¿Es posible falsificar el campo 'recibido' en el correo electrónico?

31

Hace poco recibí un correo electrónico extraño. El correo electrónico tiene diferentes campos From y Reply-To . También tiene To establecido en Undisclosed recipients pero no es crucial.

Al principio pensé que era falso, pero luego leí esto publicación que menciona que el campo Received no puede ser falsificado. Parece que lo recibido es correcto en el caso del correo electrónico del que estoy hablando:

Received: (wp-smtpd mx.tlen.pl 14490 invoked from network); 2 Oct 2018 07:19:36 +0200
Received: from mx.beniculturali.it ([194.242.241.200])
          (envelope-sender <pm-pie.aglie@beniculturali.it>)
          by mx.tlen.pl (WP-SMTPD) with ECDHE-RSA-AES256-GCM-SHA384 encrypted SMTP
          for <myemail@10g.pl>; 2 Oct 2018 07:19:36 +0200
Received: from sea2.mail.beniculturali.it (localhost.localdomain [127.0.0.1])
    by localhost (Email Security Appliance) with SMTP id 15EE31ECEEA_BB2FFE8B;
    Tue,  2 Oct 2018 05:19:36 +0000 (GMT)
Received: from MB2.mail.beniculturali.it (mb2.mail.beniculturali.it [192.168.123.122])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits))
    (Client CN "email.beniculturali.it", Issuer "Actalis Authentication CA G3" (not verified))
    by sea2.mail.beniculturali.it (Sophos Email Appliance) with ESMTPS id 1C9BD1E9E28_BB2FFE7F;
    Tue,  2 Oct 2018 05:19:35 +0000 (GMT)
Received: from MB2.mail.beniculturali.it (192.168.123.122) by
 MB2.mail.beniculturali.it (192.168.123.122) with Microsoft SMTP Server (TLS)
 id 15.0.1395.4; Tue, 2 Oct 2018 07:19:30 +0200
Received: from ca4.mail.beniculturali.it (192.168.123.144) by
 MB2.mail.beniculturali.it (192.168.123.122) with Microsoft SMTP Server (TLS)
 id 15.0.1395.4 via Frontend Transport; Tue, 2 Oct 2018 07:19:29 +0200
Received: from MDC.mail.beniculturali.it ([192.168.123.171]) by
 ca4.mail.beniculturali.it ([192.168.123.144]) with mapi; Tue, 2 Oct 2018
 07:19:29 +0200

¿Es posible falsificar el campo Received de alguna manera, quizás utilizando técnicas avanzadas?

    
pregunta Landeeyo 03.10.2018 - 10:10
fuente

1 respuesta

57

Es posible agregar campos arbitrarios al correo y esto incluye Received headers. Sin embargo, cualquier servidor de transporte de correo adecuado agregará un nuevo encabezado Received encima del correo, lo que significa que, dependiendo de la infraestructura de entrega exacta, el atacante puede, como máximo, falsificar totalmente el encabezado Received más alto. En su ejemplo específico, el encabezado superior Received parece ser algún servidor interno y el siguiente encabezado Received es el de su servidor de correo en el perímetro que acepta correos electrónicos externos. Todos los demás encabezados de Received podrían ser falsificados.

E incluso el encabezado Received agregado por el servidor en el perímetro podría contener información falsa. Es común que incluya el nombre de host reclamado por el cliente SMTP dentro del comando EHLO o HELO . Por lo tanto, en su ejemplo específico, el atacante puede falsificar mx.beniculturali.it , mientras que el servidor de correo receptor agrega ([194.242.241.200]) para mostrar desde qué IP de origen se recibió el correo y no se puede falsificar.

    
respondido por el Steffen Ullrich 03.10.2018 - 10:43
fuente

Lea otras preguntas en las etiquetas