail (google.com: el dominio de securityalert@verifybyvisa.com no designa a XXX.XXX.XXX.XXX como remitente permitido) smtp.mail=securityalert@verifybyvisa.com

Recibido: con MailEnable Postoffice Connector; Mar, 6 de marzo de 2012 02:11:20 -0500

Recibido: de mail.lovingtour.com ([211.166.9.218]) por ms.externalemail.com con MailEnable ESMTP; Mar, 6 de marzo de 2012 02:11:10 -0500

Recibido: del Usuario ([118.142.76.58])

por mail.lovingtour.com

; Lun, 5 de marzo de 2012 21:38:11 +0800

ID de mensaje: <6DCB4366-3518-4C6C-B66A-F541F32A4C4C@mail.lovingtour.com>

Responder a: <securityalert@verifybyvisa.com>

De: “securityalert @ verifybyvisa .com ”<securityalert@verifybyvisa.com>

Asunto: Aviso

Fecha: lunes, 5 de marzo de 2012 21:20:57 +0800

Versión MIME: 1.0

Tipo de contenido: multiparte / mixto;

boundary = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MimeOLE: Producido por Microsoft MimeOLE V6.00.2600.0000

X-ME-Bayesian : 0,000000

La primera bandera roja está en el área de información del cliente. Observe aquí que los metadatos agregados hacen referencia a Outlook Express. Es poco probable que Visa esté tan atrasado que alguien envíe correos electrónicos manualmente utilizando un cliente de correo electrónico de 12 años.

Responder a: <securityalert@verifybyvisa.com>

De: “securityalert@verifybyvisa.com” <securityalert@verifybyvisa.com>

Asunto: Aviso

Fecha: Lunes, 5 de marzo de 2012 21:20:57 +0800

Versión MIME: 1.0

Contenido -Tipo: multiparte / mixto;

boundary = ”—- = _ NextPart_000_0055_01C2A9A6.1C1757C0 ″

X-Priority: 3

X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Producido por Microsoft MimeOLE V6.00.2600.0000

X-ME-Bayesian : 0,000000

Ahora, al examinar el primer salto en el enrutamiento de correo electrónico, se revela que el remitente estaba ubicado en la dirección IP 118.142.76.58 y su correo electrónico se transmitió a través del servidor de correo mail.lovingtour.com.

Recibido: del Usuario ([118.142.76.58])

por mail.lovingtour.com

; Lun, 5 de marzo de 2012 21:38:11 +0800

Al buscar la información de IP utilizando la utilidad IPNetInfo de Nirsoft, podemos ver que el remitente estaba ubicado en Hong Kong y el servidor de correo está ubicado en China.

No hace falta decir que esto es un poco sospechoso.

El resto de los saltos de correo electrónico no son realmente relevantes en este caso, ya que muestran que el correo electrónico rebota en el tráfico legítimo del servidor antes de finalmente ser entregado.

Examen de un correo electrónico de phishing: ejemplo 2

Para este ejemplo, nuestro correo electrónico de phishing es mucho más convincente. Hay algunos indicadores visuales aquí si miras lo suficiente, pero nuevamente para los propósitos de este artículo, limitaremos nuestra investigación a los encabezados de correo electrónico.

Entregado a: myemail@gmail.com

Recibido: antes del 10.60.14.3 con ID de SMTP l3csp15619oec;

Mar, 6 de marzo de 2012 04:27:20 -0800 (PST)

Recibido: antes del 10.236.170.165 con ID de SMTP p25mr8672800yhl.123.1331036839870;

Mar, 06 de marzo de 2012 04:27:19 -0800 (PST)

Ruta de retorno: <security@intuit.com>

Recibido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX] )

de mx.google.com con la identificación de ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;

Mar, 06 de marzo de 2012 04:27:19 -0800 (PST)

Received-SPF: fail (google.com: el dominio de security@intuit.com no designa a XXX.XXX.XXX.XXX como remitente permitido) client-ip = XXX.XXX.XXX.XXX;

Resultados de autenticación: mx.google.com; spf = hardfail (google.com: el dominio de security@intuit.com no designa a XXX.XXX.XXX.XXX como remitente permitido) smtp.mail=security@intuit.com

Recibido: con MailEnable Postoffice Connector; Mar, 6 de marzo de 2012 07:27:13 -0500

Recibido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com con MailEnable ESMTP; Mar, 6 de marzo de 2012 07:27:08 -0500

Recibido: de apache por intuit.com con local (Exim 4.67)

(sobre de <security@intuit.com>)

id GJMV8N-8BERQW-93

para <jason @ myemail. com>; Mar, 6 de marzo de 2012 19:27:05 +0700

Para: <jason@myemail.com>

Asunto: Su factura de Intuit.com.

X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212

De: «INTUIT INC.» <security@intuit.com>

X-Sender: «INTUIT INC.» <security@intuit.com>

X-Mailer: PHP

X-Priority: 1

MIME-Versión: 1.0

Tipo de contenido: multiparte / alternativo;

boundary = ”———— 03060500702080404010506 ″ ID de

mensaje: <JXON1H-5GTPKV-0H@intuit.com>

Fecha: martes , 6 de marzo de 2012 19:27:05 +0700

X-ME-Bayesian: 0.000000

En este ejemplo, no se utilizó una aplicación de cliente de correo, sino un script PHP con la dirección IP de origen 118.68.152.212.

Para: <jason@myemail.com>

Asunto: Su factura de Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: «INTUIT INC.» <security@intuit.com>

X-Sender: «INTUIT INC.» <security@intuit.com>

X-Mailer: PHP

X-Priority: 1

MIME-Versión: 1.0

Tipo de contenido: multiparte / alternativo;

boundary = ”———— 03060500702080404010506 ″ ID de

mensaje: <JXON1H-5GTPKV-0H@intuit.com>

Fecha: martes , 6 de marzo de 2012 19:27:05 +0700

X-ME-Bayesian: 0.000000

Sin embargo, cuando observamos el primer salto de correo electrónico, parece legítimo, ya que el nombre de dominio del servidor de envío coincide con la dirección de correo electrónico. Sin embargo, tenga cuidado con esto, ya que un spammer podría fácilmente nombrar su servidor «intuit.com».

Recibido: de apache por intuit.com con local (Exim 4.67)

(sobre-de <security@intuit.com>)

id GJMV8N-8BERQW-93

para <jason@myemail.com>; Mar, 6 de marzo de 2012 19:27:05 +0700

Examinar el siguiente paso desmorona este castillo de naipes. Puede ver que el segundo salto (donde lo recibe un servidor de correo electrónico legítimo) resuelve el servidor de envío en el dominio «dynamic-pool-xxx.hcm.fpt.vn», no en «intuit.com» con la misma dirección IP indicado en el script PHP.

Recibido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com con MailEnable ESMTP; Mar, 6 de marzo de 2012 07:27:08 -0500

Ver la información de la dirección IP confirma la sospecha, ya que la ubicación del servidor de correo se resuelve en Vietnam.

Si bien este ejemplo es un poco más inteligente, puede ver qué tan rápido se revela el fraude con solo un poco de investigación.

Conclusión

Si bien ver los encabezados de correo electrónico probablemente no sea parte de sus necesidades diarias típicas, hay casos en los que la información contenida en ellos puede ser bastante valiosa. Como mostramos anteriormente, puede identificar fácilmente a los remitentes que se hacen pasar por algo que no son. Para una estafa muy bien ejecutada donde las señales visuales son convincentes, es extremadamente difícil (si no imposible) hacerse pasar por servidores de correo reales y revisar la información dentro de los encabezados de correo electrónico puede revelar rápidamente cualquier artimaña.

Enlaces

Descarga IPNetInfo de Nirsoft

responroot

Entradas recientes

Steamlytics: La nueva herramienta imprescindible para los gamers de Steam

  El mundo del gaming ha experimentado un crecimiento exponencial en los últimos años. La…

1 año hace

Cuándo reemplazar su antigua unidad flash USB

Stokkete/Shutterstock.com ¿Sigue utilizando una unidad flash USB obsoleta para almacenar sus archivos? ¿Por qué no…

3 años hace

¿Qué es una pantalla Nano IPS?

LG Los fabricantes siempre intentan mejorar el rendimiento de imagen de los monitores. Como resultado,…

3 años hace

10 formas de jugar con un presupuesto bajo (o nulo)

Patty Chan/Shutterstock.com Si cree en lo que ve en las redes sociales, puede pensar en…

3 años hace

¿Demasiadas suscripciones? Aquí está cómo empezar a cortarlos

Seksan.TH/Shutterstock.com Los servicios de suscripción como Netflix, Game Pass y Spotify nos permiten consumir tantas…

3 años hace

Cómo configurar la puerta de enlace predeterminada en Linux

fatmawati achmad zaenuri/Shutterstock El acceso a Internet, oa cualquier otra red, se rige por la…

3 años hace