Dirección IP del encabezado del correo electrónico

7

¿Las direcciones IP en el encabezado de un correo electrónico incluyen información del dispositivo desde el cual se envía el correo o del servidor de correo?

    
pregunta m4ck 07.10.2011 - 22:10
fuente

4 respuestas

8

Normalmente, cada máquina en la que transita el correo:

  • agrega un encabezado Received: que indica de dónde parece venir el correo electrónico;
  • anuncia su nombre (que podría ser una dirección IP) a la siguiente máquina, que puede o no incluir esa información en su propio encabezado Received: .

Aquí hay un ejemplo en uno de los más de 100 correos no deseados que recibo a diario:

X-Original-To: pornin@bolet.org
Delivered-To: pornin@bolet.org
Received: from davisandsons.net (213-238-65-230.adsl.inetia.pl [213.238.65.230])
        by arges.bolet.org (Postfix) with ESMTP id 7951068C0D4
        for <pornin@bolet.org>; Fri,  7 Oct 2011 21:49:22 +0200 (CEST)
Received: from apache by davisandsons.net with local (Exim 4.67)
        (envelope-from <minusculesxdl3@kurdogluholding.com.tr>)
        id XD1AV6-73T5L6-H9
        for <pornin@bolet.org>; Fri, 7 Oct 2011 20:46:35 +0100
To: <pornin@bolet.org>;
Subject: Re:web site 
(...)

Las líneas de encabezado se agregan en "orden inverso": cada servidor de correo agrega su línea al principio del encabezado. Entonces aquí mi servidor de correo (arges.bolet.org) recibió una conexión para un correo que, a nivel de SMTP, estaba destinado a mí (a través de la conexión, la otra máquina se envió: RCPT TO: pornin@bolet.org ). Como parte del protocolo SMTP, esa máquina primero envió un comando HELO en el que afirmó ser "davisandsons.net"; mi servidor de correo miró la dirección IP de origen (213.238.65.230) e hizo una resolución de DNS inversa en él, obteniendo "213-238-65-230.adsl.inetia.pl" (de un ISP en Polonia). Resulta que "davisandsons.net" se puede resolver con una dirección IP muy diferente, nominalmente de Inglaterra.

Este primer encabezado Received: fue agregado por el servidor de correo mi , por lo que es confiable. Sin embargo, la siguiente línea, y todas las líneas subsiguientes, fueron enviadas tal como está por esa máquina polaca que inició la conversación al afirmar que estaba en Inglaterra, una mentira descarada, por lo tanto, no es la mejor manera de generar confianza mutua. Ese encabezado podría ser completamente falso. Suponiendo que es no falso, indicaría que el correo se originó en la máquina local, por un usuario llamado "apache". El escenario probable es entonces: la PC doméstica de un pobre hombre en Polonia es un zombie infectado, que transmite spam. La infección podría haber comenzado a través de un servidor web Apache mal configurado en esa máquina.

(Spamassassin calificó ese spam específico con un puntaje de 20.5, y yo envío automáticamente los correos electrónicos entrantes con un puntaje de 5.0 o más).

    
respondido por el Thomas Pornin 07.10.2011 - 22:37
fuente
5

Es común que todos los servidores de correo en la cadena de entrega agreguen una línea similar a

Received: from [sender-name] ([sender-ip]) 
          by [server-name] ([server-ip]);
          with SMPT; Fri, 7 Oct 2011 03:15:30 +0200

El formato no está especificado y varía.

La exposición del servidor de correo anterior durante el tránsito es común porque ayuda mucho en la lucha contra el spam.

Pero exponer al primer remitente a menudo no es deseable por razones de privacidad y seguridad. Por lo tanto, algunos proveedores de correo lo omiten del encabezado y otros proveedores de correo tratan al remitente original como cualquier otra fuente.

Como nota al margen: los encabezados "Recibidos" se pueden falsificar, por lo que siempre tienes que empezar a leerlos desde la parte superior y validarlos cuidadosamente.

    
respondido por el Hendrik Brummermann 07.10.2011 - 22:31
fuente
4

Esa elección depende completamente del servidor con el que habla el dispositivo. Podría incluir un encabezado Received que contenga información para identificar el dispositivo, como su dirección IP. Pero también puede incluir ningún encabezado. Es completamente una opción de implementación.

Hablando de forma lógica, depende de si considera que el dispositivo o el servidor han originado el correo electrónico. Por ejemplo, los servicios basados en la web como GMail generalmente consideran que el servidor originó el correo electrónico, por lo que no se incluye información para identificar el dispositivo. Los servicios de correo electrónico más tradicionales a los que acceden IMAP y POP a menudo consideran que el dispositivo final originó el correo electrónico.

    
respondido por el David Schwartz 07.10.2011 - 22:37
fuente
0

Incluirá la dirección IP de su dispositivo (más particularmente, la dirección del enrutador que envía los paquetes desde su estación de trabajo) y todos los servidores de correo a través de los cuales se reenvía.

    
respondido por el Legolas 07.10.2011 - 22:30
fuente

Lea otras preguntas en las etiquetas