Correo electrónico

Análisis de encabezado de correo electrónico

Análisis de encabezado de correo electrónico
Analizar los encabezados de los correos electrónicos es una de las tareas más comunes en la informática forense y puede ayudarnos si dudamos de la autenticidad de un remitente de correo electrónico. Un ejemplo de uso práctico profesional de un análisis de encabezado de correo puede ser la garantía de que un jugador indicado en la corte era el remitente o el receptor de un correo electrónico, al leer el encabezado de la computadora, los expertos forenses pueden auditar las claves de autenticación para darse cuenta de si un remitente de correo electrónico fue falsificado.Este tutorial muestra cómo leer un encabezado de GMAIL normal en texto sin formato, en línea hay muchas herramientas gratuitas para hacerlo legible por humanos en un formato amigable como https: // mxtoolbox.com / EmailHeaders.aspx , reduciendo todo el contenido que se muestra en este tutorial en algo como esta imagen

Si desea ser más profesional, puede consultar algunas de las herramientas descritas en  Herramientas forenses en vivo.

Leer y comprender un encabezado de correo electrónico (Gmail):

El siguiente texto extraño es el encabezado de un correo electrónico enviado desde la cuenta editor [en ~] linuxhint.com a ivan [en ~] linux.lat. Se eliminaron algunas partes irrelevantes pero es completamente fiel al encabezado original.

Debajo de cada parte del encabezado del correo electrónico se explicará:

El primer segmento aislado a continuación es muy intuitivo y revela que el correo electrónico se envió a ivan [en ~] smartlation.com y recibido por un servidor identificado por su dirección IP (IPv6) y un id SMTP, detallando la fecha y hora de la entrega:

 Entregado a: ivana [at ~] smartlation.com Recibido: en 2002: a05: 620a: 1461: 0: 0: 0: 0 con ID de SMTP j1csp966363qkl; Mié, 3 de abril de 2019 19:50:15 -0700 (PDT)

El siguiente fragmento muestra que el correo electrónico se está procesando a través del SMTP de gmail.

 X-Google-Smtp-Source: APXvYqxLebBy88ASD / 5vqLYdg + NGLv + sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ

La Recibido X Algunos proveedores de correo electrónico aplican el encabezado, en este caso, lo agrega el SMTP de Gmail.

 X-Received: en 2002: a62: 52c3 :: con SMTP id g186mr3128011pfb.173.1554346215815; Mié, 03 de Abril de 2019 19:50:15 -0700 (PDT)

El siguiente segmento muestra el ARC (cadena de autenticación recibida). Este protocolo asegura la validez de la autenticación al pasar por diferentes dispositivos intermediarios. En este caso, el correo electrónico se envía desde el editor [~ at] linuxhint.com a ivan [~ en] linux.lat que reenvía el correo electrónico a ivan [~ at] smartlation.com.

 Sello ARC: i = 1; a = rsa-sha256; t = 1554346215; cv = ninguno; d = google.com; s = arco-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j + vITRp + 1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J + iJJLvcZn 0m1A ==

Y aquí está la primera aparición del DKIM (Correo identificado de DomainKeys), un método de autenticación que evita la falsificación de correo al validar el nombre de dominio del remitente.  El protocolo ARC detallado anteriormente ayuda a que tanto DKIM como SPF (que se muestran a continuación) sigan siendo válidos a pesar de la ruta. Este extracto muestra las credenciales dadas.

 Firma-Mensaje-ARC: i = 1; a = rsa-sha256; c = relajado / relajado; d = google.com; s = arco-20160816; h = to: subject: message-id: date: from: mime-version: dkim-signature: dkim-signature: dkim-filter; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = 1HC5cATj9nR43hdZxt0DMGhRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj + OQC / YxOaGu7OsD06nnzhEFtlEYgN ibTg ==

Aquí puede ver el resultado de la autenticación, como ve que tuvo éxito, además del DKIM que puede ver SPF (marco de políticas del remitente), otro método de autenticación para que el receptor sepa que el remitente está autorizado a usar el nombre de dominio que se muestra en la sección "DESDE".
En este caso DKIM y SPF pasaron la fase de autenticación.

 Resultados de la autenticación ARC: i = 1; mx.Google.com; 

 dkim = pass [correo electrónico protegido] encabezado.s = encabezado predeterminado.b = oY3SGJai; dkim = pass [correo electrónico protegido] encabezado.s = 20150623 encabezado.b = udLEKRXT; spf = pasar (google.com: dominio de los servidores [protegidos por correo electrónico].com designa 162.255.118.246 como remitente permitido) smtp.mailfrom = "SRS0 + GMs5 = SG = linuxhint.com = editor @ eforward1e.registradores-servidores.com "

Debajo hay una sección llamada "Ruta de retorno" y aquí se define la dirección de correo electrónico de devolución, que es diferente de la sección "De" para que los mensajes de devolución sean procesados ​​por el administrador del servidor de correo.

 Vía de retorno: <[email protected]om>

Finalmente, a continuación, se muestra información sobre el servidor de correo, (Postfix), la versión DKIM y el nivel de cifrado,

 Recibido: de se17.registradores-servidores.com (se17.registradores-servidores.com [198.54.122.197]) por eforward1e.registradores-servidores.com (Postfix) con ESMTP id 9060A4207A2 para <[email protected]>; Mié, 3 de abril de 2019 22:50:14 -0400 (EDT) Filtro DKIM: Filtro OpenDKIM v2.11.0 eforward1e.registradores-servidores.com 9060A4207A2 DKIM-Firma: v = 1; a = rsa-sha256; c = relajado / relajado; d = registradores-servidores.com; s = predeterminado; t = 1554346214; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; h = Desde: Fecha: Asunto: Hasta; b = oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK / 6RsTToszEuR9J4tVB3CUCeubu9S+ 

 X-Google-DKIM-Signature: v = 1; a = rsa-sha256; c = relajado / relajado; d = 1e100.neto; s = 20161025; h = x-gm-message-state: mime-version: from: date: message-id: subject: to; bh = SGSL8wJRA7 + YflVA67ETqxpMCMuzIg + Fe1LKVzldnbA =; b = YaWzCdnw7XFUn6N6Ceok2a

La sección Estado del mensaje X-Gm muestra una cadena única para dos estados posibles: rebotado y enviado.

 X-Gm-Message-State: APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL / 6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP

El valor X-Received pertenece específicamente a gmail.

 X-Received: en 2002: a50: 89fb :: con SMTP id h56mr1932247edh.176.1554346208456; Mié, 03 abr 2019 19:50:08 -0700 (PDT)

A continuación, puede encontrar la versión MIME (Extensiones multipropósito de correo de Internet) y la información habitual que se muestra a los usuarios:

 Versión MIME: 1.0 De: Editor Linux Sugerencia <[email protected]> Fecha: miércoles, 3 de abril de 2019 19:50:27 -0700 ID de mensaje: <[email protected]om> Asunto: pago enviado $ 150 a: Ivan <[email protected]> Tipo de contenido: multiparte / alternativo; boundary = "0000000000009d08b80585ab6de6" Resultados de autenticación: servidores de registro.com; dkim = encabezado de paso.i = linuxhint-com.20150623.gappssmtp.com X-SpamExperts-Class: no estoy seguro X-SpamExperts-Evidence: Combinado (0.50) X-recomendados-Acción: aceptar X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf

Espero que haya encontrado útil este tutorial sobre el análisis de encabezados de correo electrónico. Siga siguiendo LinuxHint para obtener más consejos y tutoriales sobre Linux y redes.

Juegos Los mejores juegos para jugar con el seguimiento de manos
Los mejores juegos para jugar con el seguimiento de manos
Oculus Quest presentó recientemente la gran idea del seguimiento manual sin controladores. Con un número cada vez mayor de juegos y actividades que ej...
Juegos Cómo mostrar la superposición de OSD en aplicaciones y juegos de Linux en pantalla completa
Cómo mostrar la superposición de OSD en aplicaciones y juegos de Linux en pantalla completa
Jugar juegos en pantalla completa o usar aplicaciones en modo de pantalla completa sin distracciones puede aislarlo de la información relevante del si...
Juegos Las 5 mejores cartas de captura de juegos
Las 5 mejores cartas de captura de juegos
Todos hemos visto y amado la transmisión de juegos en YouTube. PewDiePie, Jakesepticye y Markiplier son solo algunos de los mejores jugadores que han ...