Solo para agregar, el estafador puede pasar por alto la alerta de BLOQUEO ROJO DE GMAIL, si el correo electrónico está cifrado con TLS y SPF está firmado en el dominio. Ejemplo: alguien puede reservar un dominio similar al dominio original del gobierno como myfederralgov.org y puede enviar correos electrónicos cifrados TLS con SPF firmado. Por lo tanto, no habrá forma de identificar el mensaje como spam de una vez.
No es fácil detectar correos electrónicos de phishing
Si bien algunos de los correos electrónicos que recibimos son correo no deseado obvio, la mayoría de ellos no son fáciles de reconocer con solo ver el contenido o el remitente.
- ¿Dónde puede obtener fondos para una nueva puesta en marcha?
- ¿Cuáles son las opciones de financiación para los estudiantes internacionales de maestría en universidades canadienses para maestros relacionados con la ingeniería civil?
- ¿Con qué frecuencia las escuelas secundarias de EE. UU. Suelen celebrar reuniones? ¿Cómo se financian las reuniones?
- ¿Qué significan las diferentes series de financiación (para nuevas empresas)?
- ¿Por qué Bernie Sanders no puede recaudar tanto dinero como Hillary?
Pero hay una manera …
Aquí viene la depuración anticipada del correo electrónico, que comúnmente se conoce como análisis de los encabezados del correo electrónico. Comprendamos qué son los encabezados de correo electrónico y cómo pueden ayudar a detectar correos electrónicos fraudulentos.
En general, solo se muestra la información básica en el encabezado normal del correo electrónico. Algunos ejemplos de encabezado de correo electrónico normal en diferentes clientes de correo:
Gmail
Thunderbird
Como notará, la mayoría de los lectores de correo electrónico solo muestran los encabezados From: y To:, que se pueden falsificar fácilmente. Los encabezados de mensaje completos se verán así:
Entregado a: [email protected]
Recibido: antes del 10.200.41.121 con ID SMTP z54csp461727qtz;
Dom, 8 de enero de 2017 04:33:03 -0800 (PST)
X-recibido: por 10.55.157.17 con identificación SMTP g17mr82034336qke.122.1483878783846;
Dom, 08 de enero de 2017 04:33:03 -0800 (PST)
Ruta de retorno:
Recibido: de trans.pepitrans01.com (trans.pepitrans01.com. [103.52.181.228])
por mx.google.com con el ID de ESMTPS 94si44473076qtb.140.2017.01.08.04.33.03
para
(versión = cifrado TLS1_2 = ECDHE-RSA-AES128-GCM-SHA256 bits = 128/128);
Dom, 08 de enero de 2017 04:33:03 -0800 (PST)
Received-SPF: pass (google.com: dominio de [email protected] designa 103.52.181.228 como remitente permitido) client-ip = 103.52.181.228;
Resultados de autenticación: mx.google.com;
dkim = pasar [email protected];
[email protected];
spf = pass (google.com: dominio de [email protected] designa 103.52.181.228 como remitente permitido) [email protected]
Firma DKIM: v = 1; a = rsa-sha1; c = relajado / relajado; s = pepipost; d = delivery.seasonsms.com; h = ID del mensaje: Para: De: Asunto: Tipo de contenido: Lista-Cancelar suscripción: Fecha;
bh = IReTMq2p4Y99Y1lFEln + pSvcofA =; b = dEWvsIdSK0j5Gmp9ATUlhfDRHQqUR7BolSaqyBh + CzC5WU4iGnn6aBZFtLSi0b4ze + V5nwG3fCAyn4mkAGhdgA7DvJTikspVnn + Jqpu68ru6UnH10WVD8oCJ6aa4Pa6A / sA4Zm52K9h2R7cGQjMOcEZ + N5NNQ6BG9Dtvi + ezKgk =
Recibido: por trans226.mailxy.com id he8oo0229vgh; Dom, 8 de enero de 2017 18:03:04 +0530 (sobre-desde )
Entregado a: [email protected]
Firma DKIM: v = 1; a = rsa-sha1; c = relajado / relajado; s = pepipost; d = delivery.seasonsms.com; h = ID de mensaje: Para: De: Asunto: Tipo de contenido: Lista-Cancelar suscripción: Fecha; bh = ChnX1bsU13QtrayAVkclQsY4c0s =; b = Ziuit9vOzeeAanLi0 /
.
ID de mensaje:
Para: [email protected]
De: “Confirmación – Thrifty-Deals”
Asunto: Confirme su suscripción al boletín
Tipo de contenido: texto / plano
Darse de baja de la lista:
X-InjTime: 1483878784
X-Abuse-Reports-To: [email protected]
X-FNCID: 22228-14838138016706353-0
X-TransMail: 1
Fecha: dom, 8 de enero de 2017 18:03:04 +0530
Hemos recibido su solicitud para recibir el boletín de Thrifty-Deals. Haga clic a continuación ahora para completar el proceso:
http://seasonsms.com/lt.pl?jfklowerwksdfha
¡Gracias!
Editor:
Casa editorial de temporada
Newport News, VA 23606
El encabezado completo del correo electrónico proporcionaría mucha más información sobre el origen de un mensaje y es una herramienta útil para rastrear y detener el correo no deseado y el correo electrónico cargado de virus.
Cada vez que abra un correo electrónico para leer, también encontrará opciones como Ver código fuente, Ver encabezado de mensaje o Mostrar original. Aquí está la guía para que vea los encabezados de correo electrónico completos en diferentes clientes de correo electrónico o proveedor de correo web.
Comprender los diferentes elementos de los encabezados de correo electrónico
Recibido
Las líneas de encabezado comienzan con Recibido: y proporciona un seguimiento del correo electrónico desde su origen a su servidor de correo. Mostrará el origen junto con la lista de servidores que procesaron este correo electrónico antes de llegar a su buzón. El parámetro ‘Recibido:’ de su correo electrónico le brinda muchas pistas valiosas para identificar la legitimidad de la fuente.
Cómo analizar el parámetro Recibido en los encabezados de correo
Cada servidor de correo que maneja un mensaje de correo electrónico agrega un encabezado Recibido: establecido al frente del mensaje; por lo tanto, el primer conjunto lo agrega su servidor de correo.
El primer encabezado recibido muestra que el correo electrónico en realidad se originó en un servidor con la dirección IP 10.200.41.121
Recibido: antes del 10.200.41.121 con ID SMTP z54csp461727qtz;
Dom, 8 de enero de 2017 04:33:03 -0800 (PST)
En el ejemplo anterior, el encabezado muestra que el correo electrónico realmente se recibió de : “Confirmación – Thrifty-Deals” < [email protected] > pero el parámetro Recibido: se muestra desde http://trans.pepitrans01.com . [103.52.181.228].
Recibido: de trans.pepitrans01.com (trans.pepitrans01.com. [103.52.181.228])
por mx.google.com con el ID de ESMTPS 94si44473076qtb.140.2017.01.08.04.33.03
para
(versión = cifrado TLS1_2 = ECDHE-RSA-AES128-GCM-SHA256 bits = 128/128);
Dom, 08 de enero de 2017 04:33:03 -0800 (PST)
Ahora, esto parece sospechoso. A menos que http://trans.pepitrans01.com pertenezca al mismo propietario propietario de Love, Cute, Jokes, Lovely, Birthday, Wise, Hindi, Urdu SMS o el propietario de Love, Cute, Jokes, Lovely, Birthday, Wise, Hindi , Urdu SMS ha otorgado derechos a http://trans.pepitrans01.com para enviar correos electrónicos en su nombre.
Vamos a ver el registro SPF de Love, Cute, Jokes, Lovely, Birthday, Wise, Hindi, Urdu SMS. Esto puede hacerlo fácilmente en la herramienta de búsqueda MX: verifique sus registros MX de DNS en línea, MxToolbox o simplemente escriba ~ dig TXT seasonsms.com en su terminal.
Según el registro SPF, Love, Cute, Jokes, Lovely, Birthday, Wise, Hindi, Urdu SMS ha otorgado derechos a http://pepipost.net para enviar correos electrónicos en su nombre.
Entonces, ahora intentemos validar la dirección IP de envío real http://trans.pepitrans01.com . [103.52.181.228] pertenece a pepipost.net o no. Si eso valida, entonces podemos decir con seguridad que el correo electrónico no es spam.
Entonces, revisemos el registro SPF de http://pepipost.net
Además, el SPF de http://trans.pepitrans01.com
Genial, en los dos anteriores obtuvimos la misma referencia de dirección IP, que es 103.52.181.x aquí. Entonces, esto muestra que http://pepipost.net ha permitido que 102.52.181.x envíe correos electrónicos en su nombre.
Entonces, la conclusión de este análisis es que
- el usuario [email protected] ha recibido un correo electrónico de [email protected] a través de la dirección IP 103.52.181.x que es propiedad de http://pepipost.net
- SPF de seasonsms muestra que han permitido que http://pepipost.net envíe correos electrónicos en su nombre.
Por lo tanto, este es un correo electrónico legítimo y no falsificado.
Recibido-SPF y DKIM-Signature
En el ejemplo anterior hay dos parámetros más importantes, Received-SPF y DKIM-Signature. No todos los remitentes agregan estos, pero la mayoría de los remitentes buenos / grandes ahora han hecho una práctica agregar SPF y DKIM. Estos parámetros ayudan a identificar la autenticidad del correo electrónico.
El parámetro de encabezado en Received-SPF se muestra como aprobado. Esto significa que el dominio Love, Cute, Jokes, Lovely, Birthday, Wise, Hindi, Urdu SMS ha permitido que la dirección IP 103.52.181.228 envíe correos electrónicos en su nombre.
Esto se ajusta al análisis que hicimos anteriormente.
Received-SPF: pass (google.com: dominio de [email protected] designa 103.52.181.228 como remitente permitido) client-ip = 103.52.181.228;
El siguiente parámetro de encabezado Authentication-Results: muestra dkim = pass. Esto significa que la clave pública larga mencionada en el parámetro DKIM-Signature: coincide con su clave privada asociada almacenada en el servidor de envío real 103.52.181.228/pepipost.net server.
Resultados de autenticación: mx.google.com;
dkim = pasar [email protected];
spf = pass (google.com: dominio de [email protected] designa 103.52.181.228 como remitente permitido) [email protected]
Firma DKIM: v = 1; a = rsa-sha1; c = relajado / relajado; s = pepipost; d = entrega.seasonsms.com;
h = ID de mensaje: Para: De: Asunto: Tipo de contenido: Cancelar suscripción: Fecha;
bh = IReTMq2p4Y99Y1lFEln + pSvcofA =; b = dEWvsIdSK0j5Gmp9ATUlhfDRHQqUR7BolSaqyBh + CzC5WU4iGnn6aBZFtLSi0b4ze + V5nwG3fCAyn4mkAGhdgA7DvJTikspVnn + Jqpu68ru6UnH10WVD8oCJ6aa4Pa6A / sA4Zm52K9h2R7cGQjMOcEZ + N5NNQ6BG9Dtvi + ezKgk =
Received-SPF: pass (google.com: dominio de [email protected] designa 103.52.181.228 como remitente permitido) client-ip = 103.52.181.228;
En el caso anterior, el correo electrónico se envió utilizando un servicio SMTP de terceros Pepipost. Pero, en caso de que el correo electrónico se haya enviado utilizando su propia infraestructura interna, el propietario del dominio del remitente y la dirección IP de envío deberían ser idealmente iguales (a menos que se trate de una infraestructura compartida).
Hay varias herramientas disponibles para verificar la propiedad de un dominio / dirección IP. La referencia autorizada para las direcciones IP es el Registro Americano de Números de Internet. Usando la herramienta “Buscar WHOIS” de ARIN, puede encontrar la identificación del propietario de la dirección IP.
Si nada funciona y todavía duda de la legitimidad de un correo electrónico, simplemente envíe un mensaje a “abuse @ organization” con una copia del encabezado completo del correo electrónico (Aquí está el ejemplo anterior: será [email protected]). La mayoría de los webmasters validan y responden las consultas recibidas sobre el abuso.
Darse de baja de la lista
Este es otro parámetro de parámetros importantes en el encabezado del correo electrónico.
Darse de baja de la lista:
En caso de que el usuario quiera darse de baja de un correo electrónico, simplemente envíe un correo electrónico a esta larga dirección de correo electrónico y el usuario se dará de baja.
El encabezado List-Unsubscribe es un texto opcional. Funciona junto con las opciones que el cliente de correo electrónico proporciona para cancelar la suscripción y quejas de spam.
Ejemplo: en el caso de Gmail, verá una opción para darse de baja de este remitente. Cuando un usuario hace clic en este enlace, el cliente de correo electrónico envía un correo electrónico a la dirección de correo electrónico definida en el parámetro de encabezado List-Unsubscribe .
Todos los encabezados de correo electrónico con el prefijo “X-” en realidad no son los encabezados estándar. Es agregado por el servidor emisor para algunos de sus propósitos de seguimiento interno e informes. Por lo tanto, estos pueden simplemente ignorarse para cualquier análisis. Ejemplos de estos encabezados en el ejemplo anterior son: X-Abuse-Reports-To, X-InjTime, X-FNCID, X-TransMail, X-SG-EID.
Históricamente, los diseñadores e implementadores de protocolos de aplicación a menudo han distinguido entre parámetros estandarizados y no estandarizados al prefijar los nombres de los parámetros no estandarizados con la cadena “X-” o construcciones similares. En la práctica, esa convención causa más problemas de los que resuelve. Por lo tanto, más tarde es depreciado por la comunidad IETF.
–
Dibya Sahoo
Pepipost | En una misión para construir la comunidad más grande de buenos remitentes de correo electrónico