Huellas digitales pasivas del cliente de correo electrónico, basadas en encabezados de correo electrónico

6

¿Hay formas de hacer una huella digital (inferir) pasivamente del sistema operativo o del cliente de correo que usa un remitente de correo electrónico, en función de los encabezados de un correo electrónico de ese remitente?

Estoy familiarizado con las herramientas de huellas dactilares de red pasivas como p0f: dado un seguimiento de algunos paquetes enviados desde una máquina en particular, intentan deducir el sistema operativo que la máquina está usando. ¿Existen técnicas o herramientas para hacer algo análogo, con mensajes de correo electrónico?

Puedo pensar en algunas técnicas que obtienen información parcial en algunos casos, pero no quiero volver a inventar la rueda si ya existe o si ya se ha estudiado. Por ejemplo, conozco el encabezado X-Mailer: , que si está presente normalmente revelará el cliente de correo que está usando el remitente. Pero, ¿hay técnicas que funcionen para inferir el cliente de correo si X-Mailer: no está presente, o para inferir el sistema operativo?

    
pregunta D.W. 05.08.2015 - 22:49
fuente

1 respuesta

7
  

¿Hay formas de hacer una huella digital (inferir) pasivamente del sistema operativo o del cliente de correo que usa un remitente de correo electrónico, en función de los encabezados de un correo electrónico de ese remitente?

Sí, pero son extremadamente propensos a errores y muy fáciles de falsificar, ya sea de manera intencional o no intencional (por ejemplo, algunos sistemas de firewall de alto nivel "reenvasarán" un mensaje después de eliminar / desinfectar archivos adjuntos, modificando cierta información).

Además del encabezado de X-Mailer, puede recopilar información de otros campos, como la identificación del mensaje y los límites de varias partes, si están presentes. Ambos deben contener una secuencia única , y diferentes sistemas lo generan de diferentes maneras. Algunos MUA generarán un identificador de mensaje propio, otros dejarán la tarea en el servidor; así que ves '[email protected]' y sabes que es un cliente de GMail y nada más, mientras que [email protected] es una ID producida por Forté Agent, un software que solo se ejecuta en Microsoft Windows.

La antigua Eudora hasta 6.1 tenía un encabezado X-Sender que también revelaba la "persona" utilizada para enviar un correo electrónico.

Microsoft Outlook usa, creo, límites de la forma _NextPart_XXX_0000_HHHHHHHHHHHHHHHHH donde H es un dígito hexadecimal y XXX representa el número de secuencia interna (000 en adelante), mientras que Mozilla Thunderbird (que también agrega un encabezado de Usuario-Agente) usa un límite de "------------ 0x0x0x0x0x0x0x0x0x0x0x0x" donde x es un dígito de 0-9.

En varios casos, verá que una parte del uniqueid es en realidad una marca de tiempo, que también puede duplicarse como una verificación del encabezado de fecha.

Por lo tanto, hay algo de información , pero es necesario crear una base de datos de huellas digitales. Además, como dije, es relativamente fácil modificar un solo encabezado, y quizás incluso todos ellos; tendría que tener esto en cuenta y ver si la estrategia sigue siendo adecuada para su propósito.

    
respondido por el LSerni 06.08.2015 - 02:02
fuente

Lea otras preguntas en las etiquetas