¿La dirección IP (desde) del encabezado del correo electrónico es 100% correcta? [duplicar]

Los encabezados de correo llamados "Recibidos" contienen una cantidad de direcciones IP que corresponden a los servidores de correo por los que pasa el correo electrónico en su viaje desde el originador hasta el destino. Puede examinarlos fácilmente con la ayuda de una herramienta web .

Los lees de abajo hacia arriba a medida que cada nuevo servidor agrega un nuevo encabezado a la lista.

Usando esos encabezados, puede rastrear qué máquina envió y recibió el correo electrónico en cada etapa del viaje.

O al menos puedes hacerlo si nadie los ha forjado en el camino, lo cual es bastante común para el spam automatizado.

Con respecto a sus preguntas exactas. Por lo general, primero se registrará su dirección IP local (externa) como el host de envío, pero dependerá de la configuración de su correo electrónico y del cliente.

Si obtiene una dirección IP dinámica de su ISP, por supuesto, esto será diferente en diferentes momentos, pero todas las direcciones estarán en un bloque o conjunto de bloques que sean trazables a su ISP. Con ese conocimiento, es posible que personas debidamente autorizadas (y en muchos casos en todo el mundo, incluidos los EE. UU., Funcionarios no autorizados) soliciten al ISP que les diga a quién se le asignó una dirección IP en un momento específico.

Una vez más, sin embargo, en el caso del correo no deseado, las direcciones IP de origen se han falsificado o provienen de una máquina en una red de bots de la que el propietario real no tiene conocimiento.

Si desea revisar más las cosas, intente este artículo que contiene algunos encabezados de ejemplo que puede pegar en la herramienta web que mencioné anteriormente.

Depende, la mayoría de los retransmisores de correo electrónico y servidores de correo agregarán encabezados con la IP del remitente. Sin embargo, nada los obliga a agregar la IP correcta. Un intercambio de correo electrónico típico ocurriría como:

email client -> your mail server -> destination mail server -> addressee's client

Sin embargo, puede ir bastante bien:

email client -> local mail server -> remote mail server ->
  -> destination domain relay -> destination mail server -> addressee's client

O un diseño aún más complejo. SMTP (y sus extensiones) es bastante robusto en términos de proxy / retransmisión. Y aunque este no es un requisito de SMTP, la mayoría de los retransmisores y servidores de correo simplemente mantienen todos los encabezados que se encuentran actualmente en el correo y solo agregan sus propios encabezados.

Esto tiene un par de efectos secundarios interesantes, por ejemplo, no es raro encontrar correo con varios encabezados Received: .

Veamos un par de ejemplos de encabezados en una ruta de correo bastante compleja: lo siguiente es de un correo que usa google como servidor de correo pero tiene su propio dominio (es decir, el registro MX para el dominio de correo es mail.google.com ), el correo electrónico pasa a través de un relevo y luego vuelve a mail.google.com a una dirección de gmail diferente.

Primero que nada obtenemos:

X-Received: by 10.x.x.x with SMTP id d27mr24214681oib.59.1473677977339;
        Mon, 12 Sep 2016 03:59:37 -0700 (PDT)
Received: from 1058052472880 named unknown by gmailapi.google.com with
        HTTPREST; Mon, 12 Sep 2016 06:59:36 -0400

Esto es del cliente a gmail, tenga en cuenta que la IP que google vio está ahí. A continuación va al relé:

Received: from mail-it0-f41.google.com ([209.x.x.x]:37883)
        by mail.fsf.org with esmtps (TLS-1.0:RSA_AES_128_CBC_SHA1:16)
        (Exim 4.69)
        (envelope-from <******@hotelquickly.com>)
        id 1bjix0-0003Rs-3K
        for ******@member.fsf.org; Tue, 13 Sep 2016 04:20:18 -0400
Received: by mail-it0-f41.google.com with SMTP id 183so31757158itf.0
        for <****@member.fsf.org>; Tue, 13 Sep 2016 01:20:17 -0700 (PDT)

Por lo tanto, tenemos uno de los IP del servidor de correo de Google que habla con la retransmisión en mail.fsf.org

Y finalmente volver a google:

Received: from mail.fsf.org (mail.fsf.org. [208.x.x.x])
        by mx.google.com with ESMTPS id n48sd14225674qtn.126.2016.09.13.01.20.23
        for <******@gmail.com>
        (version=TLS1 cipher=AES128-SHA bits=128/128);
        Tue, 13 Sep 2016 01:20:23 -0700 (PDT)
Received-SPF: softfail (google.com: domain of transitioning ******@hotelquickly.com does not designate 208.x.x.x
        as permitted sender) client-ip=208.x.x.x;
Authentication-Results: mx.google.com;
        dkim=pass [email protected];
        spf=softfail (google.com: domain of transitioning ******@hotelquickly.com does not designate
        208.x.x.x as permitted sender) smtp.mailfrom=******@hotelquickly.com;
        dmarc=pass (p=NONE dis=NONE) header.from=hotelquickly.com
Received: from Debian-exim by mail.fsf.org with spam-scanned (Exim 4.69)
        (envelope-from <******@hotelquickly.com>)
        id 1bjix0-0003Rx-7z
        for ******@member.fsf.org; Tue, 13 Sep 2016 04:20:22 -0400

Y hay aún más porque uso procmail pero para entonces solo se trata de IP locales.

En resumen

La mayoría de las máquinas agregarán las direcciones IP de las máquinas de las que recibieron correo a los encabezados de correo, sin embargo, no hay nada que obligue a la máquina a agregar las direcciones IP correctas. Si ejecuta su propio servidor de correo, puede agregar direcciones IP erróneas, pero el próximo salto en la ruta de correo agregará la IP que cree que tiene su servidor de correo a los encabezados (es decir, el servidor de correo desde el cual recibió el correo).

No, si alguien quisiera, puede falsificarlo.

Normalmente, creo que depende del servicio de correo electrónico que utilice. Con Gmail, no envía su IP personal junto con el correo electrónico, enviará la IP del servidor de Gmail.

Para probar esto, puede intentar ejecutar Wireshark y crear una cuenta desde ambos servicios de correo electrónico. Luego intente enviar un correo electrónico a / desde el que desee el servicio de correo electrónico que desee, y ver si coinciden con lo que esperaba.