Dos encabezados de correo electrónico de IPV4 diferentes dentro de Outlook

-2

Actualmente estoy analizando el encabezado de un correo electrónico de Outlook.

Estoy muy confundido porque tiene dos direcciones ipv4 que se originan en diferentes ubicaciones. Por lo general, hay un ipv4 hacia la parte superior del encabezado y un ipv6 hacia la parte inferior.

los correos electrónicos me fueron enviados y debo determinar qué correos electrónicos envió un pirata informático mediante rastreo de IP

¿Podrías darme consejos sobre por qué vería dos ipv4 diferentes de diferentes hosts y diferentes ubicaciones en un encabezado de Outlook cuando tengo la intención de ver una ipv4 y una ipv6?

¿Cualquier vulnerabilidad o ataque causaría esto?

X-Originating-IP: [40.107.6.122]
X-SpamReason: No, hits=0.3 required=7.0 tests=HTML_60_70,HTML_MESSAGE
X-StarScan-Received:
X-StarScan-Version: 9.9.15; banners=-,-,-
X-VirusChecked: Checked
Received:
Received: from mail-eopbgr60122.outbound.protection.outlook.com (HELO
 EUR04-DB3-obe.outb
 server-7.tower-with AES256-GCM-SHA384 encrypted SMTP; 13
 Sep 2018 14:47:44 -0000
Received: from DB6PR07MB3286.eurprd07.prod.outlook.com (10.175.233.33) by
 DB6PR07MB3384.eurprd07.prod.outlook.com (10.175.234.11) with Microsoft SMTP
 Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
 15.20.1143.11; Thu, 13 Sep 2018 14:47:44 +0000
Received: from DB6PR07MB3286.eurprd07.prod.outlook.com
 ([fe80::ccea:aa3a:fbcf:883f]) by DB6PR07MB3286.eurprd07.prod.outlook.com
 ([fe80::ccea:aa3a:fbcf:883f%6]) with mapi id 15.20.1164.0
 14:47:44 +0000
From: 
To: 
Subject: Re: 
Thread-Topic: O
Thread-Index: AQHUS2XPliaNQXagG0e1Tro6EyKodqTuSn9k
Date
Message-ID: 
References: 
In-Reply-To: <
Accept-Language: en-GB, en-US
Content-Language: en-GB
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
x-originating-ip: [84.9.167.97]
    
pregunta KingKala 24.10.2018 - 16:15
fuente

3 respuestas

1

Por qué ves dos direcciones:

Cada vez que envía un correo electrónico, su correo electrónico pasa a través de varios servidores diferentes antes de llegar a su destino. A lo largo del camino, algunos servidores pueden agregar cierto texto a los encabezados del correo electrónico (los encabezados de los correos electrónicos incluyen datos tales como de quién es el mensaje). Por ejemplo, su proveedor de servicios de Internet (como Comcast o AT & T) puede agregar a los encabezados el momento en que recibió su correo electrónico. El servidor final que acepta el correo electrónico puede escanear para verificar si el correo electrónico es spam, y puede agregar un resumen de este escaneo a los encabezados.

Las direcciones IP también se agregan a los encabezados de sus correos electrónicos. Por ejemplo, la dirección IP de su casa / oficina puede agregarse al correo electrónico. El servidor de correo en su ISP que inicialmente acepta su correo electrónico puede agregar su dirección IP, y el servidor final que acepta el mensaje también puede registrar su dirección IP.

Source

¿Cualquier vulnerabilidad o ataque causaría esto?

Es un poco pregunta demasiado amplia; pero como es habitual, la respuesta debería ser: Depende.
Como lo señalaron otros miembros de la comunidad, debe investigar los encabezados.

    
respondido por el mike 24.10.2018 - 16:30
fuente
1

No confíe en los encabezados de ninguna otra fuente que no sean sus servidores. Se pueden falsificar en cualquier momento y se podrían haber agregado detalles adicionales.

Investigue Received headers desde la parte superior: los encabezados agregados por su propio sistema de correo electrónico tienen la dirección IP real desde la que se recibió el mensaje. Esta es la razón por la que cualquier servidor que reenvíe el mensaje a otro debe agregar sus propios encabezados adicionales al principio del mensaje.

Aquí, X-Originating-IP: [40.107.6.122] se agrega por server-7.tower-with cuando recibió el correo de *.protection.outlook.com . Esto significa que el mensaje provino de Microsoft Office 365. Dentro de Office 365, ha viajado a través de varios servidores utilizando IPv6.

El x-originating-ip: [84.9.167.97] podría ser parte de los encabezados del mensaje original y puede haber sido falsificado por completo.

  

El encabezado del correo electrónico generalmente tiene un ipv4 originado y un ipv6 como este, así que pensé que sería igual o similar.

X-Originating-IP: [40.107.7.115]
x-originating-ip: [2a00:23c2:341b:ab01:d0b:b7eb:1115:dff2]

Si bien cualquier computadora puede tener conectividad IPv4 e IPv6, y puede enviar el mensaje al siguiente servidor SMTP usando cualquiera de los dos, nunca puede usar ambos al mismo tiempo. Es por eso que solo uno puede ser grabado por un servidor SMTP receptor. Su ejemplo no implica que [40.107.7.115] y [2a00:23c2:341b:ab01:d0b:b7eb:1115:dff2] sean direcciones IPv4 e IPv6 de la misma máquina. Verá ambos formularios dentro de los encabezados Received , porque el mensaje viaja a través de varios servidores, es decir, a través de varias conexiones diferentes que pueden usar IPv4 o IPv6. El único lugar confiable para X-Originating-IP es junto al encabezado Received que agrega su propio servidor.

    
respondido por el Esa Jokinen 24.10.2018 - 16:29
fuente
0

Como explicó Esa Jokinen: cada servidor de correo puede agregar encabezados. Por lo general, se agregan a la parte superior, pero puede inyectar esos encabezados en cualquier posición deseada. De hecho: ¡el servidor de correo puede incluso modificar los encabezados existentes que recibió e incluso el cuerpo del correo electrónico!

Esta es la razón por la que uno debería usar DKIM, con DKIM el cuerpo y (la mayoría de) los encabezados están firmados por el remitente, lo que le permite validar los encabezados incluidos en la firma. No se debe confiar en ningún encabezado que no esté incluido en la firma DKIM, ya que podría haber sido inyectado por otro servidor de correo.

También creo que esta es la razón por la que grandes proveedores de correo como Gmail y Office365 están adoptando encabezados ARC para firmar el correo electrónico en tránsito.

    
respondido por el Securist 24.10.2018 - 16:47
fuente

Lea otras preguntas en las etiquetas