El hecho de que aparezca un correo electrónico en su bandeja de entrada titulado Bill.Smith@somehost.com no significa que Bill haya tenido algo que ver con eso. Siga leyendo mientras exploramos cómo investigar y ver de dónde proviene realmente un correo electrónico sospechoso.
SuperUser, una subdivisión de Stack Exchange, una agrupación comunitaria de sitios web de preguntas y respuestas, nos ofrece las preguntas y respuestas de hoy.
La cuestión
El lector de superusuario Sirwan quiere saber de dónde provienen realmente los correos electrónicos:
¿Cómo sé de dónde viene realmente un correo electrónico?
¿Hay una manera de averiguarlo?
He oído hablar de los encabezados de correo electrónico, pero no estoy seguro de dónde puedo ver los encabezados de correo electrónico, por ejemplo, en Gmail.
Echemos un vistazo a estos encabezados de correo electrónico.
Las respuestas
El colaborador de superusuario Tomas ofrece una respuesta muy detallada y perspicaz:
Vea un ejemplo de una estafa que me enviaron, alegando que es mi amiga, alegando que fue robada y pidiéndome ayuda financiera. Cambié los nombres, supongamos que soy Bill, el estafador envió un correo electrónico bill@domain.com
, fingiendo que es alice@yahoo.com
. Tenga en cuenta que Bill envió a bill@gmail.com
.
Primero, en Gmail, use show original
:
Entonces se abrirán el correo electrónico completo y sus encabezados:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
Los títulos deben leerse cronológicamente de abajo hacia arriba; los más antiguos están al final. Cada nuevo servidor en ruta agregará su propio mensaje, comenzando con Received
. Por ejemplo:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Eso dijo que mx.google.com
recibió el correo de maxipes.logix.cz
Para Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
.
Maintenant, pour trouver le véritable expéditeur de votre e-mail, votre objectif est de trouver la dernière passerelle de confiance – en dernier lors de la lecture des en-têtes à partir du haut, c’est-à-dire en premier dans l ‘orden cronológico. Comencemos por encontrar el servidor de correo de Bill. Para ello, consulte el registro MX del dominio. Puedes usar algunos herramientas en línea, o en Linux, puede consultarlo en la línea de comando (tenga en cuenta que el nombre de dominio real se ha cambiado a domain.com
):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
Entonces ve que el servidor de correo para dominio.com es maxipes.logix.cz
Dónde broucek.logix.cz
. Por lo tanto, el último «salto» de confianza (el primero cronológicamente) – o el último «registro recibido» de confianza o como lo llames – es este:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Puede confiar en esto, ya que fue registrado por el servidor de correo de Bill para domain.com
. Este servidor lo obtuvo de 209.86.89.64
. Este podría ser, y muy a menudo es, el remitente real del correo electrónico, ¡en este caso el estafador! Usted puede comprobar esta IP en una lista negra. – ¡Verás, está incluido en 3 listas negras! Hay otra grabación más a continuación:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
pero realmente no puedes confiar en esto, ya que el estafador podría simplemente agregarlo para borrar sus pistas y / o crear una pista falsa. Por supuesto, siempre es posible que el servidor 209.86.89.64
es inocente y solo sirve como relevo para que el agresor real 168.62.170.129
, pero a menudo se considera que el relevo es culpable y muy a menudo se incluye en la lista negra. En este caso, 168.62.170.129
esta limpio por lo que podemos estar bastante seguros de que el ataque se realizó desde 209.86.89.64
.
Y, por supuesto, como sabemos, Alice usa Yahoo! y elasmtp-curtail.atl.sa.earthlink.net
no está en Yahoo! red (puedes vuelva a comprobar la información de su IP Whois), podemos concluir con seguridad que este correo electrónico no era de Alice y que no deberíamos enviarle dinero para sus vacaciones en Filipinas.
Otros dos colaboradores, Ex Umbris y Vijay, recomendaron, respectivamente, los siguientes servicios para ayudar a decodificar los encabezados de correo electrónico: SpamCop y Herramienta de análisis de encabezados de Google.
¿Tiene algo que agregar a la explicación? Habla en los comentarios. ¿Quiere leer más respuestas de otros usuarios expertos en tecnología de Stack Exchange? Consulte el hilo de discusión completo aquí..