¿Qué hay en un encabezado de correo electrónico y por qué debería importarle?

¿Alguna vez recibió un mensaje de spam o phishing de una dirección de correo electrónico que no reconoció? ¿Quizás alguien te ofreció un viaje gratis, te pidió que les enviaras bitcoins a cambio de fotos personales o simplemente te envió un correo electrónico de marketing no deseado?

¿Te has preguntado de dónde vienen esos correos electrónicos? ¿Ha visto a un spammer falsificar su dirección de correo electrónico y se preguntó cómo lo hizo?

La suplantación de correo electrónico, o hacer que un correo electrónico parezca que proviene de una dirección diferente a la que vino (por ejemplo, un correo electrónico que parece provenir de whitehouse.gov, pero en realidad es de un estafador) es muy fácil.

Los protocolos de correo electrónico principales no tienen ningún método de autenticación, lo que significa que la dirección 'de' es básicamente un espacio en blanco.

Por lo general, cuando recibe un correo electrónico, se parece a esto:

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

Debajo está el asunto y el mensaje.

¿Pero cómo sabes de dónde vino realmente ese correo electrónico? ¿No hay datos adicionales que se puedan analizar?

Lo que estamos buscando son los encabezados de correo electrónico completos; lo que ve arriba es solo un encabezado parcial. Estos datos nos darán información adicional sobre el origen del correo electrónico y cómo llegó a su bandeja de entrada.

Si desea ver sus propios encabezados de correo electrónico, aquí le mostramos cómo acceder a ellos en Outlook y Gmail. La mayoría de los programas de correo operan de manera similar, y una simple búsqueda en Google le dirá cómo ver los encabezados en servicios de correo alternativos.

En este artículo veremos un conjunto de encabezados reales (aunque están muy redactados; he cambiado los nombres de host, las marcas de tiempo y las direcciones IP).

Leeremos los encabezados de arriba a abajo, pero tenga en cuenta que cada nuevo servidor agrega su encabezado en la parte superior del cuerpo del correo electrónico. Esto significa que leeremos cada encabezado del Agente de transferencia de mensajes (MTA) final y trabajaremos hasta el primer MTA para aceptar el mensaje.

Transferencias internas

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

Este primer salto muestra una línea HTTPS, lo que significa que el servidor no recibió el mensaje a través de SMTP estándar y, en cambio, creó el mensaje a partir de la entrada que recibió en una aplicación web.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

Estos son los dos primeros bloques de encabezado que son transferencias de correo internas. Puede saber que estos fueron recibidos por servidores de Office365 (outlook.com) y enrutados internamente al destinatario correcto.

También puede saber que el mensaje se envía a través de SMTP cifrado. Usted sabe esto porque el encabezado enumera "con Microsoft SMTP Server" y luego especifica la versión de TLS que está usando, así como el cifrado específico.

El tercer bloque de encabezado marca la transición de un servidor de correo local a un servicio de filtrado de correo. Lo sabe porque fue "a través de Frontend Transport", que es un protocolo específico de Microsoft-Exchange (y por lo tanto no era estrictamente SMTP).

Este bloque también incluye algunas comprobaciones por correo electrónico. El encabezado de Outlook.com detalla sus resultados SPF / DKIM / DMARC aquí. Un softfail SPF significa que esta dirección IP no está autorizada para enviar correos electrónicos en nombre de gmail.com.

"dkim = pass" significa que el correo electrónico es de su presunto remitente y (muy probablemente) no se modificó durante el envío.  

DMARC es un conjunto de reglas que le indican al servidor de correo cómo interpretar los resultados de SPF y DKIM. Pasar probablemente significa que el correo electrónico continúa hasta su destino.

Para obtener más información sobre SPF, DKIM y DMARC, consulte este artículo.

Transición interna / externa

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

Este es el registro SPF de Google, que le indica al servidor receptor que el correo electrónico que dice que proviene de gmail.com proviene de un servidor aprobado por Google.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected].com; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

Esto muestra algunas comprobaciones adicionales de SPF / DKIM / DMARC, así como los resultados de un escaneo IronPort.

Ironport es un filtro de correo electrónico popular utilizado por muchas empresas para buscar spam, virus y otros correos electrónicos maliciosos. Escanea los enlaces y archivos adjuntos en el correo electrónico y determina si el correo electrónico es malicioso (y debe descartarse), si es probable que sea legítimo y deba entregarse, o si es sospechoso, en cuyo caso puede adjuntar un encabezado al cuerpo que les dice a los usuarios que tengan cuidado con el correo electrónico.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

Esta sección muestra los saltos internos que tomó el correo electrónico desde el dispositivo inicial del remitente a través del sistema de enrutamiento de Gmail y al entorno de Outlook del destinatario. A partir de esto, podemos ver que el remitente inicial era de una Macbook, usando un enrutador doméstico, con Verizon Fios en Nueva York.

Este es el final de los saltos que muestran la ruta que ha tomado el correo electrónico del remitente al destinatario. Más allá de esto, verá el cuerpo del correo electrónico (y los encabezados que normalmente ve como "desde:", "a:", etc.), tal vez con algún formato basado en el tipo de medio y el cliente de correo electrónico (por ejemplo, el Versión MIME, tipo de contenido, límite, etc.). También puede contener información de usuario-agente, que es detalles sobre qué tipo de dispositivo envió el mensaje.

En este caso, ya sabemos que el dispositivo de envío era una Macbook debido a la convención de nomenclatura de Apple, pero también puede contener detalles sobre el tipo de CPU, la versión, incluso el navegador y la versión que se instalaron en el dispositivo.

En algunos casos, pero no en todos, también puede contener la dirección IP del dispositivo de envío (aunque muchos proveedores ocultarán esa información sin una citación).

¿Qué pueden decirle los encabezados de correo electrónico?

Los encabezados de correo electrónico pueden ayudar a identificar cuándo no se envían correos electrónicos de sus supuestos remitentes. Pueden proporcionar cierta información sobre el remitente, aunque generalmente no es suficiente para identificar al verdadero remitente.

Las fuerzas del orden a menudo pueden usar estos datos para citar la información del ISP correcto, pero el resto de nosotros podemos usarlos principalmente para ayudar a informar investigaciones, generalmente sobre phishing.

Este proceso se ve dificultado por el hecho de que los servidores malintencionados o piratas informáticos pueden falsificar los encabezados. Sin ponerse en contacto con el propietario de cada servidor y verificar individualmente que los encabezados de su correo electrónico coinciden con sus registros SMTP, lo cual es laborioso y requiere mucho tiempo, no estará seguro de que los encabezados sean precisos (aparte de los encabezados adjuntos por sus propios servidores de correo).

Without contacting each server's owner and individually verifying that the headers in your email match their SMTP logs, which is painstaking and time-consuming, you won't be certain the headers are all accurate..

DKIM, DMARC and SPF can all help with this process, but aren't perfect, and without them, there's no verification at all.

Don't want to analyze your own headers? This site will do it for you.