Anuncio
¿Alguna vez recibió un correo electrónico y realmente se preguntó de dónde vino? ¿Quien lo envió? ¿Cómo podrían haber sabido quién eres? Sorprendentemente, gran parte de esa información puede provenir del encabezado del correo electrónico, o mediante el uso de información del encabezado del correo electrónico para hacer un trabajo de detective.
El encabezado es una parte del mensaje de correo electrónico que la mayoría de la gente nunca ve. Contiene una gran cantidad de datos que parecen engullir al usuario promedio de la computadora, por lo que el uso del correo electrónico se convirtió en una herramienta diaria en la vida de todos, los clientes de correo electrónico comenzaron a ocultar esta información por conveniencia para ti. En estos días, incluso puede ser un poco problemático mostrar el encabezado, incluso para aquellos que saben que está allí. Hay tantos clientes de correo electrónico diferentes, tanto de escritorio como basados en la web, que cubrir cómo mostrar el encabezado del correo electrónico podría terminar siendo un libro pequeño. Hoy, nos centraremos en cómo mostrar el encabezado en Gmail y luego veremos qué podemos obtener del encabezado.
¿Qué es un encabezado de correo electrónico?
Un encabezado de correo electrónico es una recopilación de información que documenta la ruta por la cual le llegó el correo electrónico. Puede haber mucha información en el encabezado o solo lo básico. Existe un estándar para la información que debe incluirse en un encabezado, pero no es realmente un límite para la información que un servidor de correo electrónico puede incluir en el encabezado. Si tiene curiosidad acerca de cómo se ve un estándar para un protocolo de correo electrónico, consulte RFC 5321 - Protocolo simple de transferencia de correo. Es un poco duro para la cabeza, especialmente si no necesita saber estas cosas.
Gmail: mostrar el encabezado del correo electrónico
Una vez que tenga un mensaje de correo electrónico abierto en Gmail, haga clic en la flecha hacia abajo cerca de la esquina superior derecha del mensaje. Se mostrará un nuevo menú. Haga clic en Mostrar original para ver el mensaje de correo electrónico sin procesar con su contenido completo y el encabezado revelado.
Se abrirá una nueva ventana o pestaña y, por supuesto, verá una versión de texto sin formato de su correo electrónico con el encabezado en la parte superior. El contenido del encabezado se verá más o menos así:
Entregado a: [email protected]. Recibido: antes del 10.223.200.70 con ID de SMTP ev6csp162209fab; Lun, 29 de julio de 2013 14:15:09 -0700 (PDT) X-recibido: antes del 10.236.227.202 con la identificación SMTP d70mr27737943yhq.86.1375132508769; Lun, 29 de julio de 2013 14:15:08 -0700 (PDT) Vía de retorno:Recibido: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) por mx.google.com con el ID de ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. para (versión = cifrado TLSv1 = bits RC4-SHA = 128/128); Lun, 29 de julio de 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 no está permitido ni denegado por el mejor registro de conjetura para el dominio de [email protected]) client-ip = 205.206.208.34; Resultados de autenticación: mx.google.com; spf = neutral (google.com: 205.206.208.34 no está permitido ni denegado por el mejor registro de conjetura para el dominio de [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: verdadero. ''. X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973" Recibido: de desconocido (HELO mail.exchange.telus.com) ([205.206.210.187]) por mx21.exchange.telus.com con ESMTP / TLS / AES128-SHA; 29 de julio de 2013 15:15:07 -0600. Recibido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por. HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lunes 29 de julio de 2013 15:13:48 -0600. De: Guy McDowell Para: "[email protected]" Fecha: lunes 29 de julio de 2013 15:15:03 -0600. Asunto: ¿Qué es un encabezado de correo electrónico? Tema del tema: ¿Qué es un encabezado de correo electrónico? Índice de subprocesos: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ == ID de mensaje: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local> Aceptar-Idioma: en-US. Idioma del contenido: en-US. X-MS-Has-Attach: sí. X-MS-TNEF-Correlator: acceptlanguage: en-US. Tipo de contenido: multiparte / relacionado; boundary = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_"; type = "multiparte / alternativa" Versión MIME: 1.0
Eso es bueno. Qué significa eso?
¿Cómo se crea el encabezado del correo electrónico?
Al saber cómo se crea el encabezado a lo largo de la ruta que recorre un correo electrónico, desarrollará una visión más clara de lo que significan los datos de un encabezado. Veamos las partes a medida que se agregan y lo que significan las partes más importantes.
En la computadora del remitente
Parte del encabezado se crea cuando el remitente crea el correo electrónico para enviar al destinatario. Esto incluirá información como cuándo se redactó el correo electrónico, quién lo compuso, el asunto y a quién se envía el correo electrónico. Esta es la parte del encabezado que está más familiarizado viendo como las líneas Fecha:, Desde:, Hasta: y Asunto: en la parte superior de su correo electrónico.
De: Guy McDowell
Para: "[email protected]"
Fecha: lunes 29 de julio de 2013 15:15:03 -0600
Asunto: ¿Qué es un encabezado de correo electrónico?
En el servicio de correo electrónico del remitente
Se agrega más información al encabezado una vez que se envía el correo electrónico. Esto lo proporciona el servicio de correo electrónico que está utilizando el remitente. En este caso, el remitente está utilizando un servicio de correo electrónico alojado, por lo que la dirección IP que se muestra es una dirección interna de la red del proveedor de servicios. Realizar una búsqueda de WHOIS en él no proporcionará ninguna información útil. Lo que podemos hacer es realizar una búsqueda de Google en el nombre del servidor HEXMBVS12.hostedmsx.local y podemos encontrar que el proveedor de servicios es Telus. Si investigamos un poco en el sitio web de Telus, descubriremos que ofrecen un servicio Hospedado de Microsoft Exchange. Eso sugiere que el remitente probablemente esté utilizando Microsoft Outlook, Outlook Express o Outlook Web Access. La información agregada aquí incluye, la dirección IP del remitente ([10.9.6.115]), la hora enviada por el correo electrónico del remitente servicio (lunes, 29 de julio de 2013 15:13:48 -0600), y el ID de mensaje para ese mensaje en particular tal como lo agregó el correo electrónico Servicio.
(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local). Recibido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lunes 29 de julio de 2013 15:13:48 -0600. ID de mensaje: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>
En el camino hacia el servicio de correo electrónico del destinatario
A partir de ahí, el correo electrónico puede tomar cualquier número de rutas para terminar en el servicio de correo electrónico del destinatario. Esto se puede agregar al encabezado para mostrar los "saltos" que el correo electrónico tuvo que hacer para llegar a usted. Estos saltos comienzan en el servidor que manejó el correo electrónico más recientemente y regresan al servidor que lo manejó originalmente, en orden cronológico inverso. En este ejemplo, todos los saltos son internos en el servicio de correo electrónico del remitente.
Tercero, y Final Hop
Recibido: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34]) por mx.google.com con el ID de ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08. para(versión = cifrado TLSv1 = bits RC4-SHA = 128/128); Lun, 29 de julio de 2013 14:15:08 -0700 (PDT) Received-SPF: neutral (google.com: 205.206.208.34 no está permitido ni denegado por el mejor registro de conjetura para el dominio de [email protected]) client-ip = 205.206.208.34; Resultados de autenticación: mx.google.com; spf = neutral (google.com: 205.206.208.34 no está permitido ni denegado por el mejor registro de conjetura para el dominio de [email protected]) [email protected]. X-IronPort-Anti-Spam-Filtered: verdadero. ''. X-IronPort-AV: E = Sophos; i = "4.89,772,1367992800"; d = "jpg'145? scan'145,208,217,145"; a = "14712973"
Explicación del tercer salto
Este es el salto que lo lleva de Telus al servidor de correo electrónico de los destinatarios. Podemos decir que fue recibido por mx.google.com, por lo que el destinatario tiene su servicio de correo electrónico con Google. Aquí es bueno notar la línea Recibido-SPF: SPF, o Marco de políticas del remitente, es un estándar por el cual el servidor de correo electrónico del remitente puede declararse como el remitente legítimo del correo electrónico. En este caso, el calificador es neutral, lo que significa que no se puede decir nada sobre la validez de este correo electrónico, bueno o malo. ¿Se había registrado como fallar, habría sido rechazado por los servidores de Gmail. Si fuera softfail, Gmail lo habría aceptado, pero lo marcó como posiblemente no de quien dice que es.
Justo debajo de eso, también verás tres líneas que comienzan con X-IronPort-Anti-Spam. El primero, X-IronPort-Anti-Spam-Filtered: verdadero, es agregado por el dispositivo antispam IronPort de Telus. IronPort es parte de Cisco, por lo que se considera bastante confiable. los X-IronPort-Anti-Spam-Result La línea está destinada exclusivamente a los dispositivos IronPort y no se puede decodificar para ojos humanos, a menos que trabaje para Cisco y necesite decodificarla. El tercero, X-IronPort-AV, muestra que el remitente tiene su propio dispositivo antispam de Sophos. Podría haber leído McAfee o Norton, o cualquier filtro por el que pase su correo electrónico. Como destinatario, esto puede darle un poco más de confianza de que el correo electrónico es válido.
Segundo salto
Recibido: de desconocido (HELO mail.exchange.telus.com) ([205.206.210.187])
por mx21.exchange.telus.com con ESMTP / TLS / AES128-SHA; 29 julio 2013 15:15:07 -0600
Explicación del segundo salto
Aquí se hace evidente que Telus es el proveedor de servicios. Si tiene alguna duda al respecto, realice una verificación de WHOIS en la dirección IP que se muestra: 205.206.210.187. Encontrará que la dirección IP también conduce a Telus. Eso le da un poco más de confianza de que el correo electrónico es legítimo. También podemos decir que el mensaje tardó un poco más de un minuto en pasar del primer salto al segundo salto. Eso no nos dice mucho a menos que sea un ingeniero de redes. En teoría, podría calcular aproximadamente qué tan separados están los dos servidores.
Primer salto
Recibido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por
HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lun, 29 Jul 2013 15:13:48 -0600
Explicación del primer salto
El primer salto es el servidor de correo electrónico del remitente que recibe su mensaje de correo electrónico. En este punto, el correo electrónico todavía se está moviendo internamente dentro de la red del servidor de correo electrónico del remitente. Se nota por el hecho de que la dirección IP comienza con 10. Las direcciones IP que comienzan con 10 están reservadas solo para uso interno.
En el servidor de correo electrónico del destinatario
Entregado a: [email protected]
Recibido: antes del 10.223.200.70 con ID de SMTP ev6csp162209fab;
Lun, 29 de julio de 2013 14:15:09 -0700 (PDT)
X-recibido: antes del 10.236.227.202 con la identificación SMTP d70mr27737943yhq.86.1375132508769;
Lun, 29 de julio de 2013 14:15:08 -0700 (PDT)
Vía de retorno:
Una vez que llega al servicio de correo electrónico del destinatario, se agrega más información al encabezado, cuál de los servidores de servicios de correo electrónico del destinatario recibió y cuándo, desde qué servidor de correo electrónico se recibió el mensaje, la dirección de correo electrónico del destinatario previsto y el correo electrónico de "respuesta a" indicado por el remitente habla a. En el Tercer salto, vimos que el servicio de correo electrónico del destinatario estaba con Google. Podemos decir que este correo electrónico fue recibido por un servidor interno y pasado a otro - 10.236.227.202 a 10.223.200.70. Lo más importante que podemos decir por el Vía de retorno: que el correo electrónico para responder y el correo electrónico del remitente es el mismo. Esto también nos dice que hay una buena posibilidad de que este correo electrónico sea legítimo.
Otras cosas de otros encabezados
Este encabezado de correo electrónico particular está limitado en su información porque se está utilizando un servicio de correo electrónico alojado. Si el remitente estuviera utilizando su propio servidor de correo electrónico, podríamos obtener un poco más de información. Es posible que podamos determinar exactamente qué cliente de correo están utilizando. O podríamos realizar un WHOIS en la dirección IP del remitente y obtener una ubicación aproximada del remitente. También podríamos realizar una búsqueda web simple en el dominio del remitente y ver si hay un sitio web para ellos. Con base en ese sitio web, podemos encontrar aún más información sobre el remitente. Puede realizar una búsqueda web en la dirección de correo electrónico y comenzar a molestar a la persona. Si no está familiarizado con el concepto de "doxing", familiarícese con Joel Lee ¿Qué es Doxing y cómo afecta su privacidad? ¿Qué es Doxing y cómo afecta su privacidad? [MakeUseOf explica]La privacidad en Internet es un gran problema. Una de las ventajas declaradas de Internet es que puedes permanecer anónimo detrás de tu monitor mientras navegas, chateas y haces lo que sea que hagas ... Lee mas Lea también el artículo de Ryan Dube, 15 sitios web para encontrar personas en Internet 13 sitios web para encontrar personas en InternetBuscando amigos perdidos? Hoy en día, es más fácil que nunca encontrar personas en Internet con estos motores de búsqueda. Lee mas .
La comida para llevar
Todas las comunicaciones electrónicas dejan huellas. Algunos son más grandes y más fáciles de seguir. Algunos están ocultos por los filtros web y los servidores proxy. De cualquier manera, lo que queda nos dice algo sobre la persona que los creó. A partir de esos metadatos, podríamos realizar más investigaciones para obtener más información sobre las personas involucradas. ¿Están ocultando algo usando una VPN? ¿Son realmente de un negocio legítimo con una presencia web legítima? ¿Es alguien con quien realmente quiero tener una cita? ¿Qué puede aprender la gente común sobre mí, y mucho menos sobre la NSA?
Eche un vistazo a sus encabezados de correo electrónico y vea lo que dicen de usted. Si encuentra algunas líneas de encabezado que no tienen mucho sentido, escríbalas en los comentarios e intentaremos decodificarlas. ¿Has tenido que investigar un poco el encabezado del correo electrónico? ¡Cuéntanos sobre eso! Así es como todos aprendemos.
Credito de imagen: Sala de servidores de torkildr a través de Flickr.
Con más de 20 años de experiencia en TI, capacitación y oficios técnicos, es mi deseo compartir lo que he aprendido con cualquiera que esté dispuesto a aprender. Me esfuerzo por hacer el mejor trabajo posible de la mejor manera posible y con un poco de humor.