Estudio encabezados de servicios de mail gratuitos.
 |
Estudio encabezados de servicios de mail gratuitos | |
| Responsable | CSIRT ANTEL | |
| Fecha | Noviembre 2010 | |
| Clasificación | Público | |
Motivación
Estudiar qué detalles se pueden llegar a conocer del verdadero remitente de un correo electrónico (en particular la dirección IP de origen) cuando se usa alguno de los servicios gratuitos de envío de mail por web.
Introducción
Muchas veces existe la necesidad de conocer desde qué dirección IP en Internet provino cierto correo electrónico ya sea porque recibimos algun contenido difamatorio o simplemente porque queremos verificar el origen de cierto mensaje. En la mayoria de los casos esto puede resolverse fácilmente analizando los encabezados extendidos del mensaje recibido; la dificultad surgue cuando quien envia el menasaje utiliza algún servicio gratuito de correo electrónico via web (webmail) ya que en ese caso dependerá del dueño del servicio poner o no esa información en los encabezados.
Este estudio busca analizar los servicios gratuitos de correo electrónico más populares e indicar de qué manera encontrar esta información en los encabezados. Cabe destacar que se presupone que los correos están saliendo efectivamente de los sitios estudiados. Es relativamente sencillo hacer suplantación de los orígenes de los correos electrónicos y un determinado correo que parece provenir de un cierto domino pudo nunca haber salido del mismo.
Detalle
Se estudiaron los siguientes sitios:
- Hotmail - Windows Live (Microsoft™): http://www.hotmail.com/
- Yahoo! Mail (Yahoo!™): http://mail.yahoo.com/
- Gmail (Google™): http://mail.google.com/
- adinet (ANTEL): http://www.adinet.com.uy
- AIM.Mail (AOL™): http://mail.aim.com/
La metodología fue la siguiente:
- Se crearon cuentas (o se usaron cuentas ya existentes) en los sitios mencionados anteriormente
- Se envió (usando la interfaz web correspondiente) desde un equipo en la red del CSIRT-ANTEL un correo electrónico desde cada una de las cuentas a una cuenta testigo dentro del dominio 'csirt-antel.com.uy'
- Se repitió el punto anterior desde otro equipo de la red del CSIRT-ANTEL para confirmación.
- Se analizaron los encabezados de los correos recibidos.
Resultados
Se muestran a continuación los encabezados de los correos recibidos. Se resalta en amarillo, dónde puede encontrarse dentro de los mismos, la dirección IP de origen desde donde efectivamente se envió el correo electrónico.
(Algunos datos fueron alterados para proteger la infraestructura del CSIRT-ANTEL)
Hotmail - Windows Live:
Estando en el Inbox, marcar el correo electrónico de interés, luego posicionar el puntero del mouse sobre el mismo, presionar botón derecho y seleccionar Ver código fuente del mensaje; verá algo similar a:
|
Return-Path: <cuenta_origen@hotmail.com> |
Yahoo! Mail:
| Return-Path: <cuenta_origen@yahoo.com.ar> X-Original-To: cuenta_destino@csirt-antel.com.uy Delivered-To: cuenta_destino@csirt-antel.com.uy Received: from n26.bullet.mail.mud.yahoo.com (n26.bullet.mail.mud.yahoo.com [68.142.206.221]) by mail.csirt-antel.com.uy with SMTP id E46667F126D for <cuenta_destino@csirt-antel.com.uy>; Wed, 24 Sep 2008 11:26:44 -0300 (UYT) Received: from [68.142.200.226] by n26.bullet.mail.mud.yahoo.com with NNFMP; 24 Sep 2008 14:26:42 -0000 Received: from [68.142.201.251] by t7.bullet.mud.yahoo.com with NNFMP; 24 Sep 2008 14:26:42 -0000 Received: from [127.0.0.1] by omp412.mail.mud.yahoo.com with NNFMP; 24 Sep 2008 14:26:42 -0000 X-Yahoo-Newman-Property: ymail-3 X-Yahoo-Newman-Id: 953678.95411.bm@omp412.mail.mud.yahoo.com Received: (qmail 37334 invoked by uid 60001); 24 Sep 2008 14:26:42 -0000 DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.com.ar; h=X-YMail-OSG:Received:X-Mailer:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type:Message-ID; b=NjRInV2wLB+GiRPPgjFlFTo2ouVgoBwdntm0NLOsBejlqKHIB9kVCqBlwwxNf3UAnL6UI//h5mItc1JRdDAkkaFbg37CiixwIlU/I=; X-YMail-OSG: c39HZ94VM1m2KwPLX8tV4Ygi1cS6vdV4MIhmAdABsVg.HGXeFrWuOHWJk2HDxXOVufVQonRNe_LMEzqfi5HigKyGcv_bF Received: from [208.77.188.166] by web45312.mail.sp1.yahoo.com via HTTP; Wed, 24 Sep 2008 07:26:41 PDT X-Mailer: YahooMailWebService/0.7.218.2 Date: Wed, 24 Sep 2008 07:26:41 -0700 (PDT) From: <cuenta_origen@yahoo.com.ar> Reply-To: cuenta_origen@yahoo.com.ar Subject: PRUEBA YAHOO To: cuenta_destino@csirt-antel.com.uy MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="0-905665327-1222266401=:36681" Message-ID: <346517.36681.qm@web45312.mail.sp1.yahoo.com> |
Gmail:
| Return-Path: <cuenta_origen@gmail.com> X-Original-To: cuenta_destino@csirt-antel.com.uy Delivered-To: cuenta_origen@csirt-antel.com.uy Received: from rn-out-0910.google.com (rn-out-0910.google.com [64.233.170.188]) by mail.csirt-antel.com.uy with ESMTP id 67B4A7F126D for <cuenta_destino@csirt-antel.com.uy>; Wed, 24 Sep 2008 11:23:09 -0300 (UYT) Received: by rn-out-0910.google.com with SMTP id j40so958994rnf.16 for <cuenta_destino@csirt-antel.com.uy>; Wed, 24 Sep 2008 07:23:07 -0700 (PDT) DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=domainkey-signature:received:received:message-id:date:from:to :subject:mime-version:content-type; bh=Xi+4tiGDKIZ/H8OuAg3yA6q4xuUnBwV4PINR+wnsIjI=; b=F6rCFaSem+pXPVNEXVqg5diWHqTpNvfLCXFCmCu8pHvlEj+B+1TzPveUOc3SUZY8n6 pR1cmSJCusTRZ5YuePyN11Sou+ubQ5ulZQgN9KxH4zSIrkJO8ZhKj7dA/cjf2PFusSYk LhXTYG5vf5atdS45Lctfe+voAl6vFhA/TGJZE= DomainKey-Signature: a=rsa-sha1; c=nofws; d=gmail.com; s=gamma; h=message-id:date:from:to:subject:mime-version:content-type; b=N617e8XGlzyXzyBbAcT3P5LYcRJhMrrqlvcqOcwZ7y597IaUKzlJtbIJO/hWGSI7T6 dmmjlV9UjNamep1JWI5M4lJshACeRUUtJjIMEB2S/pXlAmohZ9fKiB1l3pHJ4Xs5CVTB dNtyjhjjgXq236wsa3Tuvz8rw00Tj5lcIqNIo= Received: by 10.90.67.10 with SMTP id p10mr8271874aga.64.1222266187132; Wed, 24 Sep 2008 07:23:07 -0700 (PDT) Received: by 10.90.73.13 with HTTP; Wed, 24 Sep 2008 07:23:06 -0700 (PDT) Message-ID: <76fabab60809240723s286ce945o25f010908b88a4a@mail.gmail.com> Date: Wed, 24 Sep 2008 11:23:06 -0300 From: <cuenta_origen@gmail.com> To: <cuenta_destino@csirt-antel.com.uy> Subject: PRUEBA GMAIL MIME-Version: 1.0 Content-Type: multipart/alternative; boundary="----=_Part_11010_18907225.1222266187114" |
adinet:
| Return-Path: <cuenta_origen@adinet.com.uy> X-Original-To: cuenta_destino@csirt-antel.com.uy Delivered-To: cuenta_destino@csirt-antel.com.uy Received: from smtp-s03.adinet.com.uy (smtp-s03.adinet.com.uy [200.40.30.63]) by mail.csirt-antel.com.uy with ESMTP id B64BE7F120F for <cuenta_destino@csirt-antel.com.uy>; Wed, 24 Sep 2008 11:19:10 -0300 (UYT) Received: from backup (192.168.2.209) by smtp-s03.adinet.com.uy (8.0.013.3) (authenticated as cuenta_origen) id 48BC365700FE8C8C for cuenta_destino@csirt-antel.com.uy; Wed, 24 Sep 2008 11:19:10 -0300 Received: from [208.77.188.166] by www.adinet.com.uy via http; Wed Sep 24 11:19:10 UYT 2008 Message-ID: <4095961.1222265950651.JavaMail.tomcat@backup> Date: Wed, 24 Sep 2008 11:19:10 -0300 (UYT) From: <cuenta_origen@adinet.com.uy> Reply-To: <cuenta_origen@adinet.com.uy> To: cuenta_destino@csirt-antel.com.uy Subject: PRUEBA ADINET MIME-Version: 1.0 Content-Type: text/plain;charset="ISO-8859-15" Content-Transfer-Encoding: 7bit X-Originating-IP: 208.77.188.166 |
AIM.Mail:
| Return-Path: <cuenta_origen@aim.com> X-Original-To: cuenta_destino@csirt-antel.com.uy Delivered-To: cuenta_destino@csirt-antel.com.uy Received: from imo-d04.mx.aol.com (imo-d04.mx.aol.com [205.188.157.36]) by mail.csirt-antel.com.uy with ESMTP id 23E707F119F for <cuenta_destino@csirt-antel.com.uy>; Wed, 24 Sep 2008 11:16:45 -0300 (UYT) Received: from cuenta_origen@aim.com by imo-d04.mx.aol.com (mail_out_v39.1.) id q.bd3.2eb8b6cb (37164) for <cuenta_destino@csirt-antel.com.uy>; Wed, 24 Sep 2008 10:16:39 -0400 (EDT) Received: from smtprly-ma02.mx.aol.com (smtprly-ma02.mx.aol.com [64.12.207.141]) by cia-ma04.mx.aol.com (v121_r2.11) with ESMTP id MAILCIAMA043-912c48da4bc7d7; Wed, 24 Sep 2008 10:16:39 -0400 Received: from FWM-M29 (fwm-m29.webmail.aol.com [64.12.193.231]) by smtprly-ma02.mx.aol.com (v121_r2.12) with ESMTP id MAILSMTPRLYMA023-5c4d48da4bb6355; Wed, 24 Sep 2008 10:16:22 -0400 To: cuenta_destino@csirt-antel.com.uy Subject: PROBANDO AIM Date: Wed, 24 Sep 2008 10:16:22 -0400 X-MB-Message-Source: WebUI X-AOL-IP: 208.77.188.166 X-MB-Message-Type: User MIME-Version: 1.0 From: cuenta_origen@aim.com Content-Type: multipart/alternative; boundary="--------MB_8CAEC67417E01EA_1040_C90_FWM-M29.sysops.aol.com" X-Mailer: AIM WebMail 38839-STANDARD Received: from 208.77.188.166 by FWM-M29.sysops.aol.com (64.12.193.231) with HTTP (WebMailUI); Wed, 24 Sep 2008 10:16:22 -0400 Message-Id: <8CAEC67417B9F92-1040-64E@FWM-M29.sysops.aol.com> X-Spam-Flag:NO |
Caso Especial: Gmail
Es el único de los servicios de mail gratuitos que se estudiaron que a priori no brinda ninguna información sobre la verdadera dirección IP origen de los correos electrónicos. Pero ésto no significa que ellos no la registren ni que no faciliten la información en caso de que alguna investigación así lo requiriera. Extracto de los documentos de ayuda de GMAIL:
Resumen
CERTuy
- Hispasec - Elevación de privilegios en sudo (en multitud de distribuciones)
- Hispasec - Denegación de servicio en Samba
- Hispasec - Nuevos troyanos Spyeye orientados exclusivamente a entidades de Panamá y Honduras
- Hispasec - Nueva versión de PHP corrige dos vulnerabilidades
- Hispasec - Diversas vulnerabilidades en Wireshark
