PePi -II - Iniciativa para la Calidad del Correo Electrónico

Cómo analizar las cabeceras del Spam

Qué son y para qué sirven las cabeceras

Cómo visualizarlas

Cómo interpretar estas cabeceras

Herramientas para localizar direcciones de Internet

Qué son y para qué sirven las cabeceras de los correos

Las cabeceras de los mensajes son una serie de campos que incluyen información sobre el origen, el tipo de mensaje y los distintos Servidores de Correo ( también llamados Estafetas o Relays) por donde el e-mail ha ido pasando desde que salió hasta que llego a nosotros.

Cuando un mensaje de e-mail se manda lo que se hace es que nuestro software cliente de correos envíe, a un servidor de correos -también llamado estafeta de correos o relay- nuestro mensaje. Esa estafeta de correos analiza la cabecera de nuestro mensaje y allí encuentra cual es el dominio al que se dirige, por ejemplo en "fulanito@dominio.com" el dominio sería "dominio.com", conocido esto envía el mensaje a la estafeta de correos encargada de ese dominio para que ella distribuya el mensaje al usuario "fulanito". Este esquema simple, que comprende sólo la participación de dos servidores de correos puede complicarse enormemente, por ejemplo por la participación de servidores de correos que hagan la función de redirigir el mensaje.

En cualquier caso cada estafeta de correo por la que pasa el mensaje añade, en la cabecera del mensaje, un campo que se denomina *Received:*.

Cada estafeta lo añade en la parte de arriba de las cabeceras, de manera que el primer campo que pone Received: es el de la última estafeta por donde pasó el mensaje, y el último -se supone- indicará a la primera estafeta que recibe el mensaje spam, eso suponiendo que en el e-mail no se hayan utilizado técnicas de enmascaramiento.

El esquema del campo Received es:

Received: from <estafeta_que_manda> by <estafeta_que_recibe> <datos>

Ejemplo:

*Received: from tsmtp2.mail.isp ([10.10.21.11])by mailbox2.teleline.es
(Netscape Messaging Server 4.1 Nov 4 1999 17:02:49) with ESMTP id
FQZD8701.HR9 for <midireccion@decorreo.es>*

Eso dice que el mensaje original fue mandado desde tsmtp2.mail.isp a mailbox2.teleline.es para midirección@decorreo.es

Según se van añadiendo campos Received tenemos una secuencia de estafetas que reciben el mensaje y que se lo mandan a otras hasta que al final le llega al destinatario.

Received: from (Mandado) por servidor A by (al) servidor B
Received: from (Mandado) por servidor C by (al) servidor A
Received: from (Mandado) por servidor D by (al) servidor C

El servidor A y el C son los que hacen de estafetas intermedias entre el destino B y el origen D. Es decir, que se lee de abajo hacia arriba.

Cuando se rompe la secuencia es a menudo signo de que el resto del mensaje está falsificado, y por tanto todo lo que ponga, antes de que la secuencia se rompa, será verdadero, mientras lo que venga después de su ruptura puede ser falso.

Cómo visualizar las cabeceras

Depende del gestor de correo que utilices deberás hacer una cosa, u otra, para poder extraer las cabeceras del mensaje.

- Si utilizas el Outlook Express puedes hacerlo señalando el mensaje y pulsando "Control+F3". Aparecerá el mensaje y su cabecera.

- Si tu gestor de correo es el Eudora, abre el mensaje y observa que inmediatamente se activa una barra de menú con iconos. Pincha en el icono "BLAH BLAH BLAH" y obtendrás las cabeceras del e-mail.

Si utilizas el Agent, situado en el mensaje de correo pulsas h para ver las cabeceras, te sitúas en el mensaje, pulsas CTRL + A y le das a Forward para crear un nuevo mensaje de correo.

En el caso de Thor 2.x (Amiga), puede visualizar las cabeceras completas presionando en la ventana principal el botón superior derecho (situado al lado de los campos "ReplyTo:", "OrgMsg:", "Replies:" y "Flags:"). Para guardar el mensaje completo y poder enviarlo como prueba junto a su queja basta con que seleccione "Project/Save message " Disk": elija en la ventana que aparecerá "Save headers: All headers" y haga las modificaciones pertinentes y a continuación presione el botón "Save & close".

En el caso del cliente de correo YAM 2.0 (Amiga) puede visualizarlas completamente seleccionando la ventana donde se muestra el mensaje y seleccionando el ítem de menú "Settings/Full headers". Para guardar el mensaje completo y poder enviarlo como prueba junto a su queja, basta con que presione el botón "Save" en la ventana de lectura y elija "Raw format": se guardará el mensaje completo sin interpretar (en bruto).

Cómo interpretar las cabeceras

Veamos dos correos electrónicos uno de un Spammer (el primero con los textos en color naranja) y otro de un remitente honesto (el segundo con los textos en azul).

Spammer:

From: notificacion@revistaserfeliz14.com
Reply-To: notificacion@revistaserfeliz14.com
To: notificacion@revistaserfeliz14.com
Subject: ATENCION! ATENCION! ATENCION! MUY IMPORTANTE!!!
Date: Sat, 21 Dec 2002 16:19:52 +0100

Si visitar una Web, pudiera hacerte MILLONARIO!
¿La Visitarías? www.FuturoSinLimites.com
Haz Clik Aqui AHORA!

Correo honesto:

X-Sender: buscador@dominioempresa.es
X-Mailer: QUALCOMM Windows Eudora Version 4.3.2
Date: Mon, 23 Dec 2002 15:05:31 +0100
To: correo_del@destinatario.es
From: AUI Buscador Guia Internet <buscador@dominioempresa.es>
Subject: Alta en nuestro buscador

Pulse este enlace para confirmar su alta definitiva en nuestro buscador

Vemos ya algunas diferencias antes de ver las cabeceras, la primera es que el Spammer suele utilizar como dirección de remite (From:/De:) la misma a la que envía (To:/Para:) y que probablemente sea una dirección falsa.
La segunda diferencia es que en el correo del Spammer no hay información del programa que el remitente utiliza para enviar el correo ( no existe el registro X-Mailer) mientras que el segundo nos indica el programa utilizado por el cliente.

Veamos ahora que información aparece al visualizar las cabeceras algo que tenemos que hacer o solicitar desde los programas con los que leemos el correo (Show all headers, Ver Cabeceras, Bla..Bla, ..)

Correo honesto:

X-Persona: <prensa>
Received: from Mi (63.Red-80-34-216.pooles.rima-tde.net [80.34.216.63]) by dominioempresa.es (8.11.6) id gBNE7rm02014 for <correo_del@destinatario.es>; Mon, 23 Dec 2002 15:07:53 +0100 (CET)
Message-Id: <4.3.2.7.2.20021223150521.00b14520@localhost>
X-Sender: buscador@dominioempresa.es
X-Mailer: QUALCOMM Windows Eudora Version 4.3.2
Date: Mon, 23 Dec 2002 15:05:31 +0100
To: correo_del@destinatario.es
From: AUI Buscador Guia Internet <buscador@dominioempresa.es>
Subject: Alta en nuestro buscador
Mime-Version: 1.0
Content-Type: text/plain; charset="us-ascii"; format=flowed
X-UIDL: <nY!!1C>"!)/,"!X,f"!

Pulse este enlace para confirmar su alta definitiva en nuestro buscador

Vemos que ahora hay más información que antes y en particular interesa que nos fijemos en la información de campo Received: hay un campo de estos por cada servidor en los que ha estado este correo, vamos a diseccionar los contenidos de este campo:

from Mi -->-Este es el nombre del ordenador desde dónde salió el correo.
(63.Red-80-34-216.pooles.rima-tde.net [80.34.216.63]) --> Aquí tenemos la información del servidor de correo que recogió este mensaje, el cual pertenece al dominio rima-tde.net con esta IP 80.34.216.63
by dominioempresa.es (8.11.6) --> Aquí tenemos quién entregó el correo
id gBNE7rm02014 --> Esta es la identificación del mensaje dentro del servidor de correo
for <correo_del@destinatario.es> --> Para quién va dirigido
Mon, 23 Dec 2002 15:07:53 +0100 (CET) -- Fecha y hora de la entrega

Veamos ahora las cabeceras del correo enviado por Spammer, en este caso vemos que ha pasado por dos servidores de correo y cada uno de ellos tiene un campo Received: con idéntica estructura al que hemos analizado anteriormente, en este caso vemos que el mensaje procede de la IP 192.168.0.1 de aquí paso a ttd.es [213.96.232.30] a través de este dominio vivirconexito.com

X-Persona: <form>
Received: from vivirconexito.com (213-96-232-30.uc.nombres.ttd.es [213.96.232.30]) by aui.es (8.11.6) id gBM3qks97031; Sun, 22 Dec 2002 04:52:47 +0100 (CET)
Received: from [192.168.0.1] by Duron 2
(ArGoSoft Mail Server Pro v 1.8.2.2); Sat, 21 Dec 2002 16:19:52 +0100
MIME-Version: 1.0
From: notificacion@revistaserfeliz14.com
Reply-To: notificacion@revistaserfeliz14.com
To: notificacion@revistaserfeliz14.com
Subject: ATENCION! ATENCION! ATENCION! MUY IMPORTANTE!!!
Mime-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Message-ID: <1b136vhrmzq2b6f.211220021619@vivirconexito.com>
Date: Sat, 21 Dec 2002 16:19:52 +0100
X-UIDL: #Cc"!"#?"!`j=!!<J;!!

Si visitar una Web, pudiera hacerte MILLONARIO!
¿La Visitarías?www.FuturoSinLimites.com
Haz Clik Aqui AHORA!

En definitiva vemos que las cabeceras nos dan información de los servidores por donde ha transitado el e-mail antes de llegar a nuestro buzón (IP o nombre), la fecha, la hora, la Identificación del correo en cada servidor, quién lo entrego y para quién va dirigido. Todos estos datos son básicos para investigar el Correo Basura - Spam y a los Spammers, por eso siempre que comuniquemos un Correo Basura - Spam hay que incluir las cabeceras del mismo.

En general un Spammer utiliza una dirección de remite (From:/De:) que suele ser falsa o que pertenece a alguien inocente así que lo mejor es reclamar a los servidores que aparecen en los campos. Lo siguiente es investigar las direcciones de servidores que aparecen en los campos "received" de las cabeceras y en particular al primero (aquel desde donde se envió el Correo Basura - Spam).

Si queremos más información sobre un nombre de dominio o sobre una dirección IP podemos consultar las bases de Whois y si ya no queremos seguir investigando basta con enviar un queja junto con el mensaje completo incluidas cabeceras a estas direcciones: abuse@192.168.0.1 ,postmaster@192.168.0.1

Herramientas para localizar direcciones en Internet

Estas herramientas requieren un nivel de conocimientos avanzado, en caso de tener alguna duda puede ponerse en contacto con su proveedor de correo.

Si quieres averiguar los datos de un web, de una dirección IP, de un nombre de dominio, de una DNS... solo tienes que pulsar aquí.

¿Qué es un dominio y para qué sirve?
Un nombre de dominio es un nombre alfanumérico único utilizado para identificar un sitio web en Internet, es decir, para tener una identificación electrónica en la red que permite a las personas recordarlos más fácilmente.
Es un conjunto de caracteres que identifica la dirección de un sitio Web. Un nombre de dominio es simplemente un alias para un protocolo numérico particular de Internet (IP). Como las direcciones IP numéricas son relativamente difíciles de memorizar, fue creado el sistema de nombre de dominio (DNS) para permitir a la gente recordar más fácilmente nombres en lugar de secuencias numéricas.

¿Cómo conocer los datos de un web?
En este enlace podéis utilizar esta herramienta de búsqueda, para obtener la información disponible en las bases de datos WHOIS de dominios de Internet (Domain)

¿Qué es una IP de conexión?
Una IP es la dirección que tiene un ordenador de forma única dentro de una red, ya sea Internet, red local, etc. Todo ordenador que se comunique con otros necesita tener una dirección para poder mandar y recibir información correctamente.
Las direcciones IP pueden ser estáticas (nunca cambian) como en el caso de los servidores o conexiones ADSL. O dinámicas dentro de un rango asignado por un servidor, como en el caso del acceso telefónico analógico (modem tradicional) mediante una ISP (Internet Service Provider).
Para saber a quien pertenece una IP pulsa aquí

Más información en:
SPAM como combatirlo, defenderse, etc
La lucha contra el envío masivo de correos no solicitados (spams)