marca roja del encabezado del correo electrónico

2

Debo analizar los encabezados de los correos electrónicos para los intentos de spam / phishing. ¿Cuál es la metodología que debería seguir solo mirando el encabezado? Sé que tengo que ver el marco de la política del remitente, del campo de retorno, de la ruta de retorno, recibida, pero ¿puede dar algunos ejemplos o algunas sugerencias? ¿Cómo puedo reconocer a través de los diversos saltos que podría ser sospechoso?

En particular, necesito formalizar una eventual teoría sobre cualquier posible intento de fraude. Quiero entender mejor:

  • lo que realmente describe el primer salto, en el sentido de que es un salto entre el primer Agente de transferencia de mensajes y el siguiente, lo que significa que no representa el salto entre la máquina del usuario y el primer servidor de intercambio de correo ¿O también podría representar esta última situación? (Por ejemplo, estoy analizando algunos correos electrónicos y en algunos casos el primer salto es "de apache por" algún dominio "", o "de usuario [número de IP] por" algún dominio "");
  • si hay un salto en el que está el nombre del intercambiador de correo y también la IP junto a él, entre paréntesis, pero parece que la IP está en otro país, ¿qué significa?
  • ¿cómo debe interpretarse el SPF (la comprobación se refiere a la máquina del servidor de envío, por lo que es el primer salto)?
pregunta Myke 21.06.2017 - 13:51
fuente

1 respuesta

1

Estas preguntas son un poco amplias y confusas. Los encabezados de los correos electrónicos a menudo se ven diferentes por varias razones.

  

lo que realmente describe el primer salto, en el sentido de que es un   salto entre el primer agente de transferencia de mensajes y el siguiente, lo que significa   Que no representa el salto entre la máquina del usuario.   y el primer servidor de intercambio de correo, o también podría representar este último   ¿situación? (Por ejemplo estoy analizando algunos correos electrónicos y en algunos casos   el primer salto es "de apache por" algún dominio "", o "de usuario [IP   número] por "algún dominio" ")

El primer salto generalmente es el primer informe de MTA que recibió el mensaje. "Desde Apache" solo significa que el servidor que lo envió estaba ejecutando Apache. Por lo general, la dirección IP de los usuarios reales, si está presente, se encuentra en el campo X-Originating-IP .

  

si hay un salto en el que está el nombre del intercambiador de correo y   También la IP a su lado, entre paréntesis, pero parece que   que la propiedad intelectual está en otro país, ¿qué significa?

Los nombres que ve en el encabezado de un correo electrónico son nombres de dominio completos (FQDN). Identifican una máquina en particular en Internet y dentro de ese dominio. La dirección IP entre paréntesis es la dirección IP de esa máquina, por lo que si se resuelve en un determinado país, es donde se encuentra la máquina.

  

cómo debería SPF   ser interpretado (el cheque se refiere a la máquina del servidor de envío para   el primer salto)?

SPF coloca un registro en DNS con una lista de todas las direcciones IP autorizadas para enviar correo en nombre del dominio. Los clientes de correo del destinatario verifican si el MTA que envía el mensaje que están recibiendo tiene una dirección IP que se encuentra dentro de esos rangos. Si lo hace, generalmente hay una denotación en el encabezado que dice Pass . Si no es así, pueden suceder varias cosas dependiendo de cómo esté configurada la política de SPF:

  • Si el registro finaliza en -all , no se permitirán los mensajes y verá una denotación de Fallo en el encabezado.
  • Si el registro termina en ~all , los mensajes se permitirán, pero deberían estar marcados. Puede ver un Ninguno o SoftFail para estos mensajes.

Otras cosas que se pueden hacer con respecto a los saltos es verificar si el FQDN coincide con el registro MX para el dominio. Por ejemplo, si el dominio de Bob del remitente foo-bar.com utilizó Google para enviar correo, entonces puede esperar ver el FQDN de Google en su parte de la ruta del mensaje. Esto puede requerir a veces realizar búsquedas de whois en los nombres de dominio en cuestión porque no siempre pueden ser nombrados de tal manera que sea obvio que pertenecen a cierta organización.

Otra prueba es verificar si el dominio de envío usa DKIM. Si lo hace, y no hay una firma DKIM presente, eso es un buen indicador de un correo electrónico falso.

    
respondido por el J. Behnken 21.06.2017 - 15:17
fuente

Lea otras preguntas en las etiquetas