HostinggKings - Los Reyes del Hosting
Por favor Ingresar ó Registrar
Soporte en línea: Soporte en línea: 


Cuenta Digital

Base de Conocimientos

Analizando el encabezado de un email SPAM - <Desarrollo de HostingKings>
 Analizando el encabezado de un email SPAM
Solución

El encabezado del email: donde comienza el spam

A continuación indicamos el comienzo del encabezado de un email basura (spam), que incluye información respecto a la transferencia del email entre quien lo envió y quien lo recibe:

encabezado spam

Analicemos con cuidado las líneas destacadas en rojo:

  • Return-path: el encabezado está indicando que si usted responde a éste mensaje email, la respuesta será enviada a ydcddlhankz@yahoo.com. Realmente ¿usted usaría una dirección de email como esta?
  • Received tags: como en los blogs de la web, lea esta etiqueta de abajo para arriba. El encabezado dice que originalmente el email fue enviado desde 206.85.220.156 y fue enviado a 217.225.143.240 (el cual es el nombre/IP del primer servidor de email envuelto en el transporte de éste mensaje). Luego repentinamente, la siguiente etiqueta Received dice que el mensaje fue recibido desde root@localhost, por mailv.fx.ro. Usted puede también notar que hasta el momento, las etiquetas Received no contienen ninguna información respecto a como ha sido transmitido el email (la etiqueta "with" no aparece: esta etiqueta indica el protocolo empleado para enviar el email).

    En realidad, este es el caso común de un spammer que pretende ser el usuario administrador de mailv.fx.ro y que enviando el email desde 206.85.220.156, a través de 217.225.143.240 indica a 217.225.143.240 a que actúe como usuario administrador de mailv.fx.ro, esto último para usar el servidor SMTP de mailv.fx.ro para enviar el email. Sin embargo como cada vez más y más servidores de email no estan permitiendo conexiones open-relay, con el fin de enviar el mensaje, el spammer solo puede utilizar el servidor de email del receptor. Si el spammer tratara de enviar el email a soporte@admindireccionemail.com.ar, a través de exactamente la misma ruta indicada arriba, el intento no tendría éxito, ya que soporte@admindireccionemail.com.ar no es un usuario de la red de mailv.fx.ro. Esta es la razón por la cual usted puede estar recibiendo emails de spam que aparentan ser enviados a través de una dirección email de su propio ISP.

    Profundizando aún más el analisis, usted puede utilizar una herramienta para el trazado de IPs, como Visual Route, con el fin de ubicar a quien pertenece cada IP. Como en la mayoría de los casos de spam, el IP donde todo comienza (en nuestro caso el 206.85.220.156) es inaccesible, lo cual significa que el spammer puede haber ruteado al IP original o bien a utilizado un IP dinámico (un caso normal para usuarios de conexiones telefónicas). Sin embargo, haciendo el trazado del 217.225.143.240, usted va a llegar al ISP usado por el spammer, un proveedor alemán. El ISP no tiene nada que ver con el spam en sí mismo, simplemente fue utilizado por el spammer para conectarse a Internet.
    Miremos un poco más al encabezado del email:

    spam header
  • El campo Message-ID es un identificador único de cada mensaje de email. Tiene el mismo significado que el ID de trazado de un correo postal expreso. La regla que rige la creación de este ID dice que el mismo se compone con el nombre del servidor que ha asignado el ID y una única cadena de caracteres (por ejemplo, QESADJHO@admindireccionemail.com.ar). Hmm, lo que vemos es extraño, ya que en nuestro caso, el ID pertenece a hotmail.com, mientras que el remitente parece pertenecer a yahoo.com. En los hechos, esta diferencia muestra principalmente que el remitente está forjado (dirección falsa o alguien que esta usurpando la dirección email).
  • La etiqueta X-IP (también llamada X-Originating-IP) es probablemente la más importante de todas y nos va a dar información precisa respecto al remitente (desde donde se ha enviado el email realmente). Desafortunadamente, esta etiqueta es opcional para los protocolos de email, por lo cual algunos mensajes spam no la van a incluir. Como usted puede ver, el IP de origen en nuestro caso no es ni siquiera parecido al IP del remitente, indicado en las etiquetas Received.
  • Otro ID único es la etiqueta X-UIDL, pero en este caso es usada por el protocolo POP3 cuando su cliente email esta recibiendo el correo. Esta es una etiqueta opcional de email, pero practicamente a los spammers les encanta incluirla.


    • Detalles del Artículo
    ID del Artículo: 4
    Creado el: 26 Jul 2009 6:47 AM

     Esta respuesta SI fue útil  Esta respuesta NO fue útil

     Comentarios Añadir un comentario
     Regresar

    Hostingkings - Los reyes del hosting

    Powered by WHMCompleteSolution

    HostingKings - Los reyes del hosting | © 2003 - 2010 | Todos los derechos reservados