Duda con cabeceras "Received" en E-Mail

Iniciado por banderas20, 15 Julio 2020, 13:07 PM

0 Miembros y 1 Visitante están viendo este tema.

banderas20

Buenos días,

estoy examinando las cabeceras de un correo electrónico, y me salen 2 campos "Received" con diferentes IPs.

Es un mail legítimo, porque lo he enviado yo, pero no entiendo por qué aparecen 2 IPs distintas

Received: from dominio1 ([ip1])
        by mx.google.com with ESMTPS id
Received-SPF: pass (designates ip1 as permitted sender) client-ip=ip1;
Authentication-Results: mx.google.com;
       spf=pass
Received: from dominio2 ([ip2]) by xxx with ESMTP


Además, no entiendo qué significan ESMTP y ESMTPS

Gracias!

el-brujo

Pueden aparecer 1, 2 o más IP's en un e-mail, puesto que puede que tu e-mail pase un de servidores  de correo a otro según esté configurado, incluso pueden ser ip's privadas. Es por donde ha pasado tu e-mail antes de llegar a su destino, los "saltos" que da.

ESMTP no es más que el protocolo mejorado del original SMTP, que es usado hoy en día para enviar e-mails. Enhanced Simple Mail Transfer Protocol son las siglas en inglés. Y ESMTPS pues se debe referir la S final a SSL (Cifrado).

En el ejemplo de dominio1 y domnio2, quizás tengas una redirección hecha y los correos mandados a dominio1 se mandan automáticamente a domnio2, y por eso aparecen dos ip's diferentes.

En un ejemplo de un e-mail que te manda el foro:

Pues aparece el "Received: from " quién lo manda y el "by" quién lo recibe


En este caso hay una redirección de  correo de un dominio a otro y por eso aparecen incluso más ip's de las normales.

Aparecen varias direcciones ipv6 de servidores de Google

CitarReceived: by 2002:a05:6e02:12ad:0:0:0:0 with SMTP id f13csp545492ilr;
        Wed, 15 Jul 2020 05:11:56 -0700 (PDT)
X-Received: by 2002:aca:48d3:: with SMTP id v202mr7259116oia.78.1594815116255;
        Wed, 15 Jul 2020 05:11:56 -0700 (PDT)


CitarReceived: from ns2.elhacker.net (cli-5b7ed999.ast.adamo.es. [91.126.217.153])
        by mx.google.com with ESMTPS id a203si1601742wmc.114.2020.07.15.05.11.54
        for <el-brujo@elhacker.net>
        (version=TLS1 cipher=AES128-SHA bits=128/128);
        Wed, 15 Jul 2020 05:11:54 -0700 (PDT)
Received-SPF: pass (google.com: domain of foro@elhacker.net designates 91.126.217.153 as permitted sender) client-ip=91.126.217.153;
Received: by ns2.elhacker.net
  with ESMTP id 06FCB2C1019773; Wed, 15 Jul 2020 14:11:02 +0200
Received: by ehn
  with ESMTP id 06FCBqQ3029821; Wed, 15 Jul 2020 14:11:52 +0200
Received: (from nobody@localhost) by ehn (8.14.4/8.14.4/Submit) id 06FCBq52029820; Wed, 15 Jul 2020 14:11:52 +0200
Message-Id: <202007151211.06FCBq52029820@ehn>
X-Authentication-Warning: ehn: nobody set sender to foro@elhacker.net using -f
To: el-brujo@elhacker.net

91.126.217.153 es la ip del servidor de correo del foro, pero quién realmente mandó el correo fue el servidor del foro cuya IP está oculta por seguridad y sólo pone "by ehn" y la versión de sendmail.

banderas20

Hola el-brujo.

Entiendo lo de las redirecciones. Eso explica las múltiples IPs. Pero en el caso que me pones, del correo del foro, no te sigo.

Cita de: el-brujo en 15 Julio 2020, 21:26 PM

91.126.217.153 es la ip del servidor de correo del foro, pero quién realmente mandó el correo fue el servidor del foro cuya IP está oculta por seguridad y sólo pone "by ehn" y la versión de sendmail.

91.126.217.153 es la ip del servidor de correo del foro. Esto lo entiendo. ;)
Dices que quien realmente mandó el correo es el servidor del foro. ¿Qué diferencia hay entre un servidor y otro? ¿No son ambos 2 servidores de correo pertenecientes al foro?

Otra cosa que no entiendo es que "ehn" sea un servidor de envío si pone "Received: by" (recibido por).

No entiendo los nodos de envío y recepción en ese ejemplo que me pones.... :(

Muchas gracias por la ayuda!  :D


el-brujo

Pues el tema es que usamos CloudFlare que esconde la IP real de servidor. Estamos detrás  de su CDN y para evitar ataques DDoS, pues CloudFlare hace de pantalla y revisa (WAF) todas las peticiones que recibimos antes que lleguen a la IP real del servidor.

Entonces una manera muy fácil de adivinar la IP real del foro es mirar las cabeceras de un e-mail de ese dominio, para saber la IP real de un servidor que se esconde detrás de CloudFlare. La IP del servidor de correo suele ser la misma que el servidor web.

Citar¿Qué diferencia hay entre un servidor y otro? ¿No son ambos 2 servidores de correo pertenecientes al foro?

Si, los dos servidores de correo pertenecen al foro, pero el real (oculto) del foro (1 ehn) lo único que hace es redireccionar automáticamente los correos al otro servidor de correo público del foro (2). Básicamente son iguales, pero uno está oculto y redirecciona y el otro es visible y lo envía a su destino.

IP1 ehn (Oculta) Servidor correo del foro (Redirección) a --> IP2 Pública (Servidor de correo) --> Destino

CitarOtra cosa que no entiendo es que "ehn" sea un servidor de envío si pone "Received: by" (recibido por).

Si, es un servidor de envío, pero en las cabeceras, pues Gmail o recibió, por eso pone "Received: "

En nuestro caso el servidor de correo del foro sólo manda e-mails, no los recibe. Los registros DNS tipo MX dicen quién "recibe", gestiona el correo, en nuestro caso Google (Gmail).

Pero si usamos el webmail (mail.elhacker.net) entonces los manda también Gmail. Por eso se crearon los registros SPF, para poder decir a todo el mundo si hay permiso para que más de una IP o servidor esté autorizado a mandar e-mails en nombre de elhacker.net.

Con tu servidor de correo podrías mandar un e-mail "De banderas20@elhacker.net" pero no llegaría a su destino (SPF Fail o llegaría a SPAM, correo no deseado, suplantació de identidad), y no porque el buzón banderas20@elhacker.net no exista, sino porque tu IP no está autorizada a mandar e-mails con *@elhacker.net

Normalmente suele ser el mismo servidor que recibe y manda e-mails e-mails, pero a veces, se usan recursos externos, por ejemplo, listas de correo gestionadas por otra empresa para hacer mailing y tienes que autorizarlos también para que puedan mandar e-mails usando tu dominio.

banderas20

Pedazo de explicación te has currado.

Muchísimas gracias por explicación y por tu dedicación!  :D

el-brujo

Analizar cabeceras (Headers) de un e-mail

Investigar problemas de correo Messageheader analiza los encabezados de los mensajes SMTP, lo que ayuda a identificar el motivo que origina los retrasos en la entrega. Puedes detectar servidores con una configuración incorrecta y problemas de enrutamiento del correo.

¿Qué información puede proporcionarme esta herramienta sobre las cabeceras de correos electrónicos? Identifica retrasos de entrega. Identifica el origen aproximado del retraso. Identifica al posible usuario responsable.

https://toolbox.googleapps.com/apps/messageheader/