elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Duda con cabeceras "Received" en E-Mail
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Duda con cabeceras "Received" en E-Mail  (Leído 3,567 veces)
banderas20

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Duda con cabeceras "Received" en E-Mail
« en: 15 Julio 2020, 13:07 pm »

Buenos días,

estoy examinando las cabeceras de un correo electrónico, y me salen 2 campos "Received" con diferentes IPs.

Es un mail legítimo, porque lo he enviado yo, pero no entiendo por qué aparecen 2 IPs distintas

Código:
Received: from dominio1 ([ip1])
        by mx.google.com with ESMTPS id
Received-SPF: pass (designates ip1 as permitted sender) client-ip=ip1;
Authentication-Results: mx.google.com;
       spf=pass
Received: from dominio2 ([ip2]) by xxx with ESMTP

Además, no entiendo qué significan ESMTP y ESMTPS

Gracias!


En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.580


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Duda con cabeceras "Received" en E-Mail
« Respuesta #1 en: 15 Julio 2020, 21:26 pm »

Pueden aparecer 1, 2 o más IP's en un e-mail, puesto que puede que tu e-mail pase un de servidores  de correo a otro según esté configurado, incluso pueden ser ip's privadas. Es por donde ha pasado tu e-mail antes de llegar a su destino, los "saltos" que da.

ESMTP no es más que el protocolo mejorado del original SMTP, que es usado hoy en día para enviar e-mails. Enhanced Simple Mail Transfer Protocol son las siglas en inglés. Y ESMTPS pues se debe referir la S final a SSL (Cifrado).

En el ejemplo de dominio1 y domnio2, quizás tengas una redirección hecha y los correos mandados a dominio1 se mandan automáticamente a domnio2, y por eso aparecen dos ip's diferentes.

En un ejemplo de un e-mail que te manda el foro:

Pues aparece el "Received: from " quién lo manda y el "by" quién lo recibe


En este caso hay una redirección de  correo de un dominio a otro y por eso aparecen incluso más ip's de las normales.

Aparecen varias direcciones ipv6 de servidores de Google

Citar
Received: by 2002:a05:6e02:12ad:0:0:0:0 with SMTP id f13csp545492ilr;
        Wed, 15 Jul 2020 05:11:56 -0700 (PDT)
X-Received: by 2002:aca:48d3:: with SMTP id v202mr7259116oia.78.1594815116255;
        Wed, 15 Jul 2020 05:11:56 -0700 (PDT)


Citar
Received: from ns2.elhacker.net (cli-5b7ed999.ast.adamo.es. [91.126.217.153])
        by mx.google.com with ESMTPS id a203si1601742wmc.114.2020.07.15.05.11.54
        for <el-brujo@elhacker.net>
        (version=TLS1 cipher=AES128-SHA bits=128/128);
        Wed, 15 Jul 2020 05:11:54 -0700 (PDT)
Received-SPF: pass (google.com: domain of foro@elhacker.net designates 91.126.217.153 as permitted sender) client-ip=91.126.217.153;
Received: by ns2.elhacker.net
  with ESMTP id 06FCB2C1019773; Wed, 15 Jul 2020 14:11:02 +0200
Received: by ehn
  with ESMTP id 06FCBqQ3029821; Wed, 15 Jul 2020 14:11:52 +0200
Received: (from nobody@localhost) by ehn (8.14.4/8.14.4/Submit) id 06FCBq52029820; Wed, 15 Jul 2020 14:11:52 +0200
Message-Id: <202007151211.06FCBq52029820@ehn>
X-Authentication-Warning: ehn: nobody set sender to foro@elhacker.net using -f
To: el-brujo@elhacker.net

91.126.217.153 es la ip del servidor de correo del foro, pero quién realmente mandó el correo fue el servidor del foro cuya IP está oculta por seguridad y sólo pone "by ehn" y la versión de sendmail.


En línea

banderas20

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Re: Duda con cabeceras "Received" en E-Mail
« Respuesta #2 en: 16 Julio 2020, 19:18 pm »

Hola el-brujo.

Entiendo lo de las redirecciones. Eso explica las múltiples IPs. Pero en el caso que me pones, del correo del foro, no te sigo.


91.126.217.153 es la ip del servidor de correo del foro, pero quién realmente mandó el correo fue el servidor del foro cuya IP está oculta por seguridad y sólo pone "by ehn" y la versión de sendmail.

91.126.217.153 es la ip del servidor de correo del foro. Esto lo entiendo. ;)
Dices que quien realmente mandó el correo es el servidor del foro. ¿Qué diferencia hay entre un servidor y otro? ¿No son ambos 2 servidores de correo pertenecientes al foro?

Otra cosa que no entiendo es que "ehn" sea un servidor de envío si pone "Received: by" (recibido por).

No entiendo los nodos de envío y recepción en ese ejemplo que me pones.... :(

Muchas gracias por la ayuda!  :D

En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.580


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Duda con cabeceras "Received" en E-Mail
« Respuesta #3 en: 17 Julio 2020, 12:28 pm »

Pues el tema es que usamos CloudFlare que esconde la IP real de servidor. Estamos detrás  de su CDN y para evitar ataques DDoS, pues CloudFlare hace de pantalla y revisa (WAF) todas las peticiones que recibimos antes que lleguen a la IP real del servidor.

Entonces una manera muy fácil de adivinar la IP real del foro es mirar las cabeceras de un e-mail de ese dominio, para saber la IP real de un servidor que se esconde detrás de CloudFlare. La IP del servidor de correo suele ser la misma que el servidor web.

Citar
¿Qué diferencia hay entre un servidor y otro? ¿No son ambos 2 servidores de correo pertenecientes al foro?

Si, los dos servidores de correo pertenecen al foro, pero el real (oculto) del foro (1 ehn) lo único que hace es redireccionar automáticamente los correos al otro servidor de correo público del foro (2). Básicamente son iguales, pero uno está oculto y redirecciona y el otro es visible y lo envía a su destino.

IP1 ehn (Oculta) Servidor correo del foro (Redirección) a --> IP2 Pública (Servidor de correo) --> Destino

Citar
Otra cosa que no entiendo es que "ehn" sea un servidor de envío si pone "Received: by" (recibido por).

Si, es un servidor de envío, pero en las cabeceras, pues Gmail o recibió, por eso pone "Received: "

En nuestro caso el servidor de correo del foro sólo manda e-mails, no los recibe. Los registros DNS tipo MX dicen quién "recibe", gestiona el correo, en nuestro caso Google (Gmail).

Pero si usamos el webmail (mail.elhacker.net) entonces los manda también Gmail. Por eso se crearon los registros SPF, para poder decir a todo el mundo si hay permiso para que más de una IP o servidor esté autorizado a mandar e-mails en nombre de elhacker.net.

Con tu servidor de correo podrías mandar un e-mail "De banderas20@elhacker.net" pero no llegaría a su destino (SPF Fail o llegaría a SPAM, correo no deseado, suplantació de identidad), y no porque el buzón banderas20@elhacker.net no exista, sino porque tu IP no está autorizada a mandar e-mails con *@elhacker.net

Normalmente suele ser el mismo servidor que recibe y manda e-mails e-mails, pero a veces, se usan recursos externos, por ejemplo, listas de correo gestionadas por otra empresa para hacer mailing y tienes que autorizarlos también para que puedan mandar e-mails usando tu dominio.
En línea

banderas20

Desconectado Desconectado

Mensajes: 34


Ver Perfil
Re: Duda con cabeceras "Received" en E-Mail
« Respuesta #4 en: 17 Julio 2020, 21:10 pm »

Pedazo de explicación te has currado.

Muchísimas gracias por explicación y por tu dedicación!  :D
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.580


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: Duda con cabeceras "Received" en E-Mail
« Respuesta #5 en: 30 Noviembre 2020, 11:54 am »

Analizar cabeceras (Headers) de un e-mail

Investigar problemas de correo Messageheader analiza los encabezados de los mensajes SMTP, lo que ayuda a identificar el motivo que origina los retrasos en la entrega. Puedes detectar servidores con una configuración incorrecta y problemas de enrutamiento del correo.

¿Qué información puede proporcionarme esta herramienta sobre las cabeceras de correos electrónicos? Identifica retrasos de entrega. Identifica el origen aproximado del retraso. Identifica al posible usuario responsable.

https://toolbox.googleapps.com/apps/messageheader/
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines