Lo que los encabezados de correo electrónico pueden decirle sobre el origen del spam

El spam terminará cuando ya no sea rentable. Los spammers verán caer sus ganancias si nadie les compra (porque ni siquiera ves los correos electrónicos basura). Esta es la forma más fácil de combatir el spam, y sin duda una de las mejores.

El spam terminará cuando ya no sea rentable. Los spammers verán caer sus ganancias si nadie les compra (porque ni siquiera ves los correos electrónicos basura). Esta es la forma más fácil de combatir el spam, y sin duda una de las mejores.

Quejándose de spam

Pero también puede afectar el lado de los gastos del balance de un spammer. Si se queja con el proveedor de servicios de Internet (ISP) del spammer, perderán su conexión y tal vez tengan que pagar una multa (dependiendo de la política de uso aceptable del ISP).

Como los spammers conocen y temen dichos informes, intentan esconderse. Es por eso que encontrar el ISP correcto no siempre es fácil. Afortunadamente, existen herramientas como SpamCop que facilitan la notificación de spam correctamente en la dirección correcta.

Determinando la Fuente del Spam

¿Cómo encuentra SpamCop el ISP correcto para quejarse? Examina de cerca las líneas de encabezado del mensaje de spam. Estos encabezados contienen información sobre la ruta que tomó un correo electrónico.

SpamCop sigue la ruta hasta el punto desde donde se envió el correo electrónico. A partir de este punto, también conocido como una dirección IP, puede derivar el ISP del spammer y enviar el informe al departamento de abuso de este ISP.

Echemos un vistazo más de cerca a cómo funciona esto.

Correo electrónico: encabezado y cuerpo

Cada mensaje de correo electrónico consta de dos partes, el cuerpo y el encabezado. El encabezado puede considerarse como el sobre del mensaje, que contiene la dirección del remitente, el destinatario, el asunto y otra información. El cuerpo contiene el texto real y los archivos adjuntos.

Parte de la información del encabezado que suele mostrar su programa de correo electrónico incluye:

  • De: el nombre y la dirección de correo electrónico del remitente.
  • Para: el nombre y la dirección de correo electrónico del destinatario.
  • Fecha: la fecha en que se envió el mensaje.
  • Asunto: La línea de asunto.

Encabezado de forja

La entrega real de correos electrónicos no depende de ninguno de estos encabezados, son solo conveniencia.

Por lo general, la línea De: por ejemplo, se enviará a la dirección del remitente. Esto asegura que sepa de quién es el mensaje y que pueda responder fácilmente.

Los spammers quieren asegurarse de que no puedas responder fácilmente, y ciertamente, no quieren que sepas quiénes son. Es por eso que insertan direcciones de correo electrónico ficticias en las líneas De: de sus mensajes basura.

Recibido: Líneas

Entonces, la línea De: es inútil si queremos determinar la fuente real de un correo electrónico. Afortunadamente, no necesitamos confiar en ello. Los encabezados de cada mensaje de correo electrónico también contienen Recibido: líneas.

Por lo general, estos no se muestran en los programas de correo electrónico, pero pueden ser muy útiles para rastrear el correo no deseado.

Análisis recibido: líneas de encabezado

Al igual que una carta postal pasará por varias oficinas postales en su camino de remitente a destinatario, varios servidores de correo procesan y reenvían un mensaje de correo electrónico.

Imagine que cada oficina de correos pone un sello especial en cada letra. El sello diría exactamente cuándo se recibió la carta, de dónde vino y a dónde fue enviada por la oficina de correos. Si recibiste la carta, podrías determinar la ruta exacta tomada por la carta.

Esto es exactamente lo que sucede con el correo electrónico.

Recibido: Líneas para seguimiento

Cuando un servidor de correo procesa un mensaje, agrega una línea especial, la línea Recibido: al encabezado del mensaje. La línea Recibido: contiene, lo más interesante, el nombre del servidor y la dirección IP de la máquina en la que el servidor recibió el mensaje del nombre del servidor de correo.

La línea Recibido: siempre se inserta en la parte superior de los encabezados de los mensajes. Si queremos reconstruir el viaje de un correo electrónico de remitente a destinatario, también comenzamos en la línea Recibido: la línea superior (por qué hacemos esto se hará evidente en un momento) y caminaremos hacia abajo hasta llegar al último, que es donde El correo electrónico se originó.

Recibido: Forja de línea

Los spammers saben que aplicaremos exactamente este procedimiento para descubrir su paradero. Para engañarnos, pueden insertar Recibidos falsificados: líneas que apuntan a que otra persona envíe el mensaje.

Dado que cada servidor de correo siempre colocará su línea Recibido: en la parte superior, los encabezados falsificados de los spammers solo pueden estar en la parte inferior de la cadena Recibido: línea. Es por eso que comenzamos nuestro análisis en la parte superior y no solo derivamos el punto donde se originó un correo electrónico desde la primera línea Recibida: (en la parte inferior).

Cómo decirle a un falsificado recibido: línea de encabezado

Las líneas falsas recibidas: insertadas por spammers para engañarnos se verán como todas las otras líneas recibidas: (a menos que cometan un error obvio, por supuesto). Por sí solo, no se puede distinguir una línea recibida falsificada de una genuina.

Aquí es donde entra en juego una característica distintiva de Recibido: las líneas.Como hemos señalado anteriormente, cada servidor no solo notará quién es sino también de dónde recibió el mensaje (en forma de dirección IP).

Simplemente comparamos quién dice ser un servidor con lo que el servidor que uno en la cadena dice que realmente es. Si los dos no coinciden, la línea Recibido: se ha falsificado.

En este caso, el origen del correo electrónico es el que el servidor inmediatamente después de recibir recibió: la línea tiene que decir de quién recibió el mensaje.

¿Estás listo para un ejemplo?

Ejemplo de spam analizado y rastreado

Ahora que conocemos la base teórica, analicemos un correo electrónico no deseado para identificar su origen en la vida real.

Acabamos de recibir una pieza ejemplar de spam que podemos usar para hacer ejercicio. Aquí están las líneas de encabezado:

Recibido: de desconocido (HELO 38.118.132.100) (62.105.106.207)
por mail1.infinology.com con SMTP; 16 de noviembre de 2003 19:50:37 -0000
Recibido: de [235.16.47.37] por 38.118.132.100 id; Dom, 16 de noviembre de 2003 13:38:22 -0600
ID de mensaje:
De: «Reinaldo Gilliam»
Respuesta a: «Reinaldo Gilliam»
Para: ladedu @ ladedu.com
Asunto: Categoría A Obtenga los medicamentos que necesita lgvkalfnqnh bbk
Fecha: dom, 16 de noviembre de 2003 13:38:22 GMT
X-Mailer: Servicio de correo por Internet (5.5.2650.21 )
Versión MIME: 1.0
Tipo de contenido: multiparte/alternativa;
límite = «9B_9 .._ C_2EA.0DD_23»
Prioridad X: 3
X -MSMail-Priority: Normal

¿Puedes decir la dirección IP donde se originó el correo electrónico?

Remitente y Asunto

Primero, eche un vistazo a la línea – forjada – Desde:. El spammer quiere que parezca que el mensaje fue enviado desde un Yahoo! Cuenta de correo. Junto con la línea Reply-To:, esta dirección From: está dirigida a dirigir todos los mensajes que rebotan y las respuestas enojadas a un Yahoo! no existente. Cuenta de correo.

A continuación, el Asunto: es una curiosa aglomeración de caracteres aleatorios. Es apenas legible y, obviamente, está diseñado para engañar a los filtros de spam (cada mensaje tiene un conjunto de caracteres aleatorios ligeramente diferente), pero también está diseñado con bastante habilidad para transmitir el mensaje a pesar de esto.

Lo recibido: líneas

Finalmente, el Recibido: líneas. Comencemos con el más antiguo, Recibido: de [235.16.47.37] por 38.118.132.100 id; Dom, 16 de noviembre de 2003 13:38:22 -0600 . No contiene nombres de host, pero hay dos direcciones IP: 38.118.132.100 afirma haber recibido el mensaje de 235.16.47.37. Si esto es correcto, 235.16.47.37 es donde se originó el correo electrónico, y descubriremos a qué ISP pertenece esta dirección IP, y luego les enviaremos un informe de abuso.

Veamos si el siguiente servidor (y en este caso el último) de la cadena confirma el primer Recibido: reclamos de línea: Recibido: de desconocido (HELO 38.118.142.100) (62.105.106.207) por mail1.infinology.com con SMTP ; 16 de noviembre de 2003 19:50:37 -0000 .

Dado que mail1.infinology.com es el último servidor de la cadena y, de hecho, «nuestro» servidor, sabemos que podemos confiar en él. Ha recibido el mensaje de un host «desconocido» que afirmó tener la dirección IP 38.118.132.100 (usando el comando SMTP HELO). Hasta ahora, esto está en línea con lo que recibió el anterior recibido: línea.

Ahora veamos de dónde nuestro servidor de correo recibió el mensaje. Para averiguarlo, echamos un vistazo a la dirección IP entre paréntesis inmediatamente antes de by mail1.infinology.com . Esta es la dirección IP desde la que se estableció la conexión, y no es 38.118.132.100. No, 62.105.106.207 es desde donde se envió este correo basura.

Con esta información, ahora puede identificar el ISP del spammer y reportarles el correo electrónico no solicitado para que puedan expulsarlo de la red.

Rate article
labsfabs.com
Add a comment