Interpretar la cabecera de un correo

Iniciado por NikNitro!, 12 Julio 2013, 18:09 PM

0 Miembros y 1 Visitante están viendo este tema.

NikNitro!

Buenas. Estoy haciendo un curso y me dan una cabecera de un correo de phishing (el curso es por aprender, no es obligatorio ni quiero que me hagáis los ejercicios para que apruebe nada, pues no hay nada que aprobar xP).
El curso... no está muy bien explicado, pero aún asi estoy intentando hacer los ejercicios (Es de peritaje informático)

La cabecera es la siguiente


Received: from correo.dominiovictima.net (correo.dominiocliente.net [202.231.192.40])
        by correo.dominiocliente.net (8.8.5/8.8.5) with ESMTP id BAA00705
        for <victima@correo.dominiovictima.net>; Wed, 30 Jul 2010 01:15:27 -0600 (MDT)
  From: soporte@bancoimportante.es
  Received: from correo.dominiocliente.net
        (dyn3023.bigisp.ru [138.122.123.21]) by
        correo.dominiocliente.net (8.8.5/8.8.5) with SMTP id OAA11439;
        Wed, 30 Jul 2010 14:35:50 +0900 (JST)
  Received: from mailhost.aol.com(ivanovich.cdfe.sinp.msu.ru(24.218.7.32)) by
        aol.com (8.8.5/8.6.5) with SMTP id GAA00075 for <"">;
Message-ID: <191102170025.GAA0856@ivanovich.cdfe.sinp.msu.ru>
  Date: Tue, 29 Jul 2010 22:19:42 EST
  Subject: ¡Cambia tu clave urgentemente!
  Reply-To: soporte@bancoimportante.es
  X-PMFLAGS: 12345678 9
  X-UIDL: 12345600xyz1x128xyz426x9x9x
  Comments: Authenticated sender is <soporte@bancoimportante.es>
  Content-Length: 672
  X-Lines: 26
  Status: RO


Y mis dudas eran...

1.- Se ve claro (mirando por los servidores por los que ha pasado el correo hasta llegar a su destino) de que la cabecera ha sido falsificada, no? Pues el correo se envio de los servidores:
   mailhost.aol.com                    -> aol.com
   correo.dominiocliente.net -> correo.dominiocliente.net
   correo.dominiovictima.net -> correo.dominiocliente.net
y por tanto hay un salto que falta ahí.

2.- He encontrado que " X-PMFLAGS: 12345678 9" se refiere a que el mensaje fue enviado usando un cliente de correo llamado "Pegasus Mail" y que los números son parámetros del correo, pero no se si estos parametros importan y como saber a que refieren.

3.- " X-UIDL" Por más que he buscado no se lo que significa éste parámetro.

Por ahora esas son mis dudas  :( Espero que me ayudeis.

He puesto este post aqui porque no sabía en que rama del foro iría un post relacionado con seguimiento de correos electronicos.

S@lu2;)

el-brujo

yo no creo que las cabeceras de los e-mails estén falsificadas.

Aquí el "malo", el que ha enviado el e-mail es:

Citar
Received: from mailhost.aol.com(ivanovich.cdfe.sinp.msu.ru(24.218.7.32)) by
        aol.com (8.8.5/8.6.5) with SMTP id GAA00075 f

El resto de flags, o cabeceras del e-mail tipo X-UIDL ni caso, alli puedes poner muchas cosas, pero no tienen ningún valor, eso si se puede cambiar, pero las cabeceras de arriba no.

NikNitro!

Y el correo que envio el mensaje como se cual es? Gracias.

PD: o si sabeis de algun manual bueno acerca de esto... He visto varios, entre ellos uno de google pero no me lo han dejado muy claro.

Gracias el-brujo ;)

Enviado desde mi Nexus 4 usando Tapatalk

Mister12

#3
el correo que envio el mensaje seria este

From: soporte@bancoimportante.es

From some where at the other side of the universe

sjmp

Qué casualidad, yo también he asistido a ese curso y esta parte la pasamos muy por encima por falta de tiempo. Al momento pensé que lo había entendido todo bien, pero ahora con los ejercicios me surgen algunas dudas.

Resulta que he buscado en Google para obtener información sobre  X-PMFLAGS y me he topado con este hilo.

No se si conseguiste resolver algo, si es así, me gustaría que me echaras una mano con esto, a simple vista el correo parece correcto salvo por lo que dices, de aol.comcorreo.dominiocliente.net falta el paso aol.com --> correo.dominiocliente.net. También habría que comprobar que los DNS coincidan con las IPs (con NSLookup supongo).

Un saludo!