Opciones

Search:

 

• Home

    Notas varias

• Instalar Firefox
• Perfiles en Firefox
• Backup del perfil
• Browser shortcuts
• Mozilla Thunderbird
• Thunderbird: Seguridad y privacidad
• Mouse Gestures
• cabeceras mail
• Annotea
• Google Tips
RSS 2.0

Actualizado el 14-01-2007
versión para imprimir

Cabeceras de correo (mail headers)

Cuando recibimos un email en nuestro buzón lo identificamos mediante los campos from, subject y date (o De: Asunto y Recibido, en castellano). Sin embargo esta información no es fiable ya que cualquiera de esos datos es facilmente falsificable.

Los spamers trucan los email que envian, intentando que aparezca un remitente ficticio (para evitar acciones legales, para evitar los filtros de los programas de correo, para confundir al destinatario). Ademas del spam, muchos virus tienen la capacidad de reenviarse desde una máquina infectada falsificando los datos del remitente.

En ambos casos es de interés aprender a entender las cabeceras de correo para saber de donde viene realmente el mensaje.

¿que son esas cabeceras y donde están?

Las cabeceras de las que hablamos son lineas de texto insertadas automaticamente por el programa que envia el correo y por cada uno de los servidores de correo por los que va pasando hasta llegar a tu buzón. Si no han sido manipuladas, son simplemente una lista de los ordenadores por los que el mensaje ha pasado hasta llegar a ti.

Aunque puedan manipularse con cierta facilidad, el remitente nunca puede falsificar los datos que se inserten automáticamente despues de su envio, luego siguiendo la cadena hacia atrás, hasta el momento de la falsificación, siempre podrás obtener datos útiles.

Las cabeceras de mail no son mostradas por los lectores de correo, y por ello para verlas tienes que mirar en su código. El como hacerlo depende del programa que uses. Por ejemplo, con outlook express basta ir a archivo | propiedades y alli seleccionar la pestaña detalles

En Mozilla Thunderbird simplemente pulsa ctrl-u y verás el código fuente del mensaje seleccionado.

Un ejemplo sencillo

Esta es una cabecera de mail sencilla:

Return-Path: <quality.offers@gan1.e54.org>
Received: from gandalf.e54.org ([68.17.15.26]) by smtp02.retemail.es
          (InterMail vM.5.01.05.08 201-253-122-126-108-20020526) with ESMTP
          id <20020821202455.PLVW11039.smtp02.retemail.es@gandalf.e54.org>
          for <irv@ignside.net>; Wed, 21 Aug 2002 22:24:55 +0200
Received: by gandalf.e54.org (PowerMTA(TM) v1.5); Wed, 21 Aug 2002 14:07:13
 -0400 (envelope-from <quality.offers@gan1.e54.org>)
To: irv@ignside.net
From: Special Money Making Opportunity <quality.offers@e54.org>
User-Agent: A1R:MailC-2
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
Subject: There's Nothing to Lose...
Date: Wed, 21 Aug 2002 14:07:13 -0400
Message-Id: <20020821202455.PLVW11039.smtp02.retemail.es@gandalf.e54.org>

Se trata del típico correo publicitario no solicitado (de como hacerse millonario trabajando en casa...) Aunque a primera vista parezca confuso, es fácil ver que las cabeceras estan formadas por distintos párrafos, cada uno de los cuales comienza con la palabra "Received" (recibido).
El primer "Received" es el del servidor de tu cuenta de correo. En esta seccion encuentras tambien el supuesto remitente (from). Vemos que el remitente es gandalf.e54.org y el destinatario, ignside.net. Consultando el dueño del dominio www.e54.org vemos que se trata de email stimulator. Una compañia que se dedica a almacenar y negociar con listas de correos electronicos. Se trata de correo no deseado, pero al menos no ocultan su dirección.

Ocultando el origen ...

Return-Path: <gatewve@fuse.net>
Received: from tsmtp17.mail.isp ([10.20.0.37]) by mb32.terra.es
          (terra.es) with ESMTP id HZXQP001.S7M for <mimail@teleline.es>;
          Sat, 26 Jun 2004 23:36:36 +0200 
Received: from fuse.net ([4.5.126.252]) by tsmtp17.mail.isp
          (terra.es) with SMTP id HZXQLX00.S7H for <mimail@teleline.es>;
          Sat, 26 Jun 2004 23:34:45 +0200 

Descartamos el primer bloque received que corresponde a nuestro servidor de correo. En el segundo vemos que supuestamente el mail viene de fuse.net, pero chequeando la IP que lo acompaña vemos que la procedencia es en realidad de wbar4.sea1-4-5-126-252.sea1.dsl-verizon.net ... este es el verdadero origen del mensaje.

Un ejemplo mas complicado

From - Fri Jun 25 22:21:58 2004
Return-Path: <lkapegm@axxxga.com>
Received: from tsmtp13.mail.isp ([10.20.4.33]) by mb32.terra.es
          (terra.es) with ESMTP id HZVSHU00.KQ2; Fri, 25 Jun 2004 22:20:18 +0200 
Received: from 200-204-148-175.dsl.telesp.net.br
          ([200.204.148.175]) by tsmtp13.mail.isp (terra.es) with SMTP id
          HZVSHO01.S6I; Fri, 25 Jun 2004 22:20:12 +0200 
X-Message-Info: CSUZcDZ77oFucQTIj83z9JO6ZGPjsHQg
Received: from eqrglmn07.worldnet.att.net ([71.234.211.224])
 by dm3-a30.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824);
	 Fri, 25 Jun 2004 19:10:57 -0100
Received: from decisivewapitispendqj79 (pirouette[34.87.236.170])
          by worldnet.att.net (drpvgfv00) with SMTP
          id <40601119582042584223yoj0j>
          (Authid: Julioxxxxdondo);
          Fri, 25 Jun 2004 23:12:57 +0300

Como sabemos, la primera cabecera es la nuestra: en este caso vemos que es un mail recibido por terra (el proveedor de la cuenta de correo destinataria) desde tsmtp13.mail.isp.

tsmtp13.mail.isp dice que recibe el mensaje desde dsl.telesp.net.br. OK, ambos existen (puede averiguarse coon cualquier herramienta DNS, chequeando la IP) asi que seguimos. dsl.telesp.net.br dice que el mensaje viene de eqrglmn07.worldnet.att.net (IP 71.234.211.224). Esta es una IP reservada, luego esta cabecera es falsa. Podemos descartar las demás, este correo viene de dsl.telesp.net.br.

Enlaces relacionados

Puedes probar una herramienta online para analizar cabeceras en LevineCentral, o descargarte SamSpade, que tiene ademas otras utilidades muy interesantes.