Título: Interpretar la cabecera de un correo Publicado por: NikNitro! en 12 Julio 2013, 18:09 pm Buenas. Estoy haciendo un curso y me dan una cabecera de un correo de phishing (el curso es por aprender, no es obligatorio ni quiero que me hagáis los ejercicios para que apruebe nada, pues no hay nada que aprobar xP).
El curso... no está muy bien explicado, pero aún asi estoy intentando hacer los ejercicios (Es de peritaje informático) La cabecera es la siguiente Código: Received: from correo.dominiovictima.net (correo.dominiocliente.net [202.231.192.40]) Y mis dudas eran... 1.- Se ve claro (mirando por los servidores por los que ha pasado el correo hasta llegar a su destino) de que la cabecera ha sido falsificada, no? Pues el correo se envio de los servidores: mailhost.aol.com -> aol.com correo.dominiocliente.net -> correo.dominiocliente.net correo.dominiovictima.net -> correo.dominiocliente.net y por tanto hay un salto que falta ahí. 2.- He encontrado que " X-PMFLAGS: 12345678 9" se refiere a que el mensaje fue enviado usando un cliente de correo llamado "Pegasus Mail" y que los números son parámetros del correo, pero no se si estos parametros importan y como saber a que refieren. 3.- " X-UIDL" Por más que he buscado no se lo que significa éste parámetro. Por ahora esas son mis dudas :( Espero que me ayudeis. He puesto este post aqui porque no sabía en que rama del foro iría un post relacionado con seguimiento de correos electronicos. S@lu2;) Título: Re: Interpretar la cabecera de un correo Publicado por: el-brujo en 12 Julio 2013, 23:22 pm yo no creo que las cabeceras de los e-mails estén falsificadas.
Aquí el "malo", el que ha enviado el e-mail es: Citar Received: from mailhost.aol.com(ivanovich.cdfe.sinp.msu.ru(24.218.7.32)) by aol.com (8.8.5/8.6.5) with SMTP id GAA00075 f El resto de flags, o cabeceras del e-mail tipo X-UIDL ni caso, alli puedes poner muchas cosas, pero no tienen ningún valor, eso si se puede cambiar, pero las cabeceras de arriba no. Título: Re: Publicado por: NikNitro! en 13 Julio 2013, 11:20 am Y el correo que envio el mensaje como se cual es? Gracias.
PD: o si sabeis de algun manual bueno acerca de esto... He visto varios, entre ellos uno de google pero no me lo han dejado muy claro. Gracias el-brujo ;) Enviado desde mi Nexus 4 usando Tapatalk Título: Re: Interpretar la cabecera de un correo Publicado por: Mister12 en 15 Julio 2013, 22:49 pm el correo que envio el mensaje seria este
From: soporte@bancoimportante.es Título: Re: Interpretar la cabecera de un correo Publicado por: sjmp en 1 Agosto 2013, 14:37 pm Qué casualidad, yo también he asistido a ese curso y esta parte la pasamos muy por encima por falta de tiempo. Al momento pensé que lo había entendido todo bien, pero ahora con los ejercicios me surgen algunas dudas.
Resulta que he buscado en Google para obtener información sobre X-PMFLAGS y me he topado con este hilo. No se si conseguiste resolver algo, si es así, me gustaría que me echaras una mano con esto, a simple vista el correo parece correcto salvo por lo que dices, de aol.com a correo.dominiocliente.net falta el paso aol.com --> correo.dominiocliente.net. También habría que comprobar que los DNS coincidan con las IPs (con NSLookup supongo). Un saludo! |