¿Alguna vez recibió un correo electrónico y realmente se preguntó de dónde vino? ¿Quien lo envió? ¿Cómo pudieron saber quién eres? Sorprendentemente, mucha de esa información puede ser desde el encabezado del correo electrónico, o usando información del encabezado del correo electrónico para hacer un trabajo de detective.
El encabezado es una parte del mensaje de correo electrónico que la mayoría de la gente nunca ve. Contiene una gran cantidad de datos que parecen engorrosos para el usuario promedio de la computadora, por lo que el uso del correo electrónico se convirtió en una herramienta diaria en la vida de todos, los clientes de correo electrónico comenzaron a ocultar esta información por conveniencia para usted. En estos días, incluso puede ser un poco molesto mostrar el encabezado, incluso para aquellos que saben que está allí. Hay tantos clientes diferentes de correo electrónico, tanto de escritorio como basados en la web, que cubrir cómo mostrar el encabezado del correo electrónico podría terminar siendo un pequeño libro. Hoy, solo nos enfocaremos en cómo mostrar el encabezado en Gmail, y luego veremos qué podemos obtener del encabezado.
¿Qué es un encabezado de correo electrónico?
Un encabezado de correo electrónico es una colección de información que documenta la ruta por la que el correo electrónico llegó a usted. Puede haber mucha información en el encabezado o solo lo básico. Existe un estándar para qué información debe incluirse en un encabezado, pero no es realmente un límite a la información que un servidor de correo electrónico puede poner en el encabezado. Si tiene curiosidad acerca de cómo se ve un estándar para un protocolo de correo electrónico, consulte RFC 5321 - Protocolo simple de transferencia de correo. Es un poco difícil en la cabeza, especialmente si no necesitas saber esto.
Gmail: mostrar el encabezado del correo electrónico
Una vez que haya abierto un mensaje de correo electrónico en Gmail, haga clic en la flecha hacia abajo que se encuentra cerca de la esquina superior derecha del mensaje. Se mostrará un nuevo menú. Haga clic en Mostrar original para ver el mensaje de correo electrónico sin formato con su contenido completo y el encabezado revelado.
Se abrirá una nueva ventana o pestaña y verá una versión en texto sin formato de su correo electrónico con el encabezado en la parte superior, por supuesto. El contenido del encabezado se verá algo así:
Entregado a: [email protected]
Recibido: por 10.223.200.70 con SMTP id ev6csp162209fab;
Lunes, 29 de julio de 2013 14:15:09 -0700 (PDT)
X-Received: por 10.236.227.202 con SMTP id d70mr27737943yhq.86.1375132508769;
Lunes, 29 de julio de 2013 14:15:08 -0700 (PDT)
Vía de retorno:
Recibido: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
por mx.google.com con ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
para
(versión = cifrado TLSv1 = bits RC4-SHA = 128/128);
Lunes, 29 de julio de 2013 14:15:08 -0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 no está permitido ni denegado por el mejor registro de conjeturas para el dominio de [email protected]) client-ip = 205.206.208.34;
Autenticación-Resultados: mx.google.com;
spf = neutral (google.com: 205.206.208.34 no está permitido ni denegado por el mejor registro de conjeturas para el dominio de [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: cierto
X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4.89.772.1367992800";
d = "jpg'145? scan'145, 208, 217, 145"; a = "14712973"
Recibido: de desconocido (HELO mail.exchange.telus.com) ([205.206.210.187])
por mx21.exchange.telus.com con ESMTP / TLS / AES128-SHA; 29 de julio de 2013 15:15:07 -0600
Recibido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por
HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lunes, 29 de julio de 2013 15:13:48 -0600
De: Guy McDowell
Para: "[email protected]"
Fecha: Lun, 29 de julio de 2013 15:15:03 -0600
Asunto: ¿Qué es un encabezado de correo electrónico?
Thread-Topic: ¿Qué es un encabezado de correo electrónico?
Thread-Index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
ID de mensaje:
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach: sí
X-MS-TNEF-Correlator:
acceptlanguage: en-US
Content-Type: multipart / related;
boundary = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_";
type = "multipart / alternative"
Versión MIME: 1.0
Eso es bueno. Qué significa eso?
¿Cómo se crea el encabezado del correo electrónico?
Al saber cómo se crea el encabezado a lo largo de la ruta que recorre un correo electrónico, desarrollará una mejor comprensión de lo que significan los datos de un encabezado. Miremos las partes a medida que se agregan, y lo que significan las partes más importantes.
En la computadora del remitente
Parte del encabezado se crea cuando el remitente crea el correo electrónico para enviarlo al destinatario. Esto incluirá información como cuándo se compuso el correo electrónico, quién lo compuso, el asunto y a quién se envía el correo electrónico. Esta es la parte del encabezado que está más familiarizado como Fecha :, De :, A :, y Asunto: líneas en la parte superior de su correo electrónico.
De: Guy McDowell
Para: "[email protected]"
Fecha: Lun, 29 de julio de 2013 15:15:03 -0600
Asunto: ¿Qué es un encabezado de correo electrónico?
En el servicio de correo electrónico del remitente
Se agrega más información al encabezado una vez que se envía realmente el correo electrónico. Esto es proporcionado por el servicio de correo electrónico que el remitente está utilizando. En este caso, el remitente está utilizando un servicio de correo electrónico alojado, por lo que la dirección IP que se muestra es una dirección que es interna a la red del proveedor del servicio. Realizar una búsqueda de WHOIS en él no proporcionará ninguna información útil. Lo que podemos hacer es realizar una búsqueda en Google con el nombre del servidor HEXMBVS12.hostedmsx.local y podemos encontrar que el proveedor del servicio es Telus. Si investigamos un poco en el sitio web de Telus, descubriremos que ofrecen un servicio hospedado de Microsoft Exchange. Eso sugiere que el remitente probablemente esté utilizando Microsoft Outlook, Outlook Express o Outlook Web Access. La información agregada aquí incluye, la dirección IP del remitente ([10.9.6.115]), la hora enviada por el servicio de correo electrónico del remitente (lunes, 29 de julio de 2013 15:13:48 -0600), y la ID del mensaje para ese particular mensaje como agregado por el servicio de correo electrónico.
(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Recibido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lunes, 29 de julio de 2013 15:13:48 -0600
ID de mensaje:
En el camino hacia el servicio de correo electrónico del destinatario
A partir de ahí, el correo electrónico puede tomar cualquier número de rutas para terminar en el servicio de correo electrónico del destinatario. Esto se puede agregar al encabezado para mostrar los 'saltos' que el correo electrónico tuvo que hacer para llegar a usted. Estos saltos comienzan en el servidor que más recientemente manejó el correo electrónico y regresan al servidor que originalmente lo manejó, en orden cronológico inverso. En este ejemplo, todos los saltos son internos en el servicio de correo electrónico del remitente.
Tercero, y Final Hop
Recibido: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
por mx.google.com con ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
para
(versión = cifrado TLSv1 = bits RC4-SHA = 128/128);
Lunes, 29 de julio de 2013 14:15:08 -0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 no está permitido ni denegado por el mejor registro de conjeturas para el dominio de [email protected]) client-ip = 205.206.208.34;
Autenticación-Resultados: mx.google.com;
spf = neutral (google.com: 205.206.208.34 no está permitido ni denegado por el mejor registro de conjeturas para el dominio de [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: cierto
X-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4.89.772.1367992800";
d = "jpg'145? scan'145, 208, 217, 145"; a = "14712973"
Explicación del tercer salto
Este es el salto que lo lleva de Telus al servidor de correo electrónico de los destinatarios. Podemos decir que fue recibido por mx.google.com, por lo que el destinatario tiene su servicio de correo electrónico con Google. Aquí es bueno tener en cuenta que la línea Received-SPF: SPF, o Sender Policy Framework, es un estándar por el cual el servidor de correo del remitente puede declararse como el remitente legítimo del correo electrónico. En este caso, el calificador es neutral, lo que significa que no se puede decir nada sobre la validez de este correo electrónico, bueno o malo. Si se registra como un error, los servidores de Gmail lo rechazaron. Si fuera softfail, Gmail lo habría aceptado, pero lo marcó como posiblemente no siendo de quien dice ser.
Justo debajo de eso, también verá tres líneas que comienzan con X-IronPort-Anti-Spam . La primera, X-IronPort-Anti-Spam-Filtered: true, está añadida por el dispositivo antispam IronPort de Telus. IronPort es parte de Cisco, por lo que se considera bastante confiable. La línea X-IronPort-Anti-Spam-Result está pensada únicamente para los dispositivos IronPort y no se puede decodificar para ojos humanos, a menos que trabaje para Cisco y necesite decodificarla. El tercero, X-IronPort-AV, muestra que el remitente tiene su propio dispositivo antispam de Sophos. Podría haber leído McAfee o Norton, o cualquier filtro por el que pasa su correo electrónico. Como destinatario, esto puede darle un poco más de confianza de que el correo electrónico es válido.
Segundo salto
Recibido: de desconocido (HELO mail.exchange.telus.com) ([205.206.210.187])
por mx21.exchange.telus.com con ESMTP / TLS / AES128-SHA; 29 de julio de 2013 15:15:07 -0600
Segundo salto Explicación
Aquí se vuelve obvio que Telus es el proveedor de servicios. Si tiene alguna duda al respecto, realice una verificación de WHOIS en la dirección IP que se muestra: 205.206.210.187. Descubrirá que la dirección IP también conduce a Telus. Eso le da un poco más de confianza en que el correo electrónico es legítimo. También podemos decir que el mensaje tomó un poco más de un minuto para pasar del primer salto al segundo salto. Eso no nos dice mucho a menos que seas un ingeniero de redes. En teoría, podría calcular aproximadamente qué tan separados están los dos servidores.
Primer salto
Recibido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por
HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lunes, 29 de julio de 2013 15:13:48 -0600
Explicación del primer salto
El primer salto es el servidor de correo electrónico del remitente que recibe su mensaje de correo electrónico. En este punto, el correo electrónico se está moviendo internamente dentro de la red del servidor de correo electrónico del remitente. Se nota por el hecho de que la dirección IP comienza con 10 . La dirección IP que comienza con 10 está reservada para uso interno solamente.
En el servidor de correo electrónico del destinatario
Entregado a: [email protected]
Recibido: por 10.223.200.70 con SMTP id ev6csp162209fab;
Lunes, 29 de julio de 2013 14:15:09 -0700 (PDT)
X-Received: por 10.236.227.202 con SMTP id d70mr27737943yhq.86.1375132508769;
Lunes, 29 de julio de 2013 14:15:08 -0700 (PDT)
Vía de retorno:
Una vez que llega al servicio de correo electrónico del destinatario, se agrega más información al encabezado: ¿cuál de los servidores de servicios de correo electrónico del destinatario lo recibió y cuándo, de qué servidor de correo electrónico se recibió el mensaje, la dirección de correo electrónico del destinatario y la respuesta del remitente? a 'dirección de correo electrónico. de vuelta en el tercer salto, vimos que el servicio de correo electrónico del destinatario estaba con Google. Podemos decir que este correo electrónico fue recibido por un servidor interno y pasado a otro - 10.236.227.202 a 10.223.200.70. Lo que es más importante, podemos decir mediante Return Path: que el correo electrónico para responder y el correo electrónico del remitente es el mismo. Esto también nos dice que hay buenas posibilidades de que este correo electrónico sea legítimo.
Otras cosas de otros encabezados
Este encabezado de correo electrónico en particular está limitado en su información porque se está utilizando un servicio de correo electrónico alojado. Si el remitente estuviera usando su propio servidor de correo electrónico, podríamos obtener un poco más de información. Es posible que podamos determinar exactamente qué cliente de correo están usando. O podríamos realizar un WHOIS en la dirección IP del remitente y obtener una ubicación aproximada del remitente. También podríamos realizar una simple búsqueda web en el dominio del remitente y ver si hay un sitio web para ellos. Con base en ese sitio web, podemos encontrar aún más información sobre el remitente. Puede realizar una búsqueda en la web en la dirección de correo electrónico y comenzar a doxing a la persona. Si no está familiarizado con el concepto de 'doxing', familiarícese con Joel Lee's What Is Doxing & ¿Cómo afecta su privacidad? ¿Qué es Doxing y cómo afecta su privacidad? [Explicaciones de MakeUseOf] ¿Qué es Doxing y cómo afecta su privacidad? [MakeUseOf Explains] La privacidad en Internet es un gran negocio. Una de las ventajas de Internet es que puedes permanecer anónimo detrás de tu monitor mientras navegas, chateas y haces lo que sea que hagas ... Leer más También lee el artículo de Ryan Dube, 15 sitios web para encontrar. Personas en Internet 12 sitios web para encontrar personas en Internet 12 sitios web para buscar personas en Internet Si está buscando un amigo perdido hace tiempo, o tal vez desea hacer una verificación de antecedentes de alguien, considere estos recursos gratuitos para encontrar personas En Internet. Lee mas .
The Take Away
Todas las comunicaciones electrónicas dejan huellas. Algunos son más grandes y más fáciles de seguir. Algunos están oscurecidos por filtros web y servidores proxy. De cualquier manera, lo que queda atrás nos dice algo acerca de la persona que los creó. A partir de esos metadatos, podríamos realizar más investigaciones para obtener más información sobre las personas involucradas. ¿Están escondiendo algo mediante el uso de una VPN? ¿Son realmente de un negocio legítimo con una presencia web legítima? ¿Es este alguien con quien realmente quiero tener una cita? ¿Qué puede aprender la gente común sobre mí, y mucho menos sobre la NSA?
Eche un vistazo a los encabezados de su correo electrónico y vea lo que dicen sobre usted. Si encuentra algunas líneas de encabezado que no tienen mucho sentido, colóquelas en los comentarios e intentaremos decodificarlas. ¿Tuviste que hacer alguna investigación de encabezado de correo electrónico? ¡Cuéntanos sobre eso! Así es como todos aprendemos.
Crédito de la imagen: Server Room by torkildr a través de Flickr.