¿Cómo puedo saber de dónde procede realmente un correo electrónico? ¿Hay alguna forma de averiguarlo?
He oído hablar de las cabeceras de los correos electrónicos, pero no sé dónde puedo ver las cabeceras de los correos, por ejemplo en Gmail. ¿Alguna ayuda?
A continuación se muestra un ejemplo de una estafa que me enviaron, fingiendo ser de mi amiga, alegando que le han robado y pidiéndome ayuda financiera. He cambiado los nombres: yo soy “Bill”, y el estafador ha enviado un correo electrónico a bill@domain.com, haciéndose pasar por alice@yahoo.com. Tenga en cuenta que Bill reenvía su correo electrónico a bill@gmail.com.
Primero, en Gmail, haz clic en show original:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
Se abrirá el correo electrónico completo y sus encabezados:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Las cabeceras deben leerse cronológicamente de abajo a arriba - las más antiguas están al final. Cada nuevo servidor en el camino añade su propio mensaje - empezando por Received. Por ejemplo:
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
Esto dice que mx.google.com ha recibido el correo de maxipes.logix.cz en Mon, 08 Jul 2013 04:11:00 -0700 (PDT).
Ahora, para encontrar el remitente real de su correo electrónico, debe encontrar la puerta de enlace de confianza más antigua, la última al leer las cabeceras desde arriba. Empecemos por encontrar el servidor de correo de Bill. Para ello, consulta el registro MX del dominio. Puedes utilizar herramientas en línea como Mx Toolbox , o en Linux puedes consultarlo en la línea de comandos (ten en cuenta que el nombre de dominio real fue cambiado a domain.com):
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Y verás que el servidor de correo para el dominio.com es maxipes.logix.cz o broucek.logix.cz. Por lo tanto, el último (el primero cronológicamente) “salto” de confianza - o el último “registro recibido” de confianza o como se llame - es éste:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Puedes confiar en esto porque fue registrado por el servidor de correo de Bill para domain.com. Este servidor lo obtuvo de 209.86.89.64. Este podría ser, y muy a menudo lo es, el verdadero remitente del correo electrónico - ¡en este caso el estafador! Puede comprobar esta IP en una lista negra . - Verás que aparece en 3 listas negras. Hay otro registro más abajo:
Pero tenga cuidado al confiar en que este es el verdadero origen del correo electrónico. La queja de la lista negra podría ser simplemente añadida por el estafador para borrar sus huellas y/o poner un rastro falso. Todavía existe la posibilidad de que el servidor 209.86.89.64 sea inocente y sólo un relé para el atacante real en 168.62.170.129. En este caso, 168.62.170.129 está limpio por lo que podemos estar casi seguros de que el ataque se hizo desde 209.86.89.64.
Otro punto a tener en cuenta es que Alice utiliza Yahoo! (alice@yahoo.com) y elasmtp-curtail.atl.sa.earthlink.net no está en la red de Yahoo! (es posible que quieras volver a comprobar la información Whois de su IP ). Por lo tanto, podemos concluir con seguridad que este correo electrónico no es de Alice, y no debemos enviar su dinero a Filipinas.
Para encontrar la dirección IP:
Haga clic en el triángulo invertido al lado de Respuesta. Seleccione Mostrar original.
Busque Received: from seguido de la dirección IP entre corchetes []. (ejemplo: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)
Si encuentra más de un Received: de patrones, seleccione el último.
Fuente )
Después, puede utilizar sitio de pythonclub , iplocation.net o búsqueda de ip para averiguar la ubicación.
La forma de acceder a las cabeceras varía según los clientes de correo electrónico. Muchos clientes le permitirán ver el formato original del mensaje fácilmente. Otros (MicroSoft Outlook) lo hacen más difícil.
Para determinar quién envió realmente el mensaje, la ruta de retorno es útil. Sin embargo, puede ser falsificada. Una dirección de retorno que no coincida con la dirección del remitente es motivo de sospecha. Hay razones legítimas para que sean diferentes, como los mensajes reenviados desde listas de correo, o los enlaces enviados desde sitios web. (Sería mejor que el sitio web utilizara la dirección Reply-to para identificar a la persona que reenvía el enlace).
Para determinar el origen del mensaje lea de arriba hacia abajo las cabeceras recibidas. Puede haber varias. La mayoría tendrá la dirección IP del servidor del que recibieron el mensaje. Algunos problemas que encontrará:
Siempre debería poder determinar qué servidor de Internet le envió el mensaje. Rastrear más atrás depende de la configuración de los servidores emisores.
Yo uso http://whatismyipaddress.com/trace-email . Si utilizas Gmail, haz clic en Mostrar original (en Más, al lado del botón Responder, copia los encabezados, pégalos en este sitio web y haz clic en Obtener fuente. Obtendrás a cambio la información de geolocalización y el mapa
También hay algunas herramientas para analizar las cabeceras de los correos electrónicos y extraer los datos de los mismos para usted, por ejemplo :
MSGTAG
PoliteMail
Super Email Marketing Software
Zendio