¿Quien me manda este Correo?

CONTENIDOS

  1. Introducción
  2. ¿Que son la cabeceras?
  3. Leer cabeceras
  4. Recursos

1.- INTRODUCCION

Cuando recibimos un email en nuestro buzón lo identificamos mediante los campos from, subject y date (o De: Asunto y Recibido, en castellano). Sin embargo esta información no es fiable ya que cualquiera de esos datos es facilmente falsificable.

Los spamers trucan los email que envian, intentando que aparezca un remitente ficticio (para evitar acciones legales, para evitar los filtros de los programas de correo, para confundir al destinatario). Ademas del spam, muchos virus tienen la capacidad de reenviarse desde una máquina infectada falsificando los datos del remitente.

2.- ¿QUE SON LAS CABECERAS?

Son lineas de texto insertadas automaticamente por el programa que envia el correo y por cada uno de los servidores de correo por los que va pasando hasta llegar a tu buzón. Si no han sido manipuladas, son simplemente una lista de los ordenadores por los que el mensaje ha pasado hasta llegar a ti.

En el siguiente ejemplo vemos como Alice envía un correo electrónico a Bob. El correo sale enviado a través del servidor SMTP(1) y vemos como viaja hasta el servidor de correo de Bob (4).

  • MUA: Mail User Agent (MUA) o Un cliente de correo electrónico.
  • Simple Mail Transfer Protocol (SMTP) Protocolo Simple de Transferencia de Correo.
  • Post Office Protocol (POP3, Protocolo de la oficina de correo) permite obtener los mensajes de correo electrónico almacenados en un servidor remoto

Las cabeceras de los mensajes de correo electrónico determinan el destinatario del mensaje y registran la ruta específica que sigue el mensaje a medida que atraviesa cada servidor de correo.

Para obtener más datos sobre el correo, como el lugar desde el que se envió o el programa utilizado para componerlo. Esta información no es directamente visible, sino que se halla en los encabezados (o cabeceras) de los mensajes (en una serie de campos que siguen la especificación RFC 5322.).

Todo correo electrónico se compone de dos partes, un cuerpo y los encabezados. Estos últimos, como el nombre indica, se hallan al principio del mensaje, pero la gran mayoría de sus campos son ignorados por los programas de correo electrónico, quienes se limitan a mostrar los más relevantes, como el autor o la fecha. Cada cliente tiene una forma ligeramente distinta de acceder a los encabezados.

3.- LEER CABECERAS

Hay una gran variedad de clientes de correo web, pero no todos permiten extraer el encabezado de un correo. En GMail, abre un mensaje y, en el botón de la derecha, escoge Mostrar original.

Encabezados en GMail

En Hotmail el proceso es similar. Haz clic derecho sobre un mensaje y selecciona la última opción, Ver código fuente del mensaje. Se abrirá como texto sin formato.

Encabezados en Hotmail

Ahora que tienes los encabezados es el momento de analizarlos. Veamos un ejemplo típico:

Este es un correo electrónico recibido en nuestra cuenta de correo .

——————————————————————————————-

Delivered-To: bilbozahargorri@gmail.com
Received: by 10.223.102.144 with SMTP id g16cs149958fao;
        Thu, 11 Nov 2010 06:50:26 -0800 (PST)
Received: by 10.143.45.20 with SMTP id x20mr508209wfj.385.1289487025723;
        Thu, 11 Nov 2010 06:50:25 -0800 (PST)
Return-Path: <naix@hotmail.com>
Received: from blu0-omc4-s6.blu0.hotmail.com (blu0-omc4-s6.blu0.hotmail.com [65.55.111.145])
        by mx.google.com with ESMTP id k14si2392843vcz.30.2010.11.11.06.50.25;
        Thu, 11 Nov 2010 06:50:25 -0800 (PST)
Received-SPF: pass (google.com: domain of naix@hotmail.com designates 65.55.111.145 as permitted sender) client-ip=65.55.111.145;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of naix@hotmail.com designates 65.55.111.145 as permitted sender) smtp.mail=naix@hotmail.com
Received: from BLU141-W21 ([65.55.111.135]) by blu0-omc4-s6.blu0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4675);
	 Thu, 11 Nov 2010 06:50:24 -0800
Message-ID: <BLU141-W21A25F394BFE27D85FC29DD1320@phx.gbl>
Return-Path: naix@hotmail.com
Content-Type: multipart/alternative;
	boundary="_db81a772-c251-4cc1-ac29-675274578018_"
X-Originating-IP: [217.15.37.209]
From: popu lin <naix@hotmail.com>
To: <bilbozahargorri@gmail.com>
Subject: test
Date: Thu, 11 Nov 2010 14:50:24 +0000
Importance: Normal
MIME-Version: 1.0
X-OriginalArrivalTime: 11 Nov 2010 14:50:24.0563 (UTC) FILETIME=[C5A8E030:01CB81AF]

--_db81a772-c251-4cc1-ac29-675274578018_
Content-Type: text/plain; charset="Windows-1252"
Content-Transfer-Encoding: quoted-printable

——————————————————————————————-

La parte inicial muestra una serie de campos acerca del buzón que recibió el correo (bilbozahargorri@gmail.com), la fecha y hora del servidor y la dirección de éste:

Delivered-To: bilbozahargorri@gmail.com
Received: by 10.223.102.144 with SMTP id g16cs149958fao;
        Thu, 11 Nov 2010 06:50:26 -0800 (PST)
Received: by 10.143.45.20 with SMTP id x20mr508209wfj.385.1289487025723;
        Thu, 11 Nov 2010 06:50:25 -0800 (PST)

El primer campo que debemos comprobar para saber si alguien esta suplantando la dirección de algun conocido es el campo From: popu lin <naix@hotmail.com>, Seguramente si es un correo electrónico intentando suplantar una dirección de alguien conocido el campo From: naix@hotmail.com no coincidira con la dirección habitual de nuestro contacto (Por ejemplo: naix@hotmail.com).

En el campo X-Mailer (No Siempre se muestra), vemos que el correo se remitió usando un cliente de correo electrónico como OutLook, Mozilla Thunderbird, Lotus Notes, etc…

Lo más interesante empieza en Received: from, donde se ve la dirección IP desde la cual el correo salió enviado (65.55.111.145).  Aparecen dos direcciones que podemos investigar de varias maneras. La primera de ellas consiste en hacer un WHOIS de la IP usando páginas como RIPE (http://www.ripe.net/) o ARIN.

  • En http://www.ripe.net/ insertamos en el campo RIPE Database Search la dirección IP 65.55.111.145

El resultado es un informe de texto con datos de identificación, como el proveedor de servicios que tiene asignada la IP:

——————————————————————————————-

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/db/support/db-terms-conditions.pdf

% Note: This output has been filtered.
%       To receive output for a database update, use the "-B" flag.

% Information related to '0.0.0.0 - 255.255.255.255'

inetnum:         0.0.0.0 - 255.255.255.255
netname:         IANA-BLK
descr:           The whole IPv4 address space
country:         EU # Country is really world wide
org:             ORG-IANA1-RIPE
admin-c:         IANA1-RIPE
tech-c:          IANA1-RIPE
status:          ALLOCATED UNSPECIFIED
remarks:         The country is really worldwide.
remarks:         This address space is assigned at various other places in
remarks:         the world and might therefore not be in the RIPE database.
mnt-by:          RIPE-NCC-HM-MNT
mnt-lower:       RIPE-NCC-HM-MNT
mnt-routes:      RIPE-NCC-RPSL-MNT
source:          RIPE # Filtered

organisation:    ORG-IANA1-RIPE
org-name:        Internet Assigned Numbers Authority
org-type:        IANA
address:         see http://www.iana.org
remarks:         The IANA allocates IP addresses and AS number blocks to RIRs
remarks:         see http://www.iana.org/ipaddress/ip-addresses.htm
remarks:         and http://www.iana.org/assignments/as-numbers
e-mail:          bitbucket@ripe.net
admin-c:         IANA1-RIPE
tech-c:          IANA1-RIPE
mnt-ref:         RIPE-NCC-HM-MNT
mnt-by:          RIPE-NCC-HM-MNT
source:          RIPE # Filtered

role:            Internet Assigned Numbers Authority
address:         see http://www.iana.org.
e-mail:          bitbucket@ripe.net
admin-c:         IANA1-RIPE
tech-c:          IANA1-RIPE
nic-hdl:         IANA1-RIPE
remarks:         For more information on IANA services
remarks:         go to IANA web site at http://www.iana.org.
mnt-by:          RIPE-NCC-MNT
source:          RIPE # Filtered

——————————————————————————————-

Esta información puede ser muy útil. Nos dice a qué compañía pertenece la dirección IP y, más abajo, proporciona una dirección de correo electrónico para comunicar posibles abusos. Ten en cuenta que la entidad que aparece no es la responsable directa del envío del correo, y posiblemente ni siquiera sepan de qué les estás hablando si les pides información.

Otro recurso valioso es el servicio IP Locator de GeoBytes, una página que estima la posición geográfica de la dirección IP a partir de su base de datos. Introduce la dirección From en el campo de texto y pulsa Submit. El resultado suele ser bastante preciso:

 

 

4.- RECURSOS



Utzi erantzun bat

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Aldatu )

Twitter picture

You are commenting using your Twitter account. Log Out / Aldatu )

Facebook photo

You are commenting using your Facebook account. Log Out / Aldatu )

Google+ photo

You are commenting using your Google+ account. Log Out / Aldatu )

Connecting to %s