Cada vez que recibe un correo electrónico, hay mucho más de lo que parece. Aunque normalmente solo presta atención a la dirección, el asunto y el cuerpo del mensaje, hay mucha más información disponible "debajo del capó" de cada correo electrónico que puede proporcionarle una gran cantidad de información adicional.
Esta es una muy buena pregunta. En su mayor parte, realmente no necesitaría a menos que:
Independientemente de sus motivos, leer los encabezados de los correos electrónicos es bastante fácil y puede ser muy revelador.
Nota del artículo: Para nuestras capturas de pantalla y datos, usaremos Gmail, pero prácticamente cualquier otro cliente de correo debería proporcionar esta misma información. .
En Gmail, vea el correo electrónico. Para este ejemplo, usaremos el siguiente correo electrónico.
Luego haga clic en la flecha en la esquina superior derecha y seleccione Mostrar original.
La ventana resultante tendrá los datos del encabezado del correo electrónico en texto plano.
Nota: En todos los datos del encabezado del correo electrónico que muestro a continuación He cambiado mi dirección de Gmail para que se muestre como [email protected] y mi dirección de correo electrónico externa como [email protected] y [email protected] y enmascaré la dirección IP de mis servidores de correo electrónico.
Entregado: [email protected]
Recibido: por 10.60.14.3 con ID de SMTP l3csp18666oec;
Mar, 6 Mar 2012 08:30:51 -0800 (PST)
Recibido: por 10.68.125.129 con id. SMTP mq1mr1963003pbb.21.1331051451044;
mar, 06 mar. 2012 08:30:51 -0800 (PST)
Return-Path:
Recibido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google.com con SMTP id l7si25161491pbd.80.2012.03.06.08.30. 49;
mar, 06 de marzo de 2012 08:30:50 -0800 (PST)
Recibido-SPF: neutral (google.com: 64.18.2.16 es no permitido ni negado por el mejor registro de adivinación para el dominio de [email protected]) client-ip = 64.18.2.16;
Autenticación-Resultados: mx.google.com; spf = neutral (google.com: 64.18.2.16 no está permitido ni denegado por el mejor registro de conjetura para el dominio de [email protected]) [email protected]
Recibido: de mail.externalemail.com ( [XXX.XXX.XXX.XXX]) (usando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) con SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Mar, 06 Mar 2012 08:30:50 PST
Recibido: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) por
MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) con mapi; Mar, 6 de Mar
2012 11:30:48 -0500
De: Jason Faulkner
Para: "[email protected]"
Fecha: mar, 6 de marzo de 2012 11:30:48 - 0500
Asunto: Este es un correo legítimo
Tema del Tema: Este es un correo legítimo
Índice de Hilo: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
ID del Mensaje: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Aceptar -Language: en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Contenido -Tipo: multiparte / alternativa;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
Versión MIME: 1.0
Cuando lee un encabezado de correo electrónico, los datos están en orden cronológico inverso, lo que significa que la información en la parte superior es la más evento reciente. Por lo tanto, si desea rastrear el correo electrónico del remitente al destinatario, comience por la parte inferior. Al examinar los encabezados de este correo electrónico, podemos ver varias cosas.
Aquí vemos información generada por el cliente remitente. En este caso, el correo electrónico se envió desde Outlook, por lo que este es el metadato que Outlook agrega.
De: Jason Faulkner
Para: "[email protected]"
Fecha: mar, 6 de marzo de 2012 11:30 : 48 -0500
Asunto: este es un correo legítimo
Tema del hilo conductor: este es un correo legítimo
Índice de hilos: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Mensaje-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Aceptar idioma: en-US
Idioma del contenido: en-US
X-MS-Has-Adjuntar:
X-MS-TNEF-Correlacionador:
acceptlanguage: en-US
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh _"
Versión MIME: 1.0
La siguiente parte rastrea la ruta que toma el correo electrónico desde el servidor que envía al servidor de destino. Tenga en cuenta que estos pasos (o saltos) se enumeran en orden cronológico inverso. Hemos colocado el número respectivo al lado de cada salto para ilustrar el orden. Tenga en cuenta que cada salto muestra detalles sobre la dirección IP y el nombre DNS inverso correspondiente.
Entregado: [email protected]
[6] Recibido: por 10.60.14.3 con ID de SMTP l3csp18666oec;
Mar, 6 mar. 2012 08:30:51 -0800 (PST)
[5] Recibido: por 10.68.125.129 con id. SMTP mq1mr1963003pbb.21.1331051451044;
mar, 06 mar. 2012 08:30: 51 -0800 (PST)
Return-Path:
[4] Recibido: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
por mx.google .com con ID de SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
mar, 06 de marzo de 2012 08:30:50 -0800 (PST)
[3] SPF recibida: neutral (google. com: 64.18.2.16 no está permitido ni denegado por el mejor registro de estimación para el dominio de [email protected]) client-ip = 64.18.2.16;
Autenticación-Resultados: mx.google.com; spf = neutral (google.com: 64.18.2.16 no está permitido ni denegado por el mejor registro de conjetura para el dominio de [email protected]) [email protected]
[2] Recibido: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (utilizando TLSv1) por exprod7ob119.postini.com ([64.18.6.12]) con SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected] ; Mar, 06 Mar 2012 08:30:50 PST
[1] Recibido: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) por
MYSERVER.myserver. local ([fe80 :: a805: c335: 8c71: cdb3% 11]) con mapi; Mar, 6 de Mar
2012 11:30:48 -0500
Si bien esto es bastante mundano para un correo electrónico legítimo, esta información puede ser muy reveladora cuando se trata de examinar correos electrónicos no deseados o de phishing.
Para nuestro primer ejemplo de phishing, examinaremos un correo electrónico que es un evidente intento de phishing. En este caso, podríamos identificar este mensaje como un fraude simplemente por los indicadores visuales, pero para la práctica veremos las señales de advertencia dentro de los encabezados.
Entregado: [email protected]
Recibido: por 10.60.14.3 con SMTP id l3csp12958oec;
lun, 5 de marzo de 2012 23:11:29 -0800 (PST)
Recibido: por 10.236.46.164 con id. SMTP r24mr7411623yhb.101.1331017888982;
lun, 05 mar 2012 23:11:28 -0800 (PST)
Return-Path:
Recibido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx .google.com con ESMTP id t19si8451178ani.110.2012.03.05.23.11.28;
Lun. 05 Mar 2012 23:11:28 -0800 (PST)
Received-SPF: fail (google.com: dominio de [email protected] no designa a XXX.XXX.XXX.XXX como remitente permitido) client-ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com; spf = hardfail (google.com: dominio de [email protected] no designa XXX.XXX.XXX.XXX como remitente permitido) [email protected]
Recibido: con MailEnable Postoffice Connector; Mar, 6 Mar 2012 02:11:20 -0500
Recibido: de mail.lovingtour.com ([211.166.9.218]) por ms.externalemail.com con MailEnable ESMTP; Mar, 6 Mar 2012 02:11:10 -0500
Recibido: del usuario ([118.142.76.58])
por mail.lovingtour.com
; Lun, 5 Mar 2012 21:38:11 +0800
ID del Mensaje: <[email protected]>
Respuesta-A:
De: "[email protected]"
Asunto: Aviso
Fecha: Mon , 5 de marzo de 2012 21:20:57 +0800
Versión MIME: 1.0
Content-Type: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Producido por Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
La primera señal de alerta se encuentra en el área de información del cliente. Observe que los metadatos añadidos hacen referencia a Outlook Express. Es poco probable que Visa esté tan retrasada en el momento en que alguien envía correos electrónicos manualmente con un cliente de correo electrónico de 12 años.
Respuesta-A:
De: "[email protected]"
Asunto: Aviso
Fecha: lun, 5 de mar de 2012 21:20:57 +0800
Versión MIME: 1.0
Content-Type: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00 .2600.0000 X-MimeOLE: Producido por Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Ahora al examinar el primer salto en el enrutamiento de correo electrónico, se revela que el remitente se encontraba en la dirección IP 118.142 .76.58 y su correo electrónico fue transmitido a través del servidor de correo mail.lovingtour.com.
Recibido: del usuario ([118.142.76.58])
por mail.lovingtour.com
; lun, 5 de mar de 2012 21 : 38: 11 +0800
Al buscar la información de IP utilizando la utilidad IPNetInfo de Nirsoft, podemos ver que el remitente se encuentra en Hong Kong y que el servidor de correo se encuentra en China.
Huelga decir que esto es un poco sospechoso.
El resto de los saltos de correo electrónico no son realmente relevantes en este caso ya que son cómo rebota el correo electrónico en torno al tráfico legítimo del servidor antes de que finalmente se entregue.
Para este ejemplo, nuestro correo electrónico de phishing es mucho más convincente. Aquí hay algunos indicadores visuales si nos fijamos lo suficiente, pero de nuevo a los fines de este artículo vamos a limitar nuestra investigación a los encabezados de correo electrónico.
Entregado: [email protected]
Recibido: por 10.60.14.3 con SMTP id l3csp15619oec;
mar, 6 de marzo de 2012 04:27:20 -0800 (PST)
Recibido: por 10.236.170.165 con ID de SMTP p25mr8672800yhl.123.1331036839870;
mar, 06 de marzo de 2012 04:27:19 -0800 (PST)
Return-Path:
Recibido: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
por mx .google.com con id. de ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
mar, 06 de marzo de 2012 04:27:19 -0800 (PST)
SPF recibido: error (google.com: dominio de [email protected] no designa a XXX.XXX.XXX.XXX como remitente permitido) client-ip = XXX.XXX.XXX.XXX;
Authentication-Results: mx.google.com; spf = hardfail (google.com: dominio de [email protected] no designa XXX.XXX.XXX.XXX como remitente permitido) [email protected]
Recibido: con MailEnable Postoffice Connector; Mar, 6 de marzo de 2012 07:27:13 -0500
Recibido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com con MailEnable ESMTP; Mar, 6 Mar 2012 07:27:08 -0500
Recibido: de apache por intuit.com con local (Exim 4.67)
(sobre-de
id GJMV8N-8BERQW-93
para
Hasta:
Asunto: Su factura Intuit.com.
X-PHP-Script: intuit.com/sendmail.php para 118.68.152.212
De: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Priority: 1
Versión MIME: 1.0
Content-Type : multipart / alternativa;
boundary = "- 03060500702080404010506"
Message-Id:
Fecha: mar, 6 de marzo de 2012 19:27:05 +0700
X-ME-Bayesian: 0.000000
En este ejemplo, no se utilizó una aplicación de cliente de correo, sino un script PHP con la dirección IP de origen 118.68.152.212.
Hasta:
Asunto: Su factura de Intuit.com.
X-PHP- Script: intuit.com/sendmail.php para 118.68.152.212 De: "INTUIT INC."
X-Sender: "INTUIT INC."
X-Mailer: PHP
X-Priority: 1
Versión MIME: 1.0
Content-Type: multipart / alternative;
boundary = "- 03060500702080404010506"
Message-Id:
Fecha: mar, 6 de marzo de 2012 19:27: 05 +0700
X-ME-Bayesian: 0.000000
Sin embargo, cuando nos fijamos en el primer salto de correo electrónico aparece ars es legítimo ya que el nombre de dominio del servidor que envía coincide con la dirección de correo electrónico. Sin embargo, tenga cuidado con esto, ya que un spammer podría nombrar fácilmente su servidor "intuit.com".
Recibido: desde apache por intuit.com con local (Exim 4.67)
(sobre-de)
id GJMV8N-8BERQW-93
para; Mar, 6 Mar 2012 19:27:05 +0700
Examinar el siguiente paso desmorona este castillo de naipes. Puede ver el segundo salto (donde lo recibe un servidor de correo electrónico legítimo) resuelve el servidor de envío de nuevo al dominio "dynamic-pool-xxx.hcm.fpt.vn", no a "intuit.com" con la misma dirección IP indicado en el script PHP.
Recibido: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) por ms.externalemail.com con MailEnable ESMTP; Mar, 6 Mar 2012 07:27:08 -0500
Ver la información de la dirección IP confirma la sospecha ya que la ubicación del servidor de correo se resuelve en Vietnam.
Si bien este ejemplo es un poco más inteligente, puede ver cómo rápidamente, el fraude se revela con solo un poco de investigación.
Si bien ver los encabezados de los correos electrónicos probablemente no forma parte de sus necesidades cotidianas típicas, hay casos en que la información contenida en ellos puede ser bastante valioso. Como mostramos anteriormente, puede identificar fácilmente a los remitentes disfrazados como algo que no son. Para una estafa muy bien ejecutada donde las pistas visuales son convincentes, es extremadamente difícil (si no imposible) suplantar a los servidores de correo reales y revisar la información dentro de los encabezados de correo electrónico puede revelar rápidamente cualquier trapacería.
Descargar IPNetInfo de Nirsoft
Cómo instalar Windows 3.1 en DOSBox, configurar controladores y jugar juegos de 16 bits
Instalar Windows 3.1 en DOSBox para ejecutar juegos antiguos de Windows de 16 bits en versiones de 64 bits de Windows , Mac OS X, Linux y en cualquier otro lugar donde se ejecute DOSBox. Esto es particularmente útil ya que solo las versiones de 32 bits de Windows pueden ejecutar esas aplicaciones de 16 bits.
Cómo encontrar y eliminar archivos duplicados en cualquier sistema operativo
Busque un buscador de archivos duplicados y se encontrará bombardeado con instaladores llenos de basura y aplicaciones pagas. Hemos creado listas de los mejores buscadores de archivos duplicados para que pueda ahorrar algo de tiempo. Las aplicaciones aquí cubren Windows, Mac OS X, Linux e incluso Android.