¿Cómo informar a la computadora sobre el origen que envía los mensajes de correo electrónico? [duplicar]

Navega tus respuestas
2

No soy un experto en seguridad.
No estaba seguro de si debería publicar esta pregunta aquí o en "exploit".
He buscado respuestas antes de publicar ...

¿Podría alguien decirme cómo puedo determinar si se están enviando correos electrónicos desde una computadora en particular?

La situación es la siguiente. Un amigo mío está recibiendo bromas o mensajes de correo electrónico "falsos". Él cree que está siendo enviado por uno de sus estudiantes como una broma. Él recibe un correo electrónico legítimo de los padres. Pero él cree que el niño está usando la cuenta de correo electrónico de su madre.

Parece que este chico punk usó la cuenta de correo electrónico de su madre para crear correos electrónicos. Además, se inscribió en alguna cita (¿o sitio de pornografía?) Llamado "myzamana.com" y firmó el nombre de su madre para que mi amigo ahora reciba correos electrónicos de solicitud de ese sitio web.

Sé que los enrutadores DHCP mantendrán las asignaciones de direcciones IP durante algún tiempo como se establece en la configuración del enrutador. Por lo general, en una casa no hay demasiados dispositivos conectados y el enrutador puede conservar las asignaciones de direcciones IP de cada dispositivo conectado. Pero uno tendría que conocer las asignaciones de direcciones para los dispositivos en primer lugar para determinar el dispositivo de origen que envía una dirección de correo electrónico. ¿Correcto?

Mi primera respuesta a mi amigo es que no es posible determinar la computadora real que se usó (por ejemplo, el niño usó su propia computadora pero inició sesión con la cuenta de su madre) simplemente mirando los encabezados de los mensajes de correo electrónico, en parte para el por encima de la razon Todo lo que puedo deducir del encabezado del correo electrónico adjunto es que hay algunas direcciones IP 10.x.x.x pero estas son solo direcciones IP privadas de LAN.

Adjunto algunos encabezados de correo electrónico que mi amigo me reenvió (a continuación). Edité las direcciones de correo electrónico legítimas por razones de privacidad. ¿Alguien me puede iluminar, incluso si eso significa apuntarme a algunos enlaces de educación donde puedo leer sobre la tecnología apropiada relevante?

Muchas gracias, 

"punk kid name"
Delivered-To: [email protected]
Received: by 10.58.24.131 with SMTP id u3csp144140vef;
        Fri, 30 May 2014 17:40:50 -0700 (PDT)
X-Received: by 10.42.244.201 with SMTP id lr9mr19465050icb.2.1401496850161;
        Fri, 30 May 2014 17:40:50 -0700 (PDT)
Return-Path: <[email protected]>
Received: from nm49.bullet.mail.ne1.yahoo.com (nm49.bullet.mail.ne1.yahoo.com. [98.138.120.56])
        by mx.google.com with ESMTPS id d9si11587227icm.107.2014.05.30.17.40.49
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Fri, 30 May 2014 17:4punk kid name0:50 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 98.138.120.56 as permitted sender) client-ip=98.138.120.56;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 98.138.120.56 as permitted sender) [email protected];
       dkim=pass [email protected];
       dmarc=pass (p=REJECT dis=NONE) header.from=yahoo.com
Received: from [127.0.0.1] by nm49.bullet.mail.ne1.yahoo.com with NNFMP; 31 May 2014 00:40:49 -0000
Received: from [98.138.100.111] by nm49.bullet.mail.ne1.yahoo.com with NNFMP; 31 May 2014 00:37:49 -0000
Received: from [66.196.81.173] by tm100.bullet.mail.ne1.yahoo.com with NNFMP; 31 May 2014 00:37:46 -0000
Received: from [98.139.212.244] by tm19.bullet.mail.bf1.yahoo.com with NNFMP; 31 May 2014 00:37:46 -0000
Received: from [127.0.0.1] by omp1053.mail.bf1.yahoo.com with NNFMP; 31 May 2014 00:37:46 -0000
X-Yahoo-Newman-Property: ymail-4
X-Yahoo-Newman-Id: [email protected]
Received: (qmail 94636 invoked by uid 60001); 31 May 2014 00:37:46 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1401496666; bh=ZQq8j8cv0S/vLsuV2Vmu786k69/gyMEKBYaXT4My+6I=; h=Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type; b=oU1u4UVl7cNrpXN9BdprnCIBkVmUnBeh7y3rC+YQMjvXoOc265CsjYfkzwpWv40CSnACtefYnJAE621Y63zS9aLJATta2d5VoiSiJN4TV1Z88cnIDLGBunEpxq9YjtUhbLWkqEtK4yoPbwiQ2lnbBEpgHxhMKVadD3i4NtW4Skw=
X-YMail-OSG: Tv93FNQVM1nHpslRrq38uX54Qs1mrXND6AGkLivh4iV67LF
 lCGJX5KJXeoCJom2DvBuq80yRsnpHgFDFvRWGKiOQ8AgdnS7dB38VIFB0Glh
 DC5Tsgn52YN4WelLywOQRkPRTKxrTIGotKWe8OAcWpcjMrELuo87QlgUEuWq
 vxTRdiRIFGpWspv7pinbxDDrAMLLDKzY4rdHs6qQGMm7w.sQNit7WZaDkoKu
 Ab5KJpg.gctZAcgpTiijQdNQY35v5H8YDQoKxpqpDdorOXbQrRIJrLBzZ6Yw
 MCQMqFWnMydophCUClmzCjxuoClI5sdQie5c3aBQ8C92KjhraX4MdWYoO__u
 co.BT4Nl9sM7bbm47S9CcOSIeMUdQhSufdZUBV2ac.ItfI516XK.R7iMrr8r
 0L5XWGIjoLQWt1muuxXg_DqR7wSXJtqOKzJh7USPWNwAG13fUrSihEmUuSAz
 iJOPoFPCk7b8q3QShmHXPvTbxtj5kHwIv4UPXSMyVv0qTVwGIzSj9zdKLFcu
 4QMaqe0WlyJOi8Ac-
Received: from [209.79.72.16] by web162306.mail.bf1.yahoo.com via HTTP; Fri, 30 May 2014 17:37:45 PDT
X-Rocket-MIMEInfo: 002.001,SGVsbG8gT1ZIUyB0ZW5uaXMgY29hY2guIE15IG5hbWUgaXMgUm9nZXIgV2lsc29uIGFuZCBJIGFtIGN1cnJlbnRseSBhbiA4dGggZ3JhZGVyIGF0dGVuZGluZyBNYXJpbmUgVmlldyBNaWRkbGUgU2Nob29sIGFuZCBhbSBpbnRlcmVzdGVkIGluIGNvbWluZyBvdXQgYW5kIHBsYXlpbmcgZm9yIE9WIG5leHQgeWVhci4gSSBoYXZlIGFwcHJveGltYXRlbHkgNyB5ZWFycyBvZiBleHBlcmllbmNlIGFuZCBoYXZlIHBhcnRpY2lwYXRlZCBpbiBzZXZlcmFsIGxvY2FsIHRvdXJuYW1lbnRzLiBJIGFtIGF3YXJlIHRoYXQBMAEBAQE-
X-Mailer: YahooMailWebService/0.8.188.663
Message-ID: <[email protected]>
Date: Fri, 30 May 2014 17:37:45 -0700 (PDT)
From: punk kid name <[email protected]>
Reply-To: punk kid name <[email protected]>
Subject: Freshmen Tennis
To: "[email protected]" <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="1844268657-78743074-1401496665=:6237"

--1844268657-78743074-1401496665=:6237
Content-Type: text/plain; charset=us-ascii

Hello tennis coach. My name is punk kid name and I 

**************************
Mom's name - myzamana ..."
Delivered-To: [email protected]
Received: by 10.58.73.99 with SMTP id k3csp8490vev;
        Tue, 10 Jun 2014 09:01:52 -0700 (PDT)
X-Received: by 10.68.253.73 with SMTP id zy9mr12854824pbc.114.1402416112032;
        Tue, 10 Jun 2014 09:01:52 -0700 (PDT)
Return-Path: <noreply+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com>
Received: from m1.myzamanamail.com (m1.myzamanamail.com. [192.155.81.148])
        by mx.google.com with ESMTP id bl3si34767769pbc.235.2014.06.10.09.01.51
        for <[email protected]>;
        Tue, 10 Jun 2014 09:01:52 -0700 (PDT)
Received-SPF: pass (google.com: domain of noreply+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com designates 192.155.81.148 as permitted sender) client-ip=192.155.81.148;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com designates 192.155.81.148 as permitted sender) smtp.mail=noreply+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com;
       dkim=pass (test mode) [email protected]
To: [email protected]
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=myzamanamail.com;
    s=230211; t=1402416111;
    bh=vQNWAs+8XofFui2UBUGRZW3n9/OFpvkEbBi5fDLy1ew=;
    h=From:Reply-To:Subject:Date:List-Unsubscribe;
    b=RIXG4mCEH5JbLPw9iuVS9Sm0gn9BPuOgbM6hlB69As12LOG+QfiLUMwsABcDFuKlE
     1sqXUm7f2rGkjGlaaEGH+cartvcwOAVBpxcZmptK0oy1jjOBI6IKDF5sx90pVQir7J
     OdqDt4CSXoTQJW3+sHPF1tDKv8YmotltGkqKYF1M=
From: Mom's name <[email protected]>
Reply-To: noreply+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com
Subject: =?utf-8?B?4piFIE5pcywgTGluZGEncyBGYXZvcml0ZSBQaG90b3M=?=
Date: Tue, 10 Jun 2014 16:01:51 +0000
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="_=_swift-121288024853972bef9e5808.62301993_=_"
Content-Transfer-Encoding: 7bit
X-Mailgun-Variables: {"email_id":"b-189953972bef97785214693711","hash":"48a8d467be3e320fd4c02dca0f600183"}
List-Unsubscribe: <mailto:abuse+b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183@m1.myzamanamail.com>
Precedence: bulk
Message-ID: <20140610160151.23826.1626722214.swift@dolores>

This is a message in multipart MIME format.  Your mail client should not
be displaying this. Consider upgrading your mail client to view this
message correctly.
--_=_swift-121288024853972bef9e5808.62301993_=_
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit

Hi there,

Nis, Follow my favorite photos on Picbum!

https://www.picbum.com/?secret=b-189953972bef97785214693711_48a8d467be3e320fd4c02dca0f600183

Mom's name

****************************
Delivered-To: [email protected]
Received: by 10.58.73.99 with SMTP id k3csp264709vev;
        Fri, 13 Jun 2014 17:22:52 -0700 (PDT)
X-Received: by 10.68.190.74 with SMTP id go10mr7393567pbc.16.1402705371691;
        Fri, 13 Jun 2014 17:22:51 -0700 (PDT)
Return-Path: <noreply+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com>
Received: from m10.myzamanamail.com (m10.myzamanamail.com. [192.155.80.145])
        by mx.google.com with ESMTP id rd13si6293369pac.216.2014.06.13.17.22.51
        for <[email protected]>;
        Fri, 13 Jun 2014 17:22:51 -0700 (PDT)
Received-SPF: pass (google.com: domain of noreply+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com designates 192.155.80.145 as permitted sender) client-ip=192.155.80.145;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of noreply+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com designates 192.155.80.145 as permitted sender) smtp.mail=noreply+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com
To: [email protected]
From: Mom's name <[email protected]>
Reply-To: noreply+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com
Subject: =?utf-8?B?4piFIE5pcywgTGluZGEncyBGYXZvcml0ZSBQaG90b3M=?=
Date: Sat, 14 Jun 2014 00:22:51 +0000
X-LibVersion: 3.3.2
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="_=_swift-1367413788539b95db4e1080.38411787_=_"
Content-Transfer-Encoding: 7bit
X-Mailgun-Variables: {"email_id":"b-3424539b95db08b54849462487","hash":"879174704e403edcc51d159cfdef9361"}
List-Unsubscribe: <mailto:abuse+b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361@m10.myzamanamail.com>
Precedence: bulk
Message-ID: <20140614002251.26711.117550881.swift@hulk>

This is a message in multipart MIME format.  Your mail client should not
be displaying this. Consider upgrading your mail client to view this
message correctly.
--_=_swift-1367413788539b95db4e1080.38411787_=_
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit

Hi there,

Nis, Follow my favorite photos on Picbum!

https://www.picbum.com/?secret=b-3424539b95db08b54849462487_879174704e403edcc51d159cfdef9361

Mom's name
    
pregunta rhimbo 19.08.2014 - 20:34
fuente

1 respuesta

2

Mirando el primer mensaje, veo: %código% Esa es probablemente la dirección del enrutador desde donde se originó el correo, y no la dirección de una PC que estaría detrás del enrutador.

Una búsqueda en 209.79.72.16 me da información confusa; es en Richardson, TX o en el Condado de Orange, CA. Un pequeño empujón me hace creer que el Condado de Orange tiene razón. Entonces, ¿tiene sentido el Condado de Orange en el contexto donde crees que es probable que esté el niño punk?

Si es así, entonces esa dirección IP pertenece al Departamento de Educación del Condado de Orange. ¿Podría el niño haber enviado esto desde la escuela? La gente de OCDE IT podría rastrearlo a una computadora en particular desde sus registros, dado que usted tiene una marca de tiempo.

Los otros dos parecen provenir de myzamana.com, lo cual tiene sentido si el niño te inscribió. Puede probar su dirección de correo electrónico con su "¿Olvidó su contraseña?" enlace, cambie la contraseña en el sitio y elimine cualquier dirección de correo electrónico.

Editado para agregar: Dado que el mensaje que parece provenir de OCDE era de mayo, no parece probable que el personal de TI de OCDE tenga registros de hace mucho tiempo. Sin embargo, no hará daño preguntar.

También se agregó: los encabezados de correo electrónico se agregan en la parte superior; puede confiar en el primero porque lo habrá agregado su propio servidor de correo electrónico o el de su proveedor de correo electrónico. Luego lee la lista en busca de una discontinuidad. Es probable que indique un encabezado falsificado.

Me apunté en el encabezado con la dirección IP 209.79.72.16 porque todo lo demás parecía estar bien y ese dijo que Yahoo recibió el correo a través de HTTP, es decir de alguien que usa un cliente de correo web.

Aquí hay un analizador de encabezado de correo electrónico: enlace No tenía nada que agregar a mi propio análisis a menos que me perdiera algo .

Para educación, vea el enlace en el mensaje "Posible duplicado".

    
respondido por el Bob Brown 19.08.2014 - 21:06
fuente

Lea otras preguntas en las etiquetas

¿Cómo puede ser seguro un hash que contiene un algoritmo para elegir? ¿Cómo lidiar con el mal comportamiento de los clientes en un servidor autorizado?