Cómo utilizar las cabeceras de correo electrónico para ver el origen del spam

Cómo utilizar las cabeceras de correo electrónico para ver el origen del spam

VALORACIÓN DEL ARTÍCULO:
5/5


El spam terminará cuando ya no sea rentable. Los spammers verán caer sus ganancias si nadie les compra (porque ni siquiera ves los emails basura). Esta es la manera más fácil de combatir el spam, y ciertamente una de las mejores.

Índice de contenidos

Quejas sobre el spam

Pero también puede afectar el lado de los gastos del balance de un emisor de spam. Si usted se queja al Proveedor de Servicios de Internet (ISP) del remitente de spam, éste perderá su conexión y tal vez tenga que pagar una multa (dependiendo de la política de uso aceptable del ISP).

Dado que los spammers conocen y temen tales informes, intentan esconderse. Por eso, no siempre es fácil encontrar el ISP adecuado. Afortunadamente, existen herramientas como SpamCop que facilitan la presentación de informes de spam a la dirección correcta.

Determinación de la fuente de spam

¿Cómo encuentra SpamCop el ISP correcto para quejarse? Examina detenidamente las líneas de encabezado de los mensajes de spam. Estas cabeceras contienen información sobre la ruta que tomó un correo electrónico.

SpamCop sigue el camino hasta el punto desde donde se envió el correo electrónico. A partir de este punto, también conocido como dirección IP, puede derivar el ISP del spammer y enviar el informe al departamento de abuso de este ISP.

Echemos un vistazo más de cerca a cómo funciona esto.

Correo electrónico: Encabezado y cuerpo

Cada mensaje de correo electrónico consta de dos partes, el cuerpo y el encabezado. El encabezado puede ser considerado como el sobre del mensaje, que contiene la dirección del remitente, el destinatario, el asunto y otra información. El cuerpo contiene el texto real y los archivos adjuntos.

Alguna información del encabezado que normalmente se muestra en su programa de correo electrónico incluye:

  • De: – El nombre y la dirección de correo electrónico del remitente.
  • A: – El nombre y la dirección de correo electrónico del destinatario.
  • Fecha: – La fecha en que se envió el mensaje.
  • Asunto: – La línea de asunto.

Forjado de cabezales

La entrega real de los correos electrónicos no depende de ninguno de estos encabezados, son sólo conveniencia.

Normalmente, la línea De:, por ejemplo, se enviará a la dirección del remitente. Esto asegura que usted sabe de quién es el mensaje y puede responder fácilmente.

Los spammers quieren asegurarse de que usted no pueda responder fácilmente, y ciertamente, no quieren que usted sepa quiénes son. Por eso insertan direcciones de correo electrónico ficticias en las líneas De: de sus mensajes basura.

Recibido: Líneas

Así que la línea De: es inútil si queremos determinar la fuente real de un correo electrónico. Afortunadamente, no necesitamos confiar en ella. Las cabeceras de cada mensaje de correo electrónico también contienen líneas Received:.

Estos no suelen mostrarse en los programas de correo electrónico, pero pueden ser muy útiles para rastrear el spam.

Análisis de la información recibida: Líneas de encabezado

Al igual que una carta postal pasa por varias oficinas de correos en su camino del remitente al destinatario, un mensaje de correo electrónico es procesado y reenviado por varios servidores de correo.

Imagínate cada oficina de correos poniendo un sello especial en cada carta. El sello decía exactamente cuándo se recibió la carta, de dónde vino y a dónde fue enviada por la oficina de correos. Si recibes la carta, puedes determinar la ruta exacta que toma la carta.

Esto es exactamente lo que sucede con el correo electrónico.

Recibido: Líneas de trazado

A medida que un servidor de correo procesa un mensaje, agrega una línea especial, la línea Received: al encabezado del mensaje. La línea Received: contiene, lo más interesante,

  • el nombre del servidor y la dirección IP del equipo del que el servidor recibió el mensaje y
  • el nombre del propio servidor de correo.

La línea Recibido: siempre se inserta en la parte superior de las cabeceras de los mensajes. Si queremos reconstruir el viaje de un correo electrónico desde el remitente hasta el destinatario, también empezamos por la línea más alta de Recibido: (por qué hacemos esto se hará evidente en un momento) y caminamos hacia abajo hasta llegar a la última, que es donde se originó el correo electrónico.

Recibido: Forjado en línea

Los spammers saben que aplicaremos exactamente este procedimiento para descubrir su paradero. Para engañarnos, pueden insertar forjados Recibido: líneas que apuntan a otra persona que envía el mensaje.

Puesto que cada servidor de correo siempre pondrá su línea Received: en la parte superior, las cabeceras falsificadas de los spammers sólo pueden estar en la parte inferior de la cadena Received: line. Es por eso que comenzamos nuestro análisis en la parte superior y no sólo derivamos el punto donde se originó un correo electrónico desde la primera línea Recibido: (en la parte inferior).

Cómo decirle a un falsificado recibido: Línea de encabezado

Las líneas forjadas Received: las líneas insertadas por los spammers para engañarnos se verán como todas las demás líneas Received: (a menos que cometan un error obvio, por supuesto). Por sí solo, no se puede diferenciar una línea falsificada Recibida: línea de una genuina.

Aquí es donde entra en juego una característica distintiva de Received: las líneas. Como hemos señalado anteriormente, cada servidor no sólo anotará quién es sino también de dónde obtuvo el mensaje (en forma de dirección IP).

Simplemente comparamos quién dice ser un servidor con lo que el servidor de la cadena dice que es realmente. Si los dos no coinciden, la primera línea Recibido: ha sido forjada.

En este caso, el origen del correo electrónico es lo que el servidor inmediatamente después de la línea Received: forjada tiene que decir de quién recibió el mensaje.

¿Estás listo para un ejemplo?

Ejemplo de Spam Analizado y Rastreado

Ahora que conocemos los fundamentos teóricos, analicemos un correo electrónico basura para identificar su origen funciona en la vida real.

Acabamos de recibir una pieza ejemplar de spam que podemos usar para hacer ejercicio. Aquí están las líneas de encabezado:

Recibido: de desconocido (HELO 38.118.132.100) (62.105.106.207)
.por mail1.infinology.com con SMTP; 16 Nov 2003 19:50:37 -0000
Recibido: de[235.16.47.47.37] a 38.118.132.100 id ; Dom, 16 Nov 2003 13:38:22 -0600
Mensaje-ID:
De: «Reinaldo Gilliam»
Respuesta: «Reinaldo Gilliam»
Para: ladedu@ladedu.com
Sujeto: Categoría A Obtener los medicamentos que necesita u lgvkalfnqnh bbk
Fecha: Dom, 16 Nov 2003 13:38:22 GMT
X-Mailer: Servicio de correo de Internet (5.5.2650.21)
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>)MIME-Versión: 1.0
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>).Tipo de contenido: multiparte/alternativo;
boundary=»9B_9.._C_2EA.0DDD_23″
Prioridad X: 3
Prioridad X-MSMail: Normal

¿Puede indicar la dirección IP donde se originó el correo electrónico?

Remitente y asunto

En primer lugar, eche un vistazo a la línea – forjada – De:. El spammer quiere que parezca que el mensaje fue enviado desde una cuenta de correo de Yahoo! Junto con la línea Reply-To:, esta dirección De: tiene como objetivo dirigir todos los mensajes rebotados y las respuestas enojadas a una cuenta de correo de Yahoo! inexistente.

A continuación, el Asunto: es una curiosa aglomeración de caracteres aleatorios. Es apenas legible y obviamente diseñado para engañar a los filtros de spam (cada mensaje recibe un conjunto ligeramente diferente de caracteres aleatorios), pero también está hábilmente diseñado para transmitir el mensaje a pesar de ello.

El Recibido: Líneas

Por último, las líneas Received:. Comencemos con el más antiguo, Recibido: desde[235.16.47.37] hasta 38.118.132.100 id ; Dom, 16 Nov 2003 13:38:22 -0600. No tiene nombres de host, sino dos direcciones IP: 38.118.132.100 afirma haber recibido el mensaje del 235.16.47.37. Si esto es correcto, 235.16.47.37 es donde se originó el correo electrónico, y averiguaremos a qué ISP pertenece esta dirección IP, y luego les enviaremos un informe de abuso.

Veamos si el siguiente (y en este caso el último) servidor de la cadena confirma las reclamaciones de la primera Received: line: Recibido: de desconocido (HELO 38.118.142.100) (62.105.106.207) por mail1.infinology.com con SMTP; 16 Nov 2003 19:50:37 -000000.

Dado que mail1.infinology.com es el último servidor de la cadena y, de hecho, «nuestro» servidor, sabemos que podemos confiar en él. Ha recibido el mensaje de un host «desconocido» que afirmaba tener la dirección IP 38.118.132.100 (utilizando el comando SMTP HELO). Hasta ahora, esto está en línea con lo que decía la anterior línea Received: line.

Ahora veamos de dónde sacó el mensaje nuestro servidor de correo. Para averiguarlo, echamos un vistazo a la dirección IP entre paréntesis inmediatamente antes por mail1.infinology.com. Esta es la dirección IP desde la que se estableció la conexión, y no es 38.118.132.100. No, 62.105.106.207 es desde donde se envió este correo basura.

Con esta información, ahora puede identificar al ISP del spammer y reportarle el correo electrónico no solicitado para que pueda expulsarlo de la red.

TAMBIÉN TE INTERESA

seguridad de los datos personales

Descuidos en tu día a día que comprometen la seguridad de los datos personales

Hoy es el Día de Internet Segura, una jornada para concienciar a los usuarios sobre la importancia de cuidar la seguridad de los datos personales. La seguridad en Internet se ha convertido en una prioridad global para todos, amén del creciente número de robos virtuales e intrusiones de los delincuentes a la información sensible de

planes de entrenamiento con IA

La era de los gimnasios smart y los planes de entrenamiento con IA

El sector de los gimnasios está empezando a introducir la tecnología para sus usuarios. Los planes de entrenamiento con IA ya son una realidad en espacios como los de Metropolitan. Es cuestión de tiempo que toda la innovación que viene de la tecnología comience a aterrizar en nuestras vidas para cuidar nuestro cuerpo. De hecho,

apps de citas

Apps de citas y el fraude romántico: ligoteo y estafas

Hay a quien las apps de citas le funcionan muy bien en todos los sentidos. Además de lograr el match deseado, su seguridad no se ve comprometida en ningún momento. Así da gusto, encontrar pareja nunca fue tan sencillo. Otra cosa es que la otra persona con la que se hace match no sea la

riesgos DeepSeek

Reportan los primeros riesgos de seguridad en DeepSeek

Pocos días después de la irrupción de DeepSeek en el mundo, ya empiezan a aflorar algunos problemas relacionados con la seguridad en DeepSeek y la privacidad de los datos que emplean los usuarios. Son millones y millones personas las que ya están probando las mieles de la IA china. El modelo R1 de DeepSeek ha