Cómo utilizar las cabeceras de correo electrónico para ver el origen del spam

Cómo utilizar las cabeceras de correo electrónico para ver el origen del spam

VALORACIÓN DEL ARTÍCULO:
5/5


El spam terminará cuando ya no sea rentable. Los spammers verán caer sus ganancias si nadie les compra (porque ni siquiera ves los emails basura). Esta es la manera más fácil de combatir el spam, y ciertamente una de las mejores.

Índice de contenidos

Quejas sobre el spam

Pero también puede afectar el lado de los gastos del balance de un emisor de spam. Si usted se queja al Proveedor de Servicios de Internet (ISP) del remitente de spam, éste perderá su conexión y tal vez tenga que pagar una multa (dependiendo de la política de uso aceptable del ISP).

Dado que los spammers conocen y temen tales informes, intentan esconderse. Por eso, no siempre es fácil encontrar el ISP adecuado. Afortunadamente, existen herramientas como SpamCop que facilitan la presentación de informes de spam a la dirección correcta.

Determinación de la fuente de spam

¿Cómo encuentra SpamCop el ISP correcto para quejarse? Examina detenidamente las líneas de encabezado de los mensajes de spam. Estas cabeceras contienen información sobre la ruta que tomó un correo electrónico.

SpamCop sigue el camino hasta el punto desde donde se envió el correo electrónico. A partir de este punto, también conocido como dirección IP, puede derivar el ISP del spammer y enviar el informe al departamento de abuso de este ISP.

Echemos un vistazo más de cerca a cómo funciona esto.

Correo electrónico: Encabezado y cuerpo

Cada mensaje de correo electrónico consta de dos partes, el cuerpo y el encabezado. El encabezado puede ser considerado como el sobre del mensaje, que contiene la dirección del remitente, el destinatario, el asunto y otra información. El cuerpo contiene el texto real y los archivos adjuntos.

Alguna información del encabezado que normalmente se muestra en su programa de correo electrónico incluye:

  • De: – El nombre y la dirección de correo electrónico del remitente.
  • A: – El nombre y la dirección de correo electrónico del destinatario.
  • Fecha: – La fecha en que se envió el mensaje.
  • Asunto: – La línea de asunto.

Forjado de cabezales

La entrega real de los correos electrónicos no depende de ninguno de estos encabezados, son sólo conveniencia.

Normalmente, la línea De:, por ejemplo, se enviará a la dirección del remitente. Esto asegura que usted sabe de quién es el mensaje y puede responder fácilmente.

Los spammers quieren asegurarse de que usted no pueda responder fácilmente, y ciertamente, no quieren que usted sepa quiénes son. Por eso insertan direcciones de correo electrónico ficticias en las líneas De: de sus mensajes basura.

Recibido: Líneas

Así que la línea De: es inútil si queremos determinar la fuente real de un correo electrónico. Afortunadamente, no necesitamos confiar en ella. Las cabeceras de cada mensaje de correo electrónico también contienen líneas Received:.

Estos no suelen mostrarse en los programas de correo electrónico, pero pueden ser muy útiles para rastrear el spam.

Análisis de la información recibida: Líneas de encabezado

Al igual que una carta postal pasa por varias oficinas de correos en su camino del remitente al destinatario, un mensaje de correo electrónico es procesado y reenviado por varios servidores de correo.

Imagínate cada oficina de correos poniendo un sello especial en cada carta. El sello decía exactamente cuándo se recibió la carta, de dónde vino y a dónde fue enviada por la oficina de correos. Si recibes la carta, puedes determinar la ruta exacta que toma la carta.

Esto es exactamente lo que sucede con el correo electrónico.

Recibido: Líneas de trazado

A medida que un servidor de correo procesa un mensaje, agrega una línea especial, la línea Received: al encabezado del mensaje. La línea Received: contiene, lo más interesante,

  • el nombre del servidor y la dirección IP del equipo del que el servidor recibió el mensaje y
  • el nombre del propio servidor de correo.

La línea Recibido: siempre se inserta en la parte superior de las cabeceras de los mensajes. Si queremos reconstruir el viaje de un correo electrónico desde el remitente hasta el destinatario, también empezamos por la línea más alta de Recibido: (por qué hacemos esto se hará evidente en un momento) y caminamos hacia abajo hasta llegar a la última, que es donde se originó el correo electrónico.

Recibido: Forjado en línea

Los spammers saben que aplicaremos exactamente este procedimiento para descubrir su paradero. Para engañarnos, pueden insertar forjados Recibido: líneas que apuntan a otra persona que envía el mensaje.

Puesto que cada servidor de correo siempre pondrá su línea Received: en la parte superior, las cabeceras falsificadas de los spammers sólo pueden estar en la parte inferior de la cadena Received: line. Es por eso que comenzamos nuestro análisis en la parte superior y no sólo derivamos el punto donde se originó un correo electrónico desde la primera línea Recibido: (en la parte inferior).

Cómo decirle a un falsificado recibido: Línea de encabezado

Las líneas forjadas Received: las líneas insertadas por los spammers para engañarnos se verán como todas las demás líneas Received: (a menos que cometan un error obvio, por supuesto). Por sí solo, no se puede diferenciar una línea falsificada Recibida: línea de una genuina.

Aquí es donde entra en juego una característica distintiva de Received: las líneas. Como hemos señalado anteriormente, cada servidor no sólo anotará quién es sino también de dónde obtuvo el mensaje (en forma de dirección IP).

Simplemente comparamos quién dice ser un servidor con lo que el servidor de la cadena dice que es realmente. Si los dos no coinciden, la primera línea Recibido: ha sido forjada.

En este caso, el origen del correo electrónico es lo que el servidor inmediatamente después de la línea Received: forjada tiene que decir de quién recibió el mensaje.

¿Estás listo para un ejemplo?

Ejemplo de Spam Analizado y Rastreado

Ahora que conocemos los fundamentos teóricos, analicemos un correo electrónico basura para identificar su origen funciona en la vida real.

Acabamos de recibir una pieza ejemplar de spam que podemos usar para hacer ejercicio. Aquí están las líneas de encabezado:

Recibido: de desconocido (HELO 38.118.132.100) (62.105.106.207)
.por mail1.infinology.com con SMTP; 16 Nov 2003 19:50:37 -0000
Recibido: de[235.16.47.47.37] a 38.118.132.100 id ; Dom, 16 Nov 2003 13:38:22 -0600
Mensaje-ID:
De: «Reinaldo Gilliam»
Respuesta: «Reinaldo Gilliam»
Para: ladedu@ladedu.com
Sujeto: Categoría A Obtener los medicamentos que necesita u lgvkalfnqnh bbk
Fecha: Dom, 16 Nov 2003 13:38:22 GMT
X-Mailer: Servicio de correo de Internet (5.5.2650.21)
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>)MIME-Versión: 1.0
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>).Tipo de contenido: multiparte/alternativo;
boundary=»9B_9.._C_2EA.0DDD_23″
Prioridad X: 3
Prioridad X-MSMail: Normal

¿Puede indicar la dirección IP donde se originó el correo electrónico?

Remitente y asunto

En primer lugar, eche un vistazo a la línea – forjada – De:. El spammer quiere que parezca que el mensaje fue enviado desde una cuenta de correo de Yahoo! Junto con la línea Reply-To:, esta dirección De: tiene como objetivo dirigir todos los mensajes rebotados y las respuestas enojadas a una cuenta de correo de Yahoo! inexistente.

A continuación, el Asunto: es una curiosa aglomeración de caracteres aleatorios. Es apenas legible y obviamente diseñado para engañar a los filtros de spam (cada mensaje recibe un conjunto ligeramente diferente de caracteres aleatorios), pero también está hábilmente diseñado para transmitir el mensaje a pesar de ello.

El Recibido: Líneas

Por último, las líneas Received:. Comencemos con el más antiguo, Recibido: desde[235.16.47.37] hasta 38.118.132.100 id ; Dom, 16 Nov 2003 13:38:22 -0600. No tiene nombres de host, sino dos direcciones IP: 38.118.132.100 afirma haber recibido el mensaje del 235.16.47.37. Si esto es correcto, 235.16.47.37 es donde se originó el correo electrónico, y averiguaremos a qué ISP pertenece esta dirección IP, y luego les enviaremos un informe de abuso.

Veamos si el siguiente (y en este caso el último) servidor de la cadena confirma las reclamaciones de la primera Received: line: Recibido: de desconocido (HELO 38.118.142.100) (62.105.106.207) por mail1.infinology.com con SMTP; 16 Nov 2003 19:50:37 -000000.

Dado que mail1.infinology.com es el último servidor de la cadena y, de hecho, «nuestro» servidor, sabemos que podemos confiar en él. Ha recibido el mensaje de un host «desconocido» que afirmaba tener la dirección IP 38.118.132.100 (utilizando el comando SMTP HELO). Hasta ahora, esto está en línea con lo que decía la anterior línea Received: line.

Ahora veamos de dónde sacó el mensaje nuestro servidor de correo. Para averiguarlo, echamos un vistazo a la dirección IP entre paréntesis inmediatamente antes por mail1.infinology.com. Esta es la dirección IP desde la que se estableció la conexión, y no es 38.118.132.100. No, 62.105.106.207 es desde donde se envió este correo basura.

Con esta información, ahora puede identificar al ISP del spammer y reportarle el correo electrónico no solicitado para que pueda expulsarlo de la red.

TAMBIÉN TE INTERESA

OnePlus Nord 4 precio

OnePlus Nord 4: un gama media con IA, metálico y con gran batería

El OnePlus Nord 4 se ha presentado de forma oficial. La marca vuelve a dar un paso más en su gama media con este esplendoroso smartphone que llega a España para destronar a sus oponentes y plantar cara a su competencia premium. De hecho, por la red ya circulan comentarios muy positivos de este dispositivo

ordenador sobremesa Deep Gaming

Deep Gaming, la marca española confiable para personalizar un PC

Como en casi todos los ámbitos, en el mundo del gaming hay dos tipos de personas: los que apuestan un por un PC ya configurado o los que quieren personalizar su PC. Para estos últimos, Deep Gaming es una gran opción para empezar a poner a punto su setup. Hablamos de una marca española con

Qué es un CDN y por qué es relevante

Cómo mejorar la experiencia web con un CDN

Imagínate visitar un sitio web y tener que esperar largos segundos para que se cargue cada página o imagen. Esta experiencia frustrante no solo afecta nuestra paciencia, sino que también puede influir negativamente en la percepción de una marca o empresa. Aquí es donde entra en juego el CDN, o Content Delivery Network, una tecnología

como detectar ofertas de trabajo falsas

Ojo con las ofertas de trabajo falsas: aprende a detectarlas

Las ofertas de trabajo falsas están a la orden del día. En muchos casos parecen reales porque coinciden en un momento en el que estamos en búsqueda activa de empleo. Puede que nos hallamos inscrito a un proceso de selección en LinkedIn y, de repente, alguien intenta contactar con nosotros por mail o WhatsApp. A