¿Cómo recibí este correo electrónico sin un campo "Para"?

Navega tus respuestas
55

Recibí un correo electrónico vacío en mi idioma (hebreo) con solo un título que se puede traducir a I am still waiting for your feedback (original: עדיין מחכה למשוב שלך )

Desde que mi cuenta de gmail maneja varias cuentas (por reenvío y por usuario \ pase) traté de averiguar qué cuenta era el objetivo y, para mi sorpresa, ¡ninguna!

Mipreguntaessimple,¿porquégmaileligióponerestecorreoelectrónicoenmibandejadeentrada?Acontinuaciónseadjuntalafuentecompletadelcorreoelectrónico(degmail)exceptomicorreoelectrónicocensurado.¿Cómopuedeestonoserunaviolacióndelaseguridad\detenidaporlosfiltrosdespam?

Mensajeoriginal:

  • IDdemensaje<[email protected]>
  • Creadoen:mar.16deenerode2018alas2:54p.m.(Entregadodespuésde2segundos)
  • De:josephandrewUsingMail.RuMailer1.0
  • Para:
  • Asunto:עדייןמחכהלמשובשלך
  • SPF:PASSconIP217.69.138.160Másinformación
  • DKIM:'PASS'condominiobk.ruMásinformación
  • DMARC:'PASS'Másinformación
Delivered-To:****<cencored>****@gmail.comReceived:by10.2.76.217withSMTPidq86csp4037724jad;Tue,16Jan201804:54:21-0800(PST)X-Google-Smtp-Source:ACJfBotHqXkzj6W7gd+8IjEmxrwG9SqXBSC+QiTqyAB1j2Dt4ASXtmXr5UpqIpdU7Mge/EFmnzVIX-Received:by10.46.101.207withSMTPide76mr192303ljf.115.1516107261904;Tue,16Jan201804:54:21-0800(PST)ARC-Seal:i=1;a=rsa-sha256;t=1516107261;cv=none;d=google.com;s=arc-20160816;b=O+SDwmDS2Y7Jxi+mhwkV/+svfXK0KI3VvepeQgBpyhlgYY5gK3wln+RC4YPO+MMn71tyrGBUoc1iGKpeGcilWAovf0XLceJY+EAGoMX4Hl4Pse8C5mWiP0DJQXfmolB5myOFD/EoSl7Km4KDcQsvSC0DGwcni1yUPjgiQr+KIY+y19WCqVfm5EtCkbYkUCnFP1RWh/BUBpYZHKJrRYH/gWsSqBuIm/fDuSFk4bYAFaCOfkq5LfJcnkf7lpRFBnNYseignqwnnYMEzBaScqj1ppvCoYLbBuEiw+yLo1iQLoNdXwGOLShsGXELxkpdFpmchOEV44Wx2vp+RlJMF0v1/A==ARC-Message-Signature:i=1;a=rsa-sha256;c=relaxed/relaxed;d=google.com;s=arc-20160816;h=content-transfer-encoding:message-id:reply-to:date:mime-version:subject:from:dkim-signature:arc-authentication-results;bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=;b=IPjf/U3N1a7Dx8HIw59iWKeccU4mS7Bd0Iy2FY/Be4Mx4QATd8uBvH7pLOVOLHRAXjiATzKUy69ZyLgu6gJVc+yjW3+i740O9ccPNbWAPQQASX1H9OkiMsmlhNYOU5u4KDKfbjnNm77TeMxrF57z4XKpbO3iE4YEv6JFankI949HvLnehC7wPP5M5YHpS8CllmV3zP8RX42kb14n4PzguduwYoHL3q7wwWHHnyPUsa3UuhCKLvNJYw4KWKLWNY6Kt7fwReb83T+OsGlavZ7huDrCcf0P8Ee7YGepcNpGFyh2WjpA4o7l+gAlnqsb6+5FZloH6j7cmQx/gA+gKhaVng==ARC-Authentication-Results:i=1;mx.google.com;[email protected]=mailheader.b=kgyoMcic;spf=pass(google.com:domainofjoseph.andrew@bk.rudesignates217.69.138.160aspermittedsender)[email protected];dmarc=pass(p=REJECTsp=REJECTdis=NONE)header.from=bk.ruReturn-Path:<[email protected]>Received:fromf493.i.mail.ru(f493.i.mail.ru.[217.69.138.160])bymx.google.comwithESMTPSid1si926950ljd.480.2018.01.16.04.54.21(version=TLS1_2cipher=ECDHE-RSA-AES128-GCM-SHA256bits=128/128);Tue,16Jan201804:54:21-0800(PST)Received-SPF:pass(google.com:domainofjoseph.andrew@bk.rudesignates217.69.138.160aspermittedsender)client-ip=217.69.138.160;Authentication-Results:mx.google.com;[email protected]=mailheader.b=kgyoMcic;spf=pass(google.com:domainofjoseph.andrew@bk.rudesignates217.69.138.160aspermittedsender)[email protected];dmarc=pass(p=REJECTsp=REJECTdis=NONE)header.from=bk.ruDKIM-Signature:v=1;a=rsa-sha256;q=dns/txt;c=relaxed/relaxed;d=bk.ru;s=mail;h=Content-Transfer-Encoding:Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:From;bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=;b=kgyoMcicHiqU/OvYmq/2sQYQ3607jIk9ZHkh3oVDZTrA6cWDxLGvol37xuQ3L0mfrqIOpSTYHuJzssIjww+4FL/h/GwBRRO1AsuLgxyjSQaOLVqidNe0MUIz6EVQxYXLcUCl9USryPLWAWKBiwL80efALu5znH8K96P6fF33Gzw=;Received:byf493.i.mail.ruwithlocal(envelope-from<[email protected]>)id1ebQkt-0004Zj-4G;Tue,16Jan201815:54:19+0300Received:bye.mail.ruwithHTTP;Tue,16Jan201815:54:19+0300From:josephandrew<[email protected]>Subject:עדייןמחכהלמשובשלךMIME-Version:1.0X-Mailer:Mail.RuMailer1.0Date:Tue,16Jan201815:54:19+0300Reply-To:josephandrew<[email protected]>X-Priority:3(Normal)Message-ID:<[email protected]>Content-Type:text/plain;charset=utf-8Content-Transfer-Encoding:base64Authentication-Results:f493.i.mail.ru;[email protected][email protected]:0D63561A33F958A5898151702DBFE222A841889EBAE90B8E20672C31CB87FE38725E5C173C3A84C39B8A9203B4187291E49527301AB7C5D479C543ECCDAE434EC4224003CC836476C0CAF46E325F83A50BF2EBBBDD9D6B0F20A889B128FC2D163B503F486389A921A5CC5B56E945C8DAX-Mailru-Sender:AEEF7784B292FD580FA14CB39DA65BAAC14FF9386EF48BFAB56EC34AB37A73FC68AD8B15A0E9EE36875DC23763F10D8F75E89B9EB25B1370F805D6321A69DA8E2FB9333096616C166E245241366DF001CF5B8F1B83B229A3C432A6261406F5E9E7E03437FF0094633453F38A29522196X-Mras:OKX-Spam:undefined

Editar:

Intentéenviarconbccyvació"to" y gmail mostró el bcc. Así que actualmente la respuesta de @Luc parece ser la respuesta real (se utilizó RCPT TO ).

    
pregunta YoniXw 16.01.2018 - 14:51
fuente

4 respuestas

80

¿Por qué?

Dos explicaciones:

  • BCC
  • Spam

A menudo he recibido correo no deseado donde parece que quieren ocultar a quién fue enviado por algún motivo. Ya que tengo un catch-all en mi dominio, me llegará sin importar qué dirección usaron (a menos que usen una que tengo en la lista negra).

¿Cómo es esto posible?

El tráfico SMTP tiene este aspecto: 

EHLO example.com 
MAIL FROM:<[email protected]>
RCPT TO:<[email protected]>
RCPT TO:<[email protected]>
RCPT TO:<[email protected]>
DATA
Subject: test
From: <[email protected]>
To: <[email protected]>
CC: <[email protected]>

Hi Jake,
Just letting you know that email works.

.
QUIT

Puede abrir una conexión TCP a cualquier servidor de correo y escribir esto, y le responderá y le enviará su correo electrónico (omití las respuestas en el ejemplo). En Windows, instale Telnet desde el menú de funciones de Windows y escriba telnet example.com 25 para conectarse al servidor en example.com en el puerto 25.

Como puede ver, user4 se abordó en RCPT TO y terminará en su bandeja de entrada de correo electrónico, pero no se mencionan en los encabezados de, a o cc de los datos de correo electrónico. Los datos del correo electrónico, desde el comando DATA hasta el . en una línea por sí mismo, es la parte que verá cuando abra "ver código fuente" en su cliente de correo electrónico. Por lo tanto, tiene poco que ver con el intercambio de correo electrónico real. Por supuesto, por lo general coincide, pero en un caso malicioso, no les importa lo que es "habitual". Y en el caso de BCC tampoco lo verás.

A menudo he recibido correo no deseado donde se ocultan a donde se envió. Para poder rastrearlo, tengo que excavar en los registros de mi servidor de correo.

Un administrador del servidor también puede buscar BCC de esta manera, aunque, por supuesto, solo de su propio dominio (si fue BCC'd a [email protected] y [email protected] , el administrador de a.example.com no verá stefan).

En cuanto a por qué puede enviarse GMail a usted mismo en el BCC y ver un campo de BCC con su nombre en el extremo receptor: el proveedor / programa de correo electrónico solo puede enviar mensajes SMTP separados para cada destinatario en el BCC, con BCC encabezado creado en el encabezado del correo electrónico anidado para enumerar solo ese destinatario.

    
respondido por el Luc 16.01.2018 - 15:51
fuente
30

Los encabezados como To , Cc y Bcc son esencialmente cosméticos; no controlan el destinatario real de un correo electrónico según el protocolo SMTP. Es posible poner lo que quieras en estos campos y aún tener un control separado sobre a quién va el correo electrónico a nivel de protocolo.

Cuando envía un correo electrónico en Internet, su servidor de correo de envío se comunica con el servidor de correo de recepción por SMTP. Para enviar un correo electrónico, el servidor de envío envía una serie de comandos al servidor de recepción.

  1. Un comando HELO que especifica el nombre de host del servidor de envío (este puede ser reemplazado por EHLO (abreviado para "HELO extendido") en versiones más nuevas del protocolo).
  2. Un comando MAIL FROM que anuncia la dirección del remitente del correo electrónico.
  3. Un comando RCPT TO que anuncia las direcciones de los destinatarios del mensaje.
  4. Un comando DATA que anuncia el inicio del mensaje, incluidos los encabezados y el cuerpo.

Los encabezados en el mensaje, como To , Cc o Bcc , no se actúan ni se utilizan, pero se transmiten sin modificación.

Si los servidores de correo de envío y recepción ignoran estos encabezados, ¿por qué existen?

Porque son una convención común utilizada por el software mail user agent (cliente de correo), que es el software con el que el usuario realmente interactúa para enviar correo. La forma habitual de que un cliente de correo funcione es que el usuario escriba las direcciones de los destinatarios en tres campos dentro del cliente de correo llamados "A", "Cc" y "Bcc" que el cliente de correo usa como base para enviar el mensaje a . Luego, el cliente de correo toma lo que estaba escrito en los campos "Para" y "Cc" y los coloca en los encabezados de correo llamados "Para" y "Cc" como un indicador para el destinatario de lo que el remitente escribió originalmente en estos campos. Esto es simplemente una cortesía para el cliente de correo receptor; el cliente de correo emisor puede optar por mantener este secreto; de hecho, eso es lo que sucede con su campo "Bcc": el cliente de correo nunca crea un encabezado "Bcc" en el correo electrónico que envía, porque el punto de esa función es que no está incluido en el correo mismo.

El cliente de correo también contiene un campo "Asunto" que coloca en el correo como encabezado "Asunto", y crea un encabezado "De" en el correo electrónico con información sobre el remitente.

¿Por qué esto no es un problema de seguridad?

Es. Hace que sea trivialmente fácil poner información falsa sobre el remitente o los destinatarios en un correo electrónico. Cuando los usuarios confían en que esto es correcto y no lo es, ese es un problema de seguridad potencial.

Los clientes de correo podrían simplemente ignorar dichos encabezados, pero luego se perdería la conveniencia de saber a quién se dirigió un correo electrónico cuando esta información existe y es genuina, y por la misma lógica también tendría que ignorar el " De "y el remitente del sobre (comando MAIL FROM ) también, sin dejar indicación de quién lo envió. Así que los clientes de correo toman el enfoque de que es más beneficioso mostrar esta información, incluso si se puede falsificar.

Un nuevo estándar llamado DMARC, que se complementa con otros estándares DKIM y SPF, puede permitir que un cliente de correo receptor verifique que la parte del nombre de dominio / host del encabezado "De" sea genuina. Si bien esto solo verifica parte de el encabezado "De" y no verifica el encabezado "A" o "Cc", le permite saber que el correo provenía realmente del sistema del que proviene. . Si este es un sistema de confianza, al menos puede inferir que el correo y sus encabezados fueron creados por un usuario autorizado de ese sistema.

Además de estas opciones, el correo electrónico simplemente no fue diseñado para que todo esto sea verificable. Si desea más, debe utilizar algún tipo de verificación criptográfica, como el PGP, en la parte superior de su mensaje y tener alguna forma de verificación de autoridad fuera de banda.

    
respondido por el thomasrutter 17.01.2018 - 05:41
fuente
18

Hasta ahora creo que su dirección se usó como BCC .

    
respondido por el Mirsad 16.01.2018 - 15:00
fuente
15

Puede ser sorprendente, pero esto es bastante normal en el protocolo SMTP. Un mensaje está compuesto de encabezados y un cuerpo. Se envía a través de una cadena de agentes de transporte de correo. Ningún agente debe cambiar el cuerpo, pero puede cambiar los encabezados, principalmente para agregar un campo Received , un campo Date si no está presente y cualquier otro campo según lo requiera su propio procesamiento. Pero ni el campo To ni el campo From son especiales, y en particular no se utilizan para entregar el correo . Los MTA utilizan lo que se denomina sobre , es decir, lo que se pasa en los comandos MAIL FROM y RCPT TO del protocolo SMTP.

Los Agentes de Usuario de Correo (como Thunderbird) usan los campos Para, Cc y Cco para crear el sobre, pero si conoce el SMTP protocolo , es fácil enviar un correo con encabezados A y De falsificados o ausentes.

    
respondido por el Serge Ballesta 16.01.2018 - 21:36
fuente

Lea otras preguntas en las etiquetas

¿Cómo pueden las memorias USB vacías contener malware? ¿Existen técnicas de DRM para prevenir efectivamente la piratería?