¿Cómo puedo saber de dónde vino realmente un correo electrónico?

107

¿Cómo puedo saber de dónde se originó realmente un correo electrónico? ¿Hay alguna forma de averiguarlo?

He oído hablar de encabezados de correo electrónico, pero no sé dónde puedo ver los encabezados de correo electrónico, por ejemplo, en Gmail. ¿Alguna ayuda?

networking email gmail headers Sirwan Afifi
fuente
por cierto. La dirección IP en el encabezado de gmail está en formato IPv6: v6decode.com
user956584

Respuestas:

147

Vea a continuación un ejemplo de una estafa que me enviaron, pretendiendo ser de mi amiga, alegando que la han robado y pidiéndome ayuda financiera. He cambiado los nombres: soy "Bill", y el estafador me ha enviado un correo electrónico [email protected], fingiendo serlo [email protected]. Tenga en cuenta que Bill reenvía su correo electrónico a [email protected].

Primero, en Gmail, haga clic en show original:

Menú de mensajes> Mostrar original

Se abrirá el correo electrónico completo y sus encabezados:

Delivered-To: [email protected]
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <[email protected]>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: [email protected]
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <[email protected]>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <[email protected]>)
    id 1Uw98w-0006KI-6y
    for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <[email protected]>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: [email protected]
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: [email protected]
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <[email protected]>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Los encabezados deben leerse cronológicamente de abajo hacia arriba; los más antiguos están en la parte inferior. Cada nuevo servidor en el camino agrega su propio mensaje, comenzando con Received. Por ejemplo:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Esto dice que mx.google.comha recibido el correo de maxipes.logix.czat Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Ahora, para encontrar el remitente real de su correo electrónico, debe encontrar la puerta de enlace de confianza más antigua, la última al leer los encabezados desde arriba. Comencemos por encontrar el servidor de correo de Bill. Para esto, consulte el registro MX del dominio. Puede usar herramientas en línea como Mx Toolbox , o en Linux puede consultarlo en la línea de comandos (tenga en cuenta que el nombre de dominio real se cambió a domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

Y verá que el servidor de correo de domain.com es maxipes.logix.czo broucek.logix.cz. Por lo tanto, el último "primer salto" confiable (primero cronológicamente), o el último "Registro recibido" confiable o como se llame, es este:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <[email protected]>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Puede confiar en esto porque fue registrado por el servidor de correo de Bill domain.com. Este servidor lo obtuvo 209.86.89.64. Este podría ser, y muy a menudo, el verdadero remitente del correo electrónico, ¡en este caso, el estafador! Puede comprobar esta IP en una lista negra . - Mira, él aparece en 3 listas negras! Hay otro registro más abajo:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <[email protected]>)
    id 1Uw98w-0006KI-6y
    for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400

Pero tenga cuidado al confiar en que esta es la fuente real del correo electrónico. El estafador podría agregar la queja de la lista negra para borrar sus rastros y / o trazar un rastro falso . Todavía existe la posibilidad de que el servidor 209.86.89.64sea ​​inocente y solo un relé para el verdadero atacante 168.62.170.129. En este caso, 168.62.170.129 está limpio, por lo que podemos estar casi seguros de que el ataque se realizó 209.86.89.64.

Otro punto a tener en cuenta es que Alice usa Yahoo! ([email protected]) y elasmtp-curtail.atl.sa.earthlink.netno está en Yahoo! red (es posible que desee volver a verificar su información de IP Whois ). Por lo tanto, podemos concluir con seguridad que este correo electrónico no es de Alice, y no debemos enviarle su dinero a Filipinas.

Tomás
fuente
15
O bien, puede pegar los encabezados en SpamCop y dejar que haga todo el descifrado por usted. Incluso enviarán un aviso de SPAM a los administradores de sistemas responsables si lo desean.
Ex Umbris
8
O también puede usar la herramienta de análisis de encabezado de Google
Vijay
2
Esto es dolorosamente común, hasta el punto en que comúnmente aconsejo a las personas que reciben tales correos electrónicos que pregunten algo que solo el propietario del correo electrónico sabe que es falso;)
Journeyman Geek
99
@JourneymanGeek La mejor práctica es a menudo no responder: una respuesta (o haciendo clic en cualquier enlace, o cargando recursos externos, por ejemplo, imágenes) podría proporcionar una indicación a los spammers masivos de que su dirección de correo electrónico es válida, y alguien realmente la está leyendo.
Bob
1
Como administrador de sistemas, tuve que lidiar con algunos correos electrónicos anónimos, muy abusivos y desagradables, enviados a uno de nuestros empleados hace unos años. Retroceder los encabezados era un callejón sin salida, ya que el remitente (desafortunadamente) había sido lo suficientemente inteligente como para usar un remailer anónimo ( en.wikipedia.org/wiki/Anonymous_remailer ). En tales casos, prácticamente no hay nada que pueda hacer (tal vez a menos que trabaje para la NSA).
abstrask
10

Para encontrar la dirección IP:

Haga clic en el triángulo invertido junto a Responder. Seleccione Mostrar original.

Busque Received: fromseguido de la dirección IP entre corchetes []. (ejemplo: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

Si encuentra más de un Recibido: de patrones, seleccione el último.

( Fuente )

Después de eso, puede usar el sitio pythonclub , iplocation.net o búsqueda de ip para averiguar la ubicación.

Luke
fuente
Qué IP es para el servidor de correo o la ubicación de la persona que envió el correo electrónico?
Sirwan Afifi
1
Es el servidor de correo. No estoy seguro de si hay una manera de determinar desde qué correo electrónico ip se escribió.
Lucas
Seleccionar el último registro "Recibido:" no es la mejor estrategia: el atacante podría haberlo agregado para dibujar un arenque rojo en la pista. En cambio, debe encontrar el último de confianza . Ver mi respuesta
Tomás
6

La forma de llegar a los encabezados varía entre los clientes de correo electrónico. Muchos clientes le permitirán ver el formato original del mensaje fácilmente. Otros (MicroSoft Outlook) lo hacen más difícil.

Para determinar quién envió realmente el mensaje, la ruta de retorno es útil. Sin embargo, puede ser falsificado. Una dirección de ruta de retorno que no coincide con la dirección de origen es motivo de sospecha. Existen razones legítimas para que sean diferentes, como los mensajes reenviados desde las listas de correo o los enlaces enviados desde sitios web. (Sería mejor si el sitio web utilizara la dirección de respuesta para identificar a la persona que reenvía el enlace).

Para determinar el origen del mensaje, lea de arriba hacia abajo a través de los encabezados recibidos. Puede haber varios. La mayoría tendrá la dirección IP del servidor donde recibió el formulario de mensaje. Algunos problemas que encontrará:

  • Algunos sitios usan programas externos para escanear mensajes que reenvían el mensaje después de escanear. Estos pueden introducir localhost u otras direcciones extrañas.
  • Algunos servidores ofuscan las direcciones omitiendo contenido.
  • Algunos SPAM incluirán encabezados falsos recibidos destinados a engañarlo.
  • La dirección IP privada (10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16) puede aparecer, pero solo tiene sentido en la red de la que proviene.

Siempre debe poder determinar qué servidor en Internet le envió el mensaje. El rastreo más atrás depende de la configuración de los servidores de envío.

BillThor
fuente
Para su información en Microsoft Outlook recientes, debe abrir un mensaje en su propia ventana, entonces solo es Archivo, Propiedades. Eso no es dificil.
Rup
1

Yo uso http://whatismyipaddress.com/trace-email . Si usa Gmail, haga clic en Mostrar original (en Más, junto al botón Responder, copie los encabezados, péguelos en este sitio web y haga clic en Obtener fuente. Obtendrá la información de ubicación geográfica y el mapa a cambio

Cibernético
fuente
0

También hay algunas herramientas para analizar encabezados de correo electrónico y extraer datos de correo electrónico para usted,
por ejemplo:

  1. eMailTrackerPro

    que puede rastrear un correo electrónico hasta su ubicación geográfica, incluido el filtro de correo no deseado

  2. MSGTAG

  3. PoliteMail

  4. Software de Super Email Marketing

  5. Zendio

Sirwan Afifi
fuente
eMailTracketPro no funciona ... Acabo de descargar una versión de prueba. y se ha atascado
Md Faisal