Estas preguntas son un poco amplias y confusas. Los encabezados de los correos electrónicos a menudo se ven diferentes por varias razones.
lo que realmente describe el primer salto, en el sentido de que es un
salto entre el primer agente de transferencia de mensajes y el siguiente, lo que significa
Que no representa el salto entre la máquina del usuario.
y el primer servidor de intercambio de correo, o también podría representar este último
¿situación? (Por ejemplo estoy analizando algunos correos electrónicos y en algunos casos
el primer salto es "de apache por" algún dominio "", o "de usuario [IP
número] por "algún dominio" ")
El primer salto generalmente es el primer informe de MTA que recibió el mensaje. "Desde Apache" solo significa que el servidor que lo envió estaba ejecutando Apache. Por lo general, la dirección IP de los usuarios reales, si está presente, se encuentra en el campo X-Originating-IP .
si hay un salto en el que está el nombre del intercambiador de correo y
También la IP a su lado, entre paréntesis, pero parece que
que la propiedad intelectual está en otro país, ¿qué significa?
Los nombres que ve en el encabezado de un correo electrónico son nombres de dominio completos (FQDN). Identifican una máquina en particular en Internet y dentro de ese dominio. La dirección IP entre paréntesis es la dirección IP de esa máquina, por lo que si se resuelve en un determinado país, es donde se encuentra la máquina.
cómo debería SPF
ser interpretado (el cheque se refiere a la máquina del servidor de envío para
el primer salto)?
SPF coloca un registro en DNS con una lista de todas las direcciones IP autorizadas para enviar correo en nombre del dominio. Los clientes de correo del destinatario verifican si el MTA que envía el mensaje que están recibiendo tiene una dirección IP que se encuentra dentro de esos rangos. Si lo hace, generalmente hay una denotación en el encabezado que dice Pass . Si no es así, pueden suceder varias cosas dependiendo de cómo esté configurada la política de SPF:
- Si el registro finaliza en
-all , no se permitirán los mensajes y verá una denotación de Fallo en el encabezado.
- Si el registro termina en
~all , los mensajes se permitirán, pero deberían estar marcados. Puede ver un Ninguno o SoftFail para estos mensajes.
Otras cosas que se pueden hacer con respecto a los saltos es verificar si el FQDN coincide con el registro MX para el dominio. Por ejemplo, si el dominio de Bob del remitente foo-bar.com utilizó Google para enviar correo, entonces puede esperar ver el FQDN de Google en su parte de la ruta del mensaje. Esto puede requerir a veces realizar búsquedas de whois en los nombres de dominio en cuestión porque no siempre pueden ser nombrados de tal manera que sea obvio que pertenecen a cierta organización.
Otra prueba es verificar si el dominio de envío usa DKIM. Si lo hace, y no hay una firma DKIM presente, eso es un buen indicador de un correo electrónico falso.