Identifique si un determinado dominio está utilizando Office 365 o Google Mail

3

Tengo una lista de dominios de correo electrónico que quería confirmar si están usando Office 365 o Google Mail para correo. La verificación de MX con Nslookup puede hacer el trabajo, pero noté que algunas compañías usarán un servicio antispam como su DNS MX y luego lo redireccionarán al servicio de correo MX, ofuscando el servidor de correo electrónico. ¿Alguien sabe alguna forma de identificar qué hay detrás del intercambiador de correo y también si es Office 365 o Google?

    
pregunta Frosa 20.06.2016 - 21:50
fuente

1 respuesta

7

Si tienes acceso al correo electrónico enviado desde esos dominios, los encabezados contendrán una gran cantidad de información que te ayudará a determinar dónde están alojados. El inconveniente es que, a diferencia de buscar en sus registros MX públicos, necesitará recibir un correo electrónico real de alguien que esté allí para que los encabezados lo examinen.

Cada servidor de correo adjunta al encabezado Received del mensaje para manejar su mensaje. Si encuentra entradas como esta, es una indicación de que proviene de un usuario de Office365:

Received: from BY2FFO11FD003.protection.gbl (2a01:111:f400:7c0c::150) by
 DM2PR07CA0012.outlook.office365.com (2a01:111:e400:2414::12) with Microsoft
 SMTP Server (TLS) id 15.1.409.15 via Frontend Transport; Mon, 15 Feb 2016
 07:05:08 +0000

(Recuerde que Recibido: los encabezados están precedidos ... los más cercanos a la parte superior son su servidor de correo; los más alejados en el bloque del encabezado son los más cercanos al remitente)

Además, Microsoft tiende a ser detallado en su uso de los encabezados X:

X-MS-Office365-Filtering-Correlation-Id: 1d91711e-ed71-457b-940d-08d335d6569e
X-Microsoft-Antispam-PRVS: <CO1PR07MB9408BD5A137BB4D0DD62AD9F6AC0@CO1PR07MB940.namprd07.prod.outlook.com>

Los usuarios de Gmail, por otro lado, se dirigirán a través de los servidores de correo de Google.com:

Received: by mail-qk0-f174.google.com with SMTP id c73so160486949qkg.2
        for <[email protected]>; Mon, 20 Jun 2016 06:09:04 -0700 (PDT)

Y hay otros encabezados que puede esperar que indiquen Gmail:

X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20130820;
        h=x-gm-message-state:from:content-transfer-encoding:mime-version
         :subject:message-id:date:to;
        bh=r/jgn896D9B3/dGqTvjA6Oypoq6NXeS9bZtz6pRcJVM=;
        b=V7bSJBRm/pZEAA3eYQ+6bRouRLOReIPeLxHuweA7vk0/nFs+qW8NCOC5Cm3SfYBFXH
         IcYgRDWaxu4ckR3K5Nd6MGRxil2Rdcf/mSoJp2ODgrdIPqwS9KQl3lA/1VsngRk1VE0I
         in/g1XY/z08KOMZHjJlD8X7TXNSxvtBC/CpfaXsll1AZ690qvuvF1oV5JfZrxv3TflHb
         TFWpkxkRVlKXD9uMsKkyNUiOhP654NMtRDAEhZL8ZlrytYX654OtoqkxblGGhUtcnvap
         9vEliKWJzZ4WnzZ9lPbqDmffEJ52R4pYFCfkPzlycZ3qQd/AyXz3qGFfKYQG/s1qFyr2
         MEug==
X-Gm-Message-State: ALyK8tKapGupKvgAgZijc99P8ZvHpBqDPU3gNZLUw+bow15vQEcL4HYQNx19EMxYLRHKBQ==

Ahora, si un dominio está enviando su correo electrónico a un servicio de correo no deseado que luego lo reenvía a Google, entonces es de suponer que los servidores de correo de Google aceptarán el correo para ese dominio aunque los registros MX no lo indiquen. Puede probar esto conectándose a los intercambiadores de correo de Google en el puerto 25 (SMTP) y verificando si aceptan el correo electrónico para el dominio en cuestión utilizando comandos SMTP simples (helo, mail from, rcpt to, quit).

No conozco un dominio que siga este patrón (MX = antispam luego - > Google) pero aquí hay una transacción SMTP que mostrará a Google dispuesto a aceptar correos electrónicos para el dominio 'stackexchange.com' (que es verdaderamente alojado en Google):

$ telnet aspmx.l.google.com 25
Trying 74.125.28.26...
Connected to aspmx.l.google.com.
Escape character is '^]'.
220 mx.google.com ESMTP e14si35146749pap.172 - gsmtp
helo pool-10-1-2-3.bstnma.fios.verizon.net
250 mx.google.com at your service
mail from: <[email protected]>
250 2.1.0 OK k9si37945038pfj.91 - gsmtp
rcpt to: <[email protected]>
250 2.1.5 OK k9si37945038pfj.91 - gsmtp
quit
221 2.0.0 closing connection k9si37945038pfj.91 - gsmtp
Connection closed by foreign host.
$

La respuesta "250" después de "rcpt to:" le dice que Google está dispuesto a aceptar correo para example.net.

En contraste, este es el mismo tipo de prueba con un dominio para el que Google no administra el correo, 'play4kd.com':

$ telnet aspmx.l.google.com 25
Trying 74.125.28.27...
Connected to aspmx.l.google.com.
Escape character is '^]'.
220 mx.google.com ESMTP xi11si6702300pac.134 - gsmtp
helo pool-10-1-2-3.bstnma.fios.verizon.net
250 mx.google.com at your service
mail from: <[email protected]>
250 2.1.0 OK xi11si6702300pac.134 - gsmtp
rcpt to: <[email protected]>
550-5.1.1 The email account that you tried to reach does not exist. Please try
550-5.1.1 double-checking the recipient's email address for typos or
550-5.1.1 unnecessary spaces. Learn more at
550 5.1.1  https://support.google.com/mail/answer/6596 xi11si6702300pac.134 - gsmtp
quit
221 2.0.0 closing connection xi11si6702300pac.134 - gsmtp
Connection closed by foreign host.
$

En este caso, el comando "rcpt to:" fue seguido por un código de error "550", lo que indica que Google no aceptará el correo para este dominio.

Ahora, esto no es una prueba perfecta. En mis pruebas, algunos dominios que presumiblemente no están alojados en Google, como microsoft.com, habrían sido aceptados por Google.com. Pero podría ser mejor que nada.

    
respondido por el gowenfawr 20.06.2016 - 22:49
fuente

Lea otras preguntas en las etiquetas