Email Spoofed. ¿Explique?

6

Por lo tanto, creo que mi ID de correo electrónico podría haber sido hackeada. ¿Alguien puede ofrecer sus comentarios y sugerencias en este correo electrónico? Parece que este correo electrónico pasó de mi identificación de correo electrónico a la de correo electrónico de mi amigo. El tema es personal y no lo he proporcionado. Además, este correo electrónico no está en mi carpeta 'Enviado' ni en mi carpeta 'Basura'.

Delivered-To: [email protected]
Received: by 10.220.187.65 with SMTP id cv1cs37222vcb;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)
Received: by 10.236.176.38 with SMTP id a26mr5411029yhm.410.1309289105028;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)
Return-Path: <[email protected]>
Received: from ROCKY (host216-212-117-146.birch.net [216.212.117.146])
    by mx.google.com with ESMTP id l25si2327155yhm.109.2011.06.28.12.25.04;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)
Received-SPF: neutral (google.com: 216.212.117.146 is neither permitted nor denied by domain of [email protected]) client-ip=216.212.117.146;
Authentication-Results: mx.google.com; spf=neutral (google.com: 216.212.117.146 is neither permitted nor denied by domain of [email protected]) [email protected]
Message-Id: <[email protected]>
MIME-Version: 1.0
From: "MyFullName"
<[email protected]>
To: [email protected]
X-Priority: 1
 Priority: urgent
Importance: high
Date: 28 Jun 2011 15:25:18 -0400
Subject: Email from [email protected]
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: quoted-printable

<Subject>

Aquí, MyEmailId y MyFriend son dos direcciones de correo electrónico que no son reales. Todo lo demás es. No he publicado el tema ya que es personal.

Entonces, si mi identificación de correo electrónico fue falsificada, ¿cómo podría el spoofer conocer mis datos personales? ¿Cuáles son las posibilidades? Yo corro la perspectiva Instalé MacKeeper ayer (software para limpiar mac). ¿Alguna conexión?

    
pregunta Legolas 28.06.2011 - 22:04
fuente

1 respuesta

16

No es necesario enviar un correo electrónico con su dirección de correo electrónico: cualquier persona puede enviar correos electrónicos con cualquier dirección de remitente a cualquier persona, si el servidor de correo receptor no tiene políticas más estrictas. (Esto se debe a la estructura abierta de Internet).

Sería necesario un hack para leer tu correo.

Si desea asegurarse de que nadie pueda enviar correos electrónicos en su nombre, firme sus correos electrónicos (utilizando PGP o S / MIME) e informe a todos sus corresponsales que deben descartar cualquier correo no firmado que diga que proviene de usted. .

Algunos análisis de las líneas de encabezado.

Las dos líneas adicionales Received no agregan mucho.

Received: by 10.220.187.65 with SMTP id cv1cs37222vcb;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)
Received: by 10.236.176.38 with SMTP id a26mr5411029yhm.410.1309289105028;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)

Estas son direcciones privadas, dentro de una red local, y no dicen desde dónde recibieron el mensaje. (Estas son las últimas estaciones por las que pasó el mensaje antes de llegar a su amigo). Si su amigo usó la interfaz web de Gmail, lo más probable es que estos sean servidores internos de Gmail.

Entonces tenemos estos:

Return-Path: <[email protected]>
Received: from ROCKY (host216-212-117-146.birch.net [216.212.117.146])
    by mx.google.com with ESMTP id l25si2327155yhm.109.2011.06.28.12.25.04;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)

La ruta de retorno muestra lo que se mencionó en el diálogo SMTP como MAIL FROM. Esto fue agregado por el servidor de correo receptor, muy probablemente el que está en la siguiente línea: mx.google.com. Este servidor recibió el correo de un cliente SMTP que se identificó en el diálogo SMTP como ROCKY, tenía la dirección IP 216.212.117.146 (que tiene una asignación de DNS inversa a host216-212-117-146.birch.net ).

Esta parece ser una dirección IP en los EE. UU. (asignada por ARIN a Birch Telecom y desde ellos to Premier Mortgage Funding . O tienen una computadora infectada por un robot allí o realmente enviaron el correo. (O alguien más temprano en la lista estaba falsificando la encabezado completo.)

¿Conoces a alguien en este lugar? ¿El contenido del correo está relacionado de alguna manera con el financiamiento hipotecario?

Received-SPF: neutral (google.com: 216.212.117.146 is neither permitted nor denied by domain of [email protected]) client-ip=216.212.117.146;
Authentication-Results: mx.google.com; spf=neutral (google.com: 216.212.117.146 is neither permitted nor denied by domain of [email protected]) [email protected]

Estas líneas son agregadas por el mismo servidor, lo más probable. El servidor realizó una SPF en la dirección de correo y la dirección IP del remitente, y no tiene un resultado positivo ni negativo.

Los registros DNS de SPF de Google tienen este aspecto (saltos de línea por mí):

gmail.com.         259  IN   TXT     "v=spf1 redirect=_spf.google.com"

_spf.google.com.   236  IN   TXT     "v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19
                                             ip4:66.249.80.0/20 ip4:72.14.192.0/18
                                             ip4:209.85.128.0/17 ip4:66.102.0.0/20
                                             ip4:74.125.0.0/16 ip4:64.18.0.0/20
                                             ip4:207.126.144.0/20 ip4:173.194.0.0/16
                                             ?all"

Algunos rangos de IP (que probablemente incluyen los servidores web de GMail) están explícitamente en la lista blanca, y el resto se menciona como neutral por la etiqueta ?all al final.

Si el correo se envió desde la interfaz web de GMails (o mediante el puerto de envío autenticado SMTP de Gmails), es probable que haya un resultado "spf = positivo" o similar en el encabezado.

Message-Id: <[email protected]>

El servidor de correo que acepta también agrega este identificador de mensaje.

From: "MyFullName"  <[email protected]>
To: [email protected]

(Supongo que el nombre y la dirección de correo estaban en una línea). Ahora se pone interesante. El remitente sabía su nombre completo, así como una dirección de correo adecuada. Realice una búsqueda en Google: ¿es esta combinación de conocimiento público (es decir, se puede encontrar en la web)? Si no es así, es probable que la libreta de direcciones de alguien se haya "pirateado" (es decir, que alguien haya obtenido algún malware que recopila estas direcciones), o algún sitio web donde ingresó estos datos vendió sus datos.

X-Priority: 1
 Priority: urgent
Importance: high

Estas líneas de encabezado le darían al correo una buena oportunidad de atascarse en mi filtro, creo :-)

Subject: Email from [email protected]

Esto también es un asunto de spam típico.

<Subject>
  

No he publicado el Asunto porque es personal.

¿Entiendo bien, el texto del correo contiene datos personales y no un mensaje genérico de spam? ¿Podría tratarse de un texto copiado de un correo que usted (o alguien más) escribió anteriormente?

Aparte de esto, podría ser alguien que te conozca a ti y a tu amigo y que quiera hacerles una broma a ambos.

    
respondido por el Paŭlo Ebermann 28.06.2011 - 23:06
fuente

Lea otras preguntas en las etiquetas