Página principal » cómo » ¿Cómo puedo saber de dónde vino realmente un correo electrónico?

    ¿Cómo puedo saber de dónde vino realmente un correo electrónico?

    El hecho de que aparezca un correo electrónico en su bandeja de entrada con la etiqueta [email protected], no significa que Bill haya tenido nada que ver con eso. Siga leyendo a medida que exploramos cómo investigar y ver de dónde proviene un correo electrónico sospechoso.

    La sesión de Preguntas y Respuestas de hoy nos llega por cortesía de SuperUser, una subdivisión de Stack Exchange, una agrupación impulsada por la comunidad de sitios web de preguntas y respuestas.

    La pregunta

    El lector SuperUser Sirwan quiere saber cómo averiguar de dónde provienen realmente los correos electrónicos:

    ¿Cómo puedo saber de dónde viene realmente un correo electrónico??
    ¿Hay alguna manera de averiguarlo??
    He oído hablar de los encabezados de correo electrónico, pero no sé dónde puedo ver los encabezados de correo electrónico, por ejemplo, en Gmail..

    Echemos un vistazo a estos encabezados de correo electrónico.

    Las respuestas

    Tomas, colaborador de SuperUser, ofrece una respuesta muy detallada y perspicaz:

    Vea un ejemplo de estafa que me han enviado, simulando que es de mi amiga, que afirma que le han robado y que me pide ayuda financiera. He cambiado los nombres, supongo que soy Bill, el estafador ha enviado un correo electrónico a [email protected], fingiendo que es [email protected]. Tenga en cuenta que Bill ha enviado a [email protected].

    Primero, en Gmail, usa mostrar original:

    Luego, se abrirá el correo electrónico completo y sus encabezados:

    Entregado a: [email protected] Recibido: por 10.64.21.33 con el ID de SMTP s1csp177937iee; Lunes, 8 de julio de 2013 04:11:00 -0700 (PDT) X-Received: antes del 10.14.47.73 con el ID de SMTP s49mr24756966eeb.71.1373281860071; Lunes, 08 de julio de 2013 04:11:00 -0700 (PDT) Ruta de retorno: Recibido: de maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) por mx.google.com con ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 para (versión = cifrado TLSv1 = RC4-SHA bits = 128/128); Lunes, 08 de julio de 2013 04:11:00 -0700 (PDT) Recibido-SPF: neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 no está permitido ni denegado por el registro de mejor conjetura para dominio de [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Resultados de la autenticación: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 no está permitido ni denegado por el mejor registro de conjetura para el dominio [email protected] ) [email protected] Recibido: por maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Lunes, 8 de julio de 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: retrasado 00:06:34 por SQLgrey-1.8.0-rc1 Recibido: de elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) por maxipes.logix.cz (Postfix) con ID de ESMTP B43175D3A44 para; Lunes, 8 de julio de 2013 23:10:48 +1200 (NZST) Recibido: de [168.62.170.129] (helo = laurence39) por elasmtp-curtail.atl.sa.earthlink.net con esmtpa (Exim 4.67) (sobre-desde ) id 1Uw98w-0006KI-6y para [email protected]; Lunes, 08 de julio de 2013 06:58:06 -0400 De: "Alice" Asunto: Asunto terrible sobre el viaje ... Por favor, responda lo antes posible: [email protected] Content-Type: multipart / alternative; boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Fecha: Lun 8 Jul 2 013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… He cortado el cuerpo del correo electrónico ...] 

    Los encabezados deben leerse cronológicamente de abajo hacia arriba; los más antiguos están en la parte inferior. Cada nuevo servidor en camino agregará su propio mensaje, comenzando con Recibido. Por ejemplo:

    Recibido: de maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) por mx.google.com con la identificación de ESMTPS j47si6975462eeg.108.2013.07.08.04.10. 59 para (versión = cifrado TLSv1 = RC4-SHA bits = 128/128); Lunes, 08 de julio de 2013 04:11:00 -0700 (PDT) 

    Esto dice que mx.google.com ha recibido el correo de maxipes.logix.cz a Lunes, 08 de julio de 2013 04:11:00 -0700 (PDT).

    Ahora, para encontrar el real remitente de su correo electrónico, su objetivo es encontrar la última puerta de enlace confiable, la última cuando lea los encabezados desde arriba, es decir, primero en el orden cronológico. Empecemos por encontrar el servidor de correo de Bill. Para esto, usted consulta el registro MX para el dominio. Puede usar algunas herramientas en línea o en Linux puede consultarlas en la línea de comandos (tenga en cuenta que el nombre de dominio real se cambió a dominio.com):

    ~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

    Así que ya ves el servidor de correo para domain.com es maxipes.logix.cz o broucek.logix.cz. Por lo tanto, el último "salto" (el primer registro cronológico) de confianza, o el último "Registro recibido" de confianza, o como se llame, es este:

    Recibido: de elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) por maxipes.logix.cz (Postfix) con la identificación ESMTP B43175D3A44 para; Lun, 8 de julio de 2013, 23:10:48 +1200 (NZST) 

    Puede confiar en esto porque esto fue grabado por el servidor de correo de Bill para dominio.com. Este servidor lo obtuvo de 209.86.89.64. Esto podría ser, y muy a menudo es, el verdadero remitente del correo electrónico, en este caso el estafador. Puede comprobar esta IP en una lista negra. - Mira, él está listado en 3 listas negras! Hay otro registro más abajo:

    Recibido: de [168.62.170.129] (helo = laurence39) por elasmtp-curtail.atl.sa.earthlink.net con esmtpa (Exim 4.67) (sobre-desde) id 1Uw98w-0006KI-6y para [email protected]; Lun, 08 jul 2013 06:58:06 -0400 

    pero en realidad no puedes confiar en esto, porque el estafador podría agregarlo para borrar sus huellas y / o poner un rastro falso. Por supuesto, todavía existe la posibilidad de que el servidor 209.86.89.64 es inocente y solo actuó como un relevo para el verdadero atacante en 168.62.170.129, pero luego el relevo a menudo se considera culpable y muy a menudo se encuentra en la lista negra. En este caso, 168.62.170.129 está limpio, por lo que podemos estar casi seguros de que el ataque se realizó desde 209.86.89.64.

    Y claro, como sabemos que Alice usa Yahoo! y elasmtp-curtail.atl.sa.earthlink.netno está en el Yahoo! (es posible que desee volver a verificar la información de su Whois IP), podemos concluir de manera segura que este correo electrónico no fue de Alice y que no debemos enviarle dinero a sus vacaciones reclamadas en Filipinas.

    Otros dos colaboradores, Ex Umbris y Vijay, recomendaron, respectivamente, los siguientes servicios para ayudar a decodificar los encabezados de correo electrónico: SpamCop y la herramienta de análisis de encabezado de Google..


    ¿Tienes algo que agregar a la explicación? Apague el sonido en los comentarios. ¿Quieres leer más respuestas de otros usuarios de Stack Exchange con experiencia en tecnología? Echa un vistazo a la discusión completa aquí.