¿Qué se puede aprender de un encabezado de correo electrónico (metadatos)?

¿Alguna vez recibió un correo electrónico y realmente se preguntó de dónde vino? ¿Quien lo envió? ¿Cómo pudieron saber quién eres? Sorprendentemente, gran parte de esa información puede provenir del encabezado del correo electrónico, o al usar la información del encabezado del correo electrónico para hacer algún trabajo de detective.

El encabezado es una parte del mensaje de correo electrónico que la mayoría de la gente ni siquiera ve. Contiene una gran cantidad de datos que parecen engañosos para el usuario promedio de computadoras, por lo que el uso del correo electrónico se convirtió en una herramienta diaria en la vida de todos, los clientes de correo electrónico comenzaron a esconder esta información por conveniencia para usted. En estos días, incluso puede ser un poco molesto mostrar el encabezado, incluso para aquellos que saben que está ahí. Hay tantos clientes de correo electrónico diferentes, tanto de escritorio como basados ​​en la web, que cubrir cómo mostrar el encabezado del correo electrónico podría terminar siendo un libro pequeño. Hoy, solo nos centraremos en cómo mostrar el encabezado en Gmail, y luego veremos qué podemos obtener del encabezado..

¿Qué es un encabezado de correo electrónico??

Un encabezado de correo electrónico es una recopilación de información que documenta la ruta por la cual el correo electrónico llegó a usted. Puede haber mucha información en el encabezado o solo en lo básico. Existe un estándar para la información que se debe incluir en un encabezado, pero no es realmente un límite para la información que un servidor de correo electrónico puede colocar en el encabezado. Si tiene curiosidad acerca de cómo es un estándar para un protocolo de correo electrónico, consulte RFC 5321 - Protocolo simple de transferencia de correo. Es un poco duro para la cabeza, especialmente si no necesitas saber esto.

Gmail - Mostrar el encabezado del correo electrónico

Una vez que haya abierto un mensaje de correo electrónico en Gmail, haga clic en la flecha hacia abajo cerca de la esquina superior derecha del mensaje. Se mostrará un nuevo menú. Haga clic en Mostrar original para ver el mensaje de correo electrónico sin procesar con su contenido completo y el encabezado revelado..

Se abrirá una nueva ventana o pestaña y verá una versión de texto simple de su correo electrónico con el encabezado en la parte superior, por supuesto. El contenido del encabezado se verá así:

Entregado a: [email protected]
Recibido: hasta el 10.223.200.70 con el identificador de SMTP ev6csp162209fab;
Lunes, 29 de julio de 2013, 14:15:09 -0700 (PDT)
Recibido X: por 10.236.227.202 con ID de SMTP d70mr27737943yhq.86.1375132508769;
Lunes, 29 de julio de 2013, 14:15:08 -0700 (PDT)
Vía de retorno:
Recibido: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
por mx.google.com con ID ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08
para
(versión = cifrado TLSv1 = bits RC4-SHA = 128/128);
Lunes, 29 de julio de 2013, 14:15:08 -0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 no está permitido ni denegado por el registro de mejor conjetura para el dominio de [email protected]) client-ip = 205.206.208.34;
Resultados de la autenticación: mx.google.com;
spf = neutral (google.com: 205.206.208.34 no está permitido ni denegado por el registro de mejor conjetura para el dominio de [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: true
X-IronPra-V-Período-V-Período-A-V-JCB-2 -Galibi-A-J-2 Período-V-Período-A-J-2
X-IronPort-AV: E = Sophos; i =”4.89.772.1367992800 ";
d =”jpg'145? scan'145,208,217,145 "; a =”14712973 "
Recibido: de desconocido (HELO mail.exchange.telus.com) ([205.206.210.187])
por mx21.exchange.telus.com con ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600
Recibido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por
HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lun, 29 de julio de 2013 15:13:48 -0600
De: Guy McDowell
A: “[email protected]”
Fecha: lun, 29 jul 2013 15:15:03 -0600
Asunto: ¿Qué es un encabezado de correo electrónico??
Thread-Topic: ¿Qué es un encabezado de correo electrónico??
Thread-Index: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
ID de mensaje: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>
Aceptar-Idioma: en-US
Content-Language: en-US
X-MS-Has-Attach: si
X-MS-TNEF-Correlador:
acceptlanguage: en-US
Tipo de contenido: multiparte / relacionado;
límite =”_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
tipo =”multiparte / alternativa”
Versión MIME: 1.0

Eso es bueno. Qué significa eso?

¿Cómo se crea el encabezado de correo electrónico??

Al saber cómo se crea el encabezado a lo largo de la ruta que recorre un correo electrónico, desarrollará una visión más clara de lo que significa la información de un encabezado. Veamos las partes a medida que se agregan y lo que significan las partes más importantes..

En la computadora del remitente

Parte del encabezado se crea cuando el remitente crea el correo electrónico para enviarlo al destinatario. Esto incluirá información tal como cuándo se redactó el correo electrónico, quién lo redactó, la línea del asunto y a quién se envía el correo electrónico. Esta es la parte del encabezado que le resulta más familiar al ver como la Fecha :, De :, A: y Asunto: líneas en la parte superior de su correo electrónico.

De: Guy McDowell
A: “[email protected]”
Fecha: lun, 29 jul 2013 15:15:03 -0600
Asunto: ¿Qué es un encabezado de correo electrónico??

En el servicio de correo electrónico del remitente

Se agrega más información al encabezado una vez que se envía el correo electrónico. Esto es proporcionado por el servicio de correo electrónico que el remitente está utilizando. En este caso, el remitente está utilizando un servicio de correo electrónico alojado, por lo que la dirección IP que se muestra es una dirección interna a la red del proveedor del servicio. Realizar una búsqueda de WHOIS en ella no proporcionará ninguna información útil. Lo que podemos hacer es realizar una búsqueda en Google en el nombre del servidor HEXMBVS12.hostedmsx.local y podemos encontrar que el proveedor de servicios es Telus. Si investigamos un poco en el sitio web de Telus, descubriremos que ofrecen un servicio Hosted Microsoft Exchange. Eso sugiere que el remitente probablemente esté utilizando Microsoft Outlook, Outlook Express o Outlook Web Access. La información agregada aquí incluye, la dirección IP del remitente ([10.9.6.115]), la hora enviada por el servicio de correo electrónico del remitente (lun, 29 de julio de 2013 15:13:48 -0600) y el ID de mensaje para ese particular Mensaje como agregado por el servicio de correo electrónico.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Recibido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lun, 29 de julio de 2013 15:13:48 -0600
ID de mensaje: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

En el camino hacia el servicio de correo electrónico del destinatario

A partir de ahí, el correo electrónico puede tomar cualquier número de rutas para terminar en el servicio de correo electrónico del destinatario. Esto se puede agregar al encabezado para mostrar los "saltos" que el correo electrónico tuvo que hacer para llegar a usted. Estos saltos comienzan en el servidor que más recientemente manejó el correo electrónico y regresan al servidor que originalmente lo manejó, en orden cronológico inverso. En este ejemplo, todos los saltos son internos en el servicio de correo electrónico del remitente..

Tercera, y salto final

Recibido: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
por mx.google.com con ID ESMTPS y27si28720489yhc.101.2013.07.29.14.15.08
para
(versión = cifrado TLSv1 = bits RC4-SHA = 128/128);
Lunes, 29 de julio de 2013, 14:15:08 -0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 no está permitido ni denegado por el registro de mejor conjetura para el dominio de [email protected]) client-ip = 205.206.208.34;
Resultados de la autenticación: mx.google.com;
spf = neutral (google.com: 205.206.208.34 no está permitido ni denegado por el registro de mejor conjetura para el dominio de [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: true
X-IronPra-V-Período-V-Período-A-V-JCB-2 -Galibi-A-J-2 Período-V-Período-A-J-2
X-IronPort-AV: E = Sophos; i =”4.89.772.1367992800 ";
d =”jpg'145? scan'145,208,217,145 "; a =”14712973 "

Explicación del tercer salto
Este es el salto que lo lleva de Telus al servidor de correo electrónico de los destinatarios. Podemos decir que fue recibido por mx.google.com, por lo que el destinatario tiene su servicio de correo electrónico con Google. Aquí es bueno tener en cuenta la línea Recibido-SPF: SPF, o Sender Policy Framework, es un estándar por el cual el servidor de correo electrónico de un remitente puede declararse como el remitente legítimo del correo electrónico. En este caso, el calificador es neutral, lo que significa que no se puede decir nada sobre la validez de este correo electrónico, bueno o malo. Lo había registrado como fallar, Habría sido rechazado por los servidores de Gmail. Si fuera falla suave, Gmail lo habría aceptado, pero lo señaló como posiblemente no es de quien dice que es.

Justo debajo de eso, también verá tres líneas que comienzan con X-IronPort-Anti-Spam. El primero, X-IronPort-Anti-Spam-Filtered: true, está adherido por el dispositivo antispam IronPort de Telus. IronPort es parte de Cisco, por lo que se considera bastante confiable. los X-IronPort-Anti-Spam-Resultado line está diseñado exclusivamente para los dispositivos IronPort y no se puede decodificar para los ojos humanos, a menos que trabaje para Cisco y necesite decodificarlo. El tercero, X-IronPort-AV, muestra que el remitente tiene su propio dispositivo antispam de Sophos. Podría haber leído McAfee o Norton, o cualquier filtro por el que pase su correo electrónico. Como destinatario, esto puede darle un poco más de confianza de que el correo electrónico es válido.

Segundo salto

Recibido: de desconocido (HELO mail.exchange.telus.com) ([205.206.210.187])
por mx21.exchange.telus.com con ESMTP / TLS / AES128-SHA; 29 jul 2013 15:15:07 -0600

Explicación del segundo salto
Aquí se hace evidente que Telus es el proveedor de servicios. Si tiene alguna duda al respecto, realice una verificación de WHOIS en la dirección IP que se muestra: 205.206.210.187. Encontrarás que la dirección IP también lleva a Telus. Eso te da un poco más de confianza de que el correo electrónico es legítimo. También podemos decir que el mensaje tardó un poco más de un minuto en pasar del primer salto al segundo salto. Eso no nos dice mucho a menos que sea un ingeniero de redes. En teoría, podría calcular aproximadamente qué tan separados están los dos servidores.

Primer salto

Recibido: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) por
HEXHUB13.hostedmsx.local ([:: 1]) con mapi; Lun, 29 de julio de 2013 15:13:48 -0600

Explicación del primer salto
El primer salto es el servidor de correo electrónico del remitente que recibe su mensaje de correo electrónico. En este punto, el correo electrónico aún se está moviendo internamente dentro de la red del servidor de correo electrónico del remitente. Se puede decir por el hecho de que la dirección IP comienza con 10. La dirección IP que comienza con 10 está reservada solo para uso interno.

En el servidor de correo electrónico del destinatario

Entregado a: [email protected]
Recibido: hasta el 10.223.200.70 con el identificador de SMTP ev6csp162209fab;
Lunes, 29 de julio de 2013, 14:15:09 -0700 (PDT)
Recibido X: por 10.236.227.202 con ID de SMTP d70mr27737943yhq.86.1375132508769;
Lunes, 29 de julio de 2013, 14:15:08 -0700 (PDT)
Vía de retorno:

Una vez que llega al servicio de correo electrónico del destinatario, se agrega más información al encabezado: cuál de los servidores de servicios de correo electrónico del destinatario lo recibió y cuándo, de qué servidor de correo electrónico recibió el mensaje, la dirección de correo electrónico del destinatario y la respuesta declarada del remitente a 'dirección de correo electrónico. De vuelta en el tercer salto, vimos que el servicio de correo electrónico del destinatario era con Google. Podemos decir que este correo electrónico fue recibido por un servidor interno y pasado a otro: 10.236.227.202 a 10.223.200.70. Lo más importante es que podemos decir por el Vía de retorno: que el correo electrónico para responder y el correo electrónico del remitente es el mismo. Esto también nos dice que existe una buena posibilidad de que este correo electrónico sea legítimo..

Otras cosas de otros encabezados

Este encabezado de correo electrónico en particular está limitado en su información porque se está utilizando un servicio de correo electrónico alojado. Si el remitente estuviera utilizando su propio servidor de correo electrónico, podríamos obtener un poco más de información. Podríamos determinar exactamente qué cliente de correo están usando. O podríamos realizar un WHOIS en la dirección IP del remitente y obtener una ubicación aproximada del remitente. También podríamos realizar una búsqueda web simple en el dominio del remitente y ver si existe un sitio web para ellos. Con base en ese sitio web, es posible que podamos encontrar aún más información sobre el remitente. Puede realizar una búsqueda en la web en la dirección de correo electrónico en sí misma y comenzar a aburrir a la persona. Si no está familiarizado con el concepto de 'doxing', familiarícese con Joel Lee ¿Qué es Doxing y cómo afecta su privacidad? ¿Qué es Doxing y cómo afecta su privacidad? [MakeUseOf explica] ¿Qué es Doxing y cómo afecta su privacidad? [MakeUseOf Explica] La privacidad de Internet es un gran negocio. Una de las ventajas indicadas de Internet es que puede permanecer en el anonimato detrás de su monitor mientras navega, chatea y hace lo que sea que haga ... Lea más Lea también el artículo de Ryan Dube: 15 sitios web para encontrar gente en el Sitios web de Internet 12 para encontrar personas en Internet 12 sitios web de Internet para encontrar personas en Internet Si está buscando un amigo perdido hace mucho tiempo, o tal vez quiera hacer una verificación de antecedentes de alguien, considere estos recursos gratuitos para encontrar personas en Internet . Lee mas .

El para llevar

Todas las comunicaciones electrónicas dejan huellas. Algunos son más grandes y más fáciles de seguir. Algunos están ocultos por filtros web y servidores proxy. De cualquier manera, lo que queda atrás nos dice algo acerca de la persona que los creó. A partir de esos metadatos, podríamos realizar investigaciones adicionales para obtener más información sobre las personas involucradas. ¿Están escondiendo algo usando una VPN? ¿Son realmente de un negocio legítimo con una presencia web legítima? ¿Es esta alguien con la que realmente quiero tener una cita? ¿Qué puede aprender la gente común acerca de mí, por no hablar de la NSA??

Eche un vistazo a los encabezados de sus correos electrónicos y vea lo que dicen de usted. Si encuentra algunas líneas de encabezado que no tienen mucho sentido, póngalas en los comentarios e intentaremos decodificarlas. ¿Has tenido que hacer algún encabezado de correo electrónico investigando? ¡Cuéntanos sobre ello! Así es como todos aprendemos..

Crédito de la imagen: Server Room por torkildr a través de Flickr.

Explorar más sobre: ​​Consejos de correo electrónico, Metadatos.