Diferencia entre revisiones de «Tecnologías de Internet/Spam en el correo electrónico»

Contenido eliminado Contenido añadido
Drinibot (discusión | contribs.)
m Miscelánea ortográfica
Línea 1:
== Introducción ==
 
Este manual pretende ser una simple introducción a uno de los sistemas más utilizados de internet, el del correo electrónico. Sobretodo, el texto intentará dar respuesta a las dudas más frecuentes sobre el funcionamiento interno del mismo, pasando por alto cosas como la utilización de los agentes de correo, su configuración o similares. La idea es explicar ¿como?, o ¿por qué? pasan determinadas cosas que muchos usuarios se preguntán pero desconocen como averiguar. Nunca se ha preguntado ¿cómo és posible enviar correo falso? o porque es tan dificil localizar a los “spamers”, o incluso como podría saber si un correo electronicoelectrónico lo ha enviado quien dice que lo ha enviado. Las respuestas a todas estas preguntas y algunas otras están en este manual.
 
 
Línea 21:
problemas como:
- Eliminación, reordenación o incorporación de caracteres de fin de linealínea o de retorno de carro.
- Eliminación de espacios finales.
- Truncar o dividir lineaslíneas de más de 80 caracteres,etc.
 
Para aclarar un poco las cosas, lo mejor es mostrar lo explicado con un esquema:
Línea 39:
 
 
Es inevitable, el correo basura nos llega. No importa lo que hagamos, ni filtros ni antivirus ni nada. Cada día nos despertamos con unos cientos de mensajes basura. Estamos desesperados y queremos una solución. Una forma de solucionar este problema es no teniendo cuentas de correo electronicoelectrónico. Otra de las posibilidades consiste en intentar detectar a los spamers y denunciarles. Nunca os tomeis la justicia por vuestra mano, ya que aunque sea muy tentador, al final los perjudicados sereis vosotros. Si detectais a un espamer lo mejor es que lo denuncieis a vuestro administrador de correo. El se encargará de tomar las medidas oportunas. En este capitulo se enseñará a analizar las cabeceras de control de los correos para así saber si son falsos o no. Aunque los que envian correos basura siempre intentan falsificar sus origenes, muchas veces es muy fácil saber si un correo es auténtico o no.
 
 
Línea 93:
 
Comentar que para explicar de forma sencilla la cabecera de este correo electrónico se han numerado
las diferentes lineaslíneas para ir comentandolas, en el correo original no están. También se han cambiado
algunos datos por razones obvias para garantizar la privacidad.
 
Lo primero que tenemos que observar son los posibles campos que empiezan por una “X”. Estos campos son añadidos normalente por los programas de usuario o de entrega como una extensión y a la hora de analizar el correo electrónico son totalmente descartables. Las ignoramos.
 
La linealínea 1 contiene el campo return-path que se suele utilizar como dirección de retorno en caso que se produzca algún tipo de error enviando el correo.
 
Las lineaslíneas 2 y 3 son tal vez las más importantes a la hora de analizar un correo electrónico. Estos campos son añadidos conforme el correo va circulando por internet y va pasando por los diferentes ordenadores. Cada ordenador por el que el correo pasa añade su campo received. Se han de leer de abajo arriba, es decir el primero es la linealínea 3 y el segundo la 2. La estructura básica de los campos received es muy simple y consta de dos partes. La primera parte indica la máquina que envío el correo y siempre viene encabezada por la palabra from. La segunda parte indica la máquina que recibe el correo y siempre viene precedidad por la palabra by. En el ejemplo en la linealínea 3 tenemos:
 
 
Línea 107:
 
 
''from MODDING (62.43.11.2):'' es la máquina que originó el mensaje cuya ip podemos ver entre paréntesis. ''resmta03.ono.com (7.1.016.11)id 40D79551000D206F for correo@yahoo.es; Wed, 4 Aug 2004 14:57:30 +0200:'' esta parte es la máquina que recibió el mensaje procedente de la máquina llamada MODDING. La máquina que recibió el mensaje se llama ''resmta03.ono.com'' y su ip aparece entre parentesis. La información que aparece a continuación puede variar según sea el agente de transporte que se utilice. Como regla general en el caso de la primera linealínea de received aparecerá el correo del destinatario y además en el resto de received la fecha además del offset en formato UTC de la fecha local. En nuestro caso particular tenemos en primer lugar el identificador del correo en la máquina: id 40D79551000D206F, el destinatario: for correo@yahoo.es, la fecha en que se envió el correo: Wed, 4 Aug 2004 14:57:30 y finalmente el offset respecto la fecha local: +0200. Las fechas así como las máquinas por donde va pasando el correo son lo que entre otras cosas nos permitirán descubrir correos falsos. Para ello veamos el siguiente received:
 
 
Línea 116:
Como podemos ver, la máquina que envia el correo es la misma que lo recibió en el anterior received: ''from 62.42.230.12 (EHLO resmta03.ono.com)''. Si no fuera así, significaria que el correo habría sido manipulado y por tanto que es un correo basura. Es como una cadena de ordenadores en la que uno envia y el otro recibe. Si la cadena se rompe significa que algo no está bien. En este caso la máquina que recibe el correo de ''resmta03.ono.com'' es la máquina mta426.mail.scd.yahoo.com. Podemos observar que la fecha de recepción son las 6 de la madrugada hora local. Se podría llegar a pensar que el correo ha sido manipulado por la enorme diferencia de tiempo entre el envío y la recepción (15 horas hacia atrás ya que es el mismo día) pero no es así si tenemos en cuenta el offset. La diferencia horaria es de -7 horas respecto el 0. En el origen tenemos que son las 3 de la tarde, le quitamos las dos horas respecto el 0 y después le quitamos las siete hasta el destino, el resultado es de las 5:57, es decir, entre el envío y la recepcion han pasado unos 5 o 6 minutos dependiendo de que los relojes estuvieran bien sincronizados etc. Así tenemos que entre las horas de envió y recepción apenas hay diferencia temporal. Si hubiera un excesivo tiempo o fechas absurdas sería una señal de que estamos ante un correo basura.
 
Saltemos un momento a la linealínea 9. En ella encontramos el identificador del mensaje de correo a lo largo de todo el sistema de correo allá por donde pase. Es su identificador digital y siempre es el mismo. Su formato es también siempre el mismo. Siemrpe entre corchetes y después del identificador ha de aparecer separado por una “@” el nombre de la máquina que envió el correo inicialmente. Si esto no es así es problemente un correo falso.
 
Las lineaslíneas de la 4 a la 7 son las típicas lineaslíneas de subject, from, to y la fecha. Son facilmente falsificables y por eso no son muy fiables. El resto no sirve en principio para identificar el origen del correo elecrtónico pero forma parte de la cabecera y se ha creido conveniente incluirlo. En estas lineaslíneas podemos obtener información sobre el agente de correo que se utilizó para escribir el correo, en este caso: X-Mailer: Microsoft Outlook, Build 10.0.2627.
 
 
Bien, ahora sabemos cuales son los elementos más importantes a la hora de analizar un correo. A continuación os indicaremos cuales son las características más rápidas para identificar a un correo basura:
 
1.Cualquier received despuesdespués del campo date es falso.
2.Los campos received tienen que encadenarse, si alguno de estos campos no coincide con el siguiente
Línea 175:
 
 
Lo primero que podemos observar es que los campos from y to (lineaslíneas 6 y 7) son iguales. Por si sólo este hecho no es indicativo de nada, a no ser que la persona que recibe el correo no sea la destinataria del mensaje (como ocurre en nuestro caso). Nuestro correo es correo@arrakis.es pero el destinatario es semassaq@xzapmail.com. Muchos se preguntarán el como ha podido llegar un correo a un destinatario diferente del indicado, ¿Tal vez un error del sistema de correo?. Como veremos más adelante no se trata de ningún error sino de una acción totalmente deliberada por parte de los espamers, el autentico destinatario aparece en la linealínea 3: correo@arrakis.es. Pasemos al primer received, es decir, la linealínea 4. El emisor original se supone que es: xzapmail.com (unverified [10.49.101.5]). El receptor es tambíen el mismo xzapmail.com. En prinpio es posible que el emisor y el receptor sean el mismo, por ejemplo es el caso de que nos enviemos un correo a nosotros mismos. Pero existiendo más campos received es poco probable que esto sea así. Comprobamos la existencia de este domino mediante la utilidad whois y obtenemos la siguiente información:
 
 
Línea 187:
 
 
Como podemos ver, esto nos indica que el dominio xzapmail.com no esta siendo utilizado por nadie y que por tanto no puede haber sido utilizado en el correo. En principio lo que podemos deducir es que este campo received ha sido probablemente falsificado. Si seguimos analizando el siguiente campo received (linealínea 3) podremos ver que el emisor es: wtwmmail01.xzapmail.com , el servidor de correo de nuestra máquina falsa. En este caso se nos indica la ip de la máquina; lo comprobamos y en principio tampoco existe, también es posible que esté desconectada de la red. El correo es recibido por una máquina llamada lavin02. Esta máquina de la cual no se indica la ip no indica el tipo de dominio que representa (com, es, net, org ...). Cada gestor escribe los datos que considera oportunos y en este caso parece que no escribe el tipo de dominio. La linealínea 2 es la única que hasta cierto punto es muy dificil de falsificar ya que es la generada por nuestro propio servidor de correo. En ella podemos observar la ip de lavin02: 192.168.197.19. Esta ip, que también hemos comprobado, tampoco existe, al menos no como parte de un servidor constantemente conectado a la red. Tal vez sea un ip dinámica generada por un isp a un usuario domestico.
 
== Capitulo 3. - Envío de correo falso. ==
Línea 231:
texto del mesaje.
 
Finalmente escribimos el mensaje y normalente acabamos con una linealínea en la que sólo escribimos un punto más enter.
 
 
Línea 263:
 
 
Así, los campos subject, from y to se escriben después del comado DATA en lineaslíneas separadas por un retorno de carro (un enter), pudiendo poner lo que queramos. Es así como podemos recibir un correo que aparentemente va dirigido a otras personas, basta con poner un campo diferente al real (campo RCPT) en el campo To:. Este campo lo leen los agentes de usuario y es como vemos, facilmente falsificable