Cómo leer la información del encabezado del correo electrónico
1. Introducción
Esta parte analizará en detalle todos los aspectos de los encabezados de correo electrónico. Principalmente proporciona a los usuarios una base teórica para configurar servidores de correo y brinda a los administradores la oportunidad de descubrir la verdadera fuente de spam cuando ocurre acoso por correo no deseado. El conocimiento de los encabezados de los correos electrónicos puede ayudar a detectar correos electrónicos falsificados. También es útil para los usuarios que desean comprender cómo viaja el correo a través de la red.
Aunque se evita intencionalmente la discusión sobre cómo falsificar un correo electrónico, un lector malintencionado podría utilizar el contenido de la discusión como base para crear un correo electrónico falsificado. Como quiero dar ejemplos en el artículo, hay varios nombres de dominio ficticios y direcciones IP asignadas aleatoriamente que se utilizan como ejemplos en el artículo. Estos nombres de dominio e IP se eligen y falsifican arbitrariamente y no tienen nada que ver con los nombres de dominio e IP reales en Internet.
2. Proceso de transmisión de correo electrónico
Esta parte contiene un análisis sencillo del ciclo de vida de un correo electrónico. Esta es información general importante para comprender lo que pueden decirle los encabezados de los correos electrónicos.
A primera vista, puede parecer que el correo electrónico se entrega directamente desde la máquina del remitente a la dirección del destinatario, pero a menudo este no es el caso. Un correo electrónico típico pasa por al menos cuatro computadoras durante su ciclo de vida.
Esto se debe a que la mayoría de las empresas u organizaciones tienen un servidor dedicado llamado "servidor de correo" para procesar el correo electrónico y, por lo general, este no es el ordenador donde el usuario lee el correo electrónico. Para un ISP, un usuario marca desde una computadora en casa para acceder a la red del ISP. La computadora en la casa del usuario se llama cliente y la computadora del ISP que se especializa en procesar correo se llama servidor de correo. Cuando un usuario envía un correo electrónico, normalmente lo edita en su propia computadora y luego lo envía al servidor de correo del ISP. El cliente ha completado su trabajo y el servidor de correo del ISP completa el trabajo posterior. Primero, el servidor de correo del ISP encuentra la dirección IP del servidor de correo especificado por el destinatario y luego envía el correo al servidor de destino. El correo electrónico ahora se almacena en el servidor de correo del destinatario esperando a que el destinatario lo reciba. Cuando el destinatario obtiene el correo electrónico que le envió el servidor de correo electrónico receptor y lo envía a su propia PC, el correo electrónico generalmente se eliminará.
Se suponen varios usuarios ficticios
Si lisi quiere enviar un correo electrónico a lili, edita el correo electrónico en la estación de trabajo (asumiendo que el nombre es lili.alpha.com.cn) y la carta editada se envía desde la estación de trabajo al correo electrónico. Servidor de la Academia China de Ciencias: mail.alpha .com.cn. Una vez que la carta se envía a mail.alpha.com.cn, el proceso de envío de carta posterior no tiene nada que ver con lisi. El servidor de correo de la Academia China de Ciencias descubre que se trata de una carta enviada a un usuario de 263.net y se comunica con el servidor de correo de 263 (por ejemplo, mail.263.net) y le transmite el correo. Ahora el correo se almacena en mail.263.net hasta que Lili marca para conectarse a la red 263 en su PC para ver y recibir el correo. En este momento, mail.263.net transfiere el correo almacenado a la PC personal de Lili.
Durante este proceso, el encabezado del correo electrónico se agregará al correo electrónico tres veces: por el cliente de correo electrónico al editarlo; por mail.alpha.com cuando el correo electrónico se transfiere a mail.alpha.com.cn. Se agrega cn; lo agrega mail.263.net cuando se envía desde mail.alpha.com.cn a mail.263.net. En términos generales, los clientes no agregan encabezados de correo cuando reciben cartas. Echemos un vistazo más de cerca a cómo se generan estos encabezados de correo electrónico.
Cuando el cliente de correo de lisi edita el correo y lo envía a mail.alpha.com.cn, el contenido del correo es el siguiente.
Estos contenidos son agregados por el programa de edición de correo electrónico (outlook express):
De: lili@sina.com (Li Si)
Para: demo@hotmail
Fecha: martes, 18 de marzo de 1997 14:36:14 PST
X-Mailer: Outlook Express 5.5
Asunto: ¿Mañana es feriado?
Cuando el correo electrónico se transmite desde mail.alpha.com.cn a mail.263.net, el contenido del correo electrónico se convierte (el contenido recién agregado es de mail.alpha.com.cn):
Recibido: de lili.alpha.com.cn (lili.alpha.com.cn [124.211.3.11]) por mail.alpha.com.cn (8.8.5) id 004A21 martes, 18 de marzo de 1997 14; : 36:17 -0800 (PST)
De: lili@sina.com (Li Si)
Para: demo@hotmail
Fecha: martes, 18 de marzo de 1997 14:36:14 PST
Id. del mensaje:
X-Mailer: Outlook Express 5.5
Asunto: ¿Mañana es feriado?
Cuando mail.263.net recibe la carta y la almacena esperando que lili la reciba, el contenido del correo electrónico se convierte en (el contenido recién agregado). se agrega por mail.263.com ):
Recibido: de mail.alpha.com.cn (mail.alpha.com.cn [124.211.3.78]) por mail.263.net (8.8. 5/8.7.2) con ID de ESMTP LAA20869 para
Recibido: de lili.alpha.com.cn ( lili.alpha.com.cn [124.211.3.11]) por mail.alpha.com.cn (8.8.5) id 004A21; martes, 18 de marzo de 1997 14:36:17 -0800 (PST)
De: lili@sina.com (Li Si)
Para: demo@hotmail
Fecha: martes, 18 de marzo de 1997 14:36:14 PST
Id. del mensaje:
X-Mailer: Outlook Express 5.5
Asunto: ¿Mañana es feriado?
El contenido de esta última carta es el contenido que Lili recopila y lee. El siguiente es un análisis detallado del contenido:
Recibido: de mail.alpha.com.cn
El contenido anterior indica que el correo electrónico proviene de alguien que dice ser mail.alpha .com.servidor de cn.
(mail.alpha.com.cn [124.211.3.78])
Esta frase significa que el nombre real del servidor es mail.alpha.com.cn, es decir decir La identidad que dice ser es correcta, su dirección IP es 124.211.3.78.
por mail.263.net (8.8.5/8.7.2)
La máquina que recibe este correo electrónico es mail.263.net. El programa de correo que ejecuta es sendmail y la versión es 8.8.5/8.7.2.
con ESMTP id LAA20869
Al servidor que recibe el correo electrónico se le asigna el número de ID LAA20869 (normalmente este número lo utiliza internamente el servidor de correo, pero el administrador puede iniciar sesión en función de el número de identificación) Encuentre información relevante sobre la letra en el archivo, pero generalmente el número no tiene sentido).
para
Este correo electrónico se envía a la dirección demo@hotmail. Puede ver que no hay contenido relacionado con Para: en el encabezado del correo electrónico.
Martes, 18 de marzo de 1997 14:39:24 -0800 (PST)
Esta transmisión por correo electrónico se produjo el: martes, 18 de marzo de 1997, a las 14:39, hora del Pacífico :24 (Hora del Pacífico, ya que está 8 horas por detrás de la hora media de Greenwich, por lo tanto "-0800").
Recibido: de lili.alpha.com.cn (lili.alpha.com.cn [124.211.3.11]) por mail.alpha.com.cn (8.8.5) id 004A21 martes, marzo; 18 1997 14:36:17 -0800 (PST)
El encabezado del correo electrónico registra que el correo electrónico se transmitió desde lili.alpha.com.cn (la estación de trabajo de lisi) al servidor de correo mail.alpha.com. cn. La transmisión ocurrió a las 14:36:17 hora del Pacífico. La computadora emisora dice ser lili.alpha.com.cn, y su nombre real es lili.alpha.com.cn después de la consulta DNS. Su dirección IP es 124.211.3.11 y el software del servidor de correo es sendmail v8.8.5. El número de identificación asignado a esta carta por el servidor de correo mail.alpha.com.cn es 004A21.
De: lili@sina.com (Li Si)
El correo electrónico fue enviado por lili@sina.com, cuyo nombre es Li Si.
A: demo@hotmail
La dirección de destino del correo electrónico es: demo@hotmail.
Fecha: martes, 18 de marzo de 1997 14:36:14 PST
El correo electrónico se editó a las 14:36:14 hora estándar del Pacífico el martes 18 de marzo de 1997.
Id. del mensaje: mail.alpha.com.cn asignó este número al correo electrónico para identificarlo. Es diferente del número de identificación de ESMTP de la máquina SMTP en el encabezado Recibido. Porque este número siempre va acompañado del correo electrónico completo. Otros ID solo se asocian durante la fase de entrega de correo en un servidor de correo específico. Por lo tanto, el número de identificación de la máquina no tiene significado para otras máquinas. A veces, el ID del mensaje incluye la dirección de correo electrónico del remitente. X-Mailer: Outlook Express 5.5 Este mensaje fue enviado usando Outlook Express, el número de versión es 5.5. Asunto: ¿Mañana es festivo? Título del correo electrónico. 3. Protocolo de correo electrónico Esta parte tiene más contenido teórico que otras partes. Principalmente analiza los detalles de cómo se transmiten los correos electrónicos de un punto a otro. No es necesario que comprenda cada oración, pero estar familiarizado con ella puede ayudarlo a resolver el problema si sucede algo extraño en su transmisión de correo electrónico. Dado que los spammers de correo electrónico a menudo crean deliberadamente situaciones extrañas para disfrazar su identidad, comprender estos extraños fenómenos puede ser muy útil para tratar con estos tipos. Para transmitir datos en la red, los protocolos de red informática utilizan puntos de acceso llamados puertos. Puede pensar en un puerto como un canal a través del cual una computadora puede monitorear las comunicaciones de la red para proporcionar servicios. Para monitorear múltiples comunicaciones al mismo tiempo, la computadora necesita identificar múltiples puertos diferentes usando números de puerto para distinguir estas comunicaciones. El puerto relacionado con la transmisión de correo electrónico es 25. Situación normal Revisemos el ejemplo anterior, pero esta vez solo nos preocupamos por el proceso de comunicación entre mail.alpha.com.cn y mail.263.net. Primero, mail.zky.edu.cn abre una conexión al puerto 25 de mail.263.net y luego envía correos electrónicos a través de la conexión. Por supuesto, habrá algunas interacciones de comandos de administración durante el proceso de envío de correo electrónico. Los comandos y respuestas en la interacción son más o menos legibles. El comando está especificado por el protocolo SMTP. Si monitorea la comunicación entre los dos, puede haber el siguiente contenido: (La parte en negrita se envía por mail.alpha.com.cn) 220 mail.263.net ESMTP Sendmail 8.8.5/ 1.4/ 8.7.2/1.13; martes, 18 de marzo de 1997 14:38:58 -0800 (PST) HELO mail.alpha.com.cn 250 correo. 263.net Hola mail.alpha.com.cn [124.211.3.78], encantado de conocerte MAIL DE: lili@sina.com 250 lili@sina. com... Remitente ok RCPT A: demo@hotmail 250 demo@hotmail... Destinatario ok DATOS 354 Ingrese el correo, termine con "." en una línea sola Recibido: de lili.alpha.com.cn (lili.alpha.com.cn [124.211.3.11]) por correo. alpha.com.cn (8.8.5) id 004A21; martes, 18 de marzo de 1997 14:36:17 -0800 (PST) De: lili@sina.com (R.T. Hood) Para: demo@hotmail Fecha: martes, 18 de marzo de 1997 14:36:14 PST Id. del mensaje: X-Mailer: Outlook Express 5.5 Asunto: ¿Mañana es feriado? ¿Tienes tiempo para reunirnos para almorzar? > --lisi . 250 LAA20869 Mensaje aceptado para entrega SALIR 221 mail.263. conexión de cierre de red Dependencia de transporte completa Hay cinco comandos SMTP principales (por supuesto, hay algunos otros comandos SMTP, pero no se utilizan para completar la transferencia de correo real): HELO, MAIL FROM, RCPT TO, DATOS y SALIR. El comando HELO del remitente del correo se utiliza para identificarse. HELO mail.alpha.com.cn se puede interpretar como "Hola, soy mail.alpha.com.cn". Por supuesto, el remitente puede mentir aquí, pero no existe ningún mecanismo que impida que mail.alpha.com.cn diga "Hola, soy mail.xxx.com" o "Hola, soy mail.yyy.com". Sin embargo, en la mayoría de los casos, el destinatario tiene algún medio para confirmar la verdadera identidad del remitente. El comando MAIL FROM identifica el inicio de la transmisión del correo, lo que significa "Tengo un correo electrónico enviado por alguien". La dirección seguida por este comando es la llamada "dirección del sobre" (lo discutiremos). en profundidad más adelante). El sobre de la dirección no es necesariamente la dirección del remitente. Este evidente agujero de seguridad es inevitable (porque el destinatario no sabe qué direcciones hay en la máquina del remitente), pero puede ser una característica útil en determinadas situaciones. RCPT TO y MAIL FROM se complementan. Especifica el destinatario del mensaje. Se puede enviar un correo electrónico a varios destinatarios mediante varios comandos RCPT TO. (Esta función se explicará más adelante en la sección Retransmisión de correo y algunos sistemas inseguros pueden abusar de ella). La dirección que sigue a este comando se denomina dirección del "sobre a". Especifica a qué usuarios se entregará el correo electrónico y no tiene nada que ver con la dirección especificada por Para: en la carta. El comando DATOS indica que comience la transmisión real del contenido del correo electrónico. Todo lo ingresado después del comando DATOS se considera parte del correo electrónico. No hay restricciones en el formato. Las líneas que comienzan con una palabra en inglés seguida de dos puntos generalmente son consideradas por los programas de correo como encabezados de correo. Las líneas que comienzan con un símbolo de punto (.) se consideran el final del contenido del correo electrónico. El comando QUIT finaliza la conexión. La especificación del protocolo SMTP está definida en RFC 821. Situaciones anormales El ejemplo anterior es demasiado simple. El ejemplo anterior supone que los servidores de correo de dos organizaciones pueden acceder directamente entre sí sin pasar por dispositivos de seguridad como servidores proxy y firewalls. Este suele ser el caso en el entorno actual de Internet. Pero debido a que la seguridad es tan importante para algunas organizaciones y a medida que las redes u organizaciones pueden volverse cada vez más grandes, no es tan simple. Para la transmisión de correo con un sistema de firewall proxy, la diferencia es que hay un registro adicional del proceso de reenvío en el encabezado del correo, es decir, el correo se envía primero desde el servidor de correo del remitente al firewall y luego se envía desde el firewall al servidor de correo de destino. 4. Retransmisión de correo Algunos encabezados de correo con ciclos de "vida" especiales pueden ser completamente diferentes a los comentados anteriormente: Recibido: de unwilling.intermedia. com (unwilling.intermedia.com [98.134.11.32]) por mail.alpha.com.cn (8.8.5) id 004B32 para Recibido: de linuxaid.com.cn ([202.99.11.120]) por unwilling.intermedia.com (8.6.5/8.5.8) con ID SMTP LAA12741 miércoles, 30 de julio de 1997 19; :36:28 -0500 (EST) De: Spammer anónimo Para: (lista de destinatarios suprimida) Id. del mensaje: X-Mailer: Molestia masiva Asunto: QUIERO GANAR MUCHO DINERO p> La diferencia entre este encabezado de correo electrónico y los anteriores puede hacerte pensar que se trata de un correo electrónico no deseado, pero lo que despierta tus sospechas aquí es el encabezado "Recibido:". Desde el encabezado "Recibido:", parece que el correo electrónico proviene de linuxaid.com.cn, y luego se transmite desde aquí a unwilling.intermedia.com, y luego se transmite nuevamente desde aquí a la dirección de destino final: mail.alpha. com.cn. Según el encabezado "Recibido:", parece que este es el caso, pero ¿por qué aparece unwilling.intermedia.com en el medio? Porque no tiene relación directa con el remitente y el receptor. Comprender por qué requiere cierta comprensión del protocolo SMTP. Esencialmente, el proceso de transmisión es el siguiente: linuxaid.com.cn se conecta al puerto SMTP de unwilling.intermedia.com. Dígale "Por favor envíe este correo electrónico a lili@sina.com. Probablemente sea la forma más directa de hacerlo: RCPT A:lili@sina.com. Hasta ahora, unwilling.intermedia.com se hace cargo del manejo del correo electrónico. Porque Se le indica que reenvíe el mensaje a otro dominio: zky.ac.cn, busca en el servidor de correo el nombre de dominio zky.ac.cn y luego reenvía el mensaje a zky.ac.cn. Este proceso generalmente se llama Correo. retransmisión. La retransmisión de correo se produce por razones históricas. El uso de la retransmisión de correo tiene sus beneficios. A finales de la década de 1980, muchas computadoras en la red no se utilizaban para transmitir correo. se entrega a través del enrutamiento de correo y el correo se transmite paso a paso a través de servidores de enrutamiento de correo. Esto es muy engorroso. El remitente a menudo necesita especificar manualmente por qué servidores de enrutamiento de correo debe pasar un correo de San Francisco a Nueva York. debe agregar lo siguiente al sobre: San Francisco, Sacramento, Reno, Salt Lake City, Rock Springs, Laramie, North Platte, Lincoln, Omaha, Des Moines, Cedar Rapids, Dubuque, Rockford, Chicago, Gary, Elkhart, Fort Wayne, Toledo, Cleveland, Erie, Elmira, Williamsport, Newark, Nueva York, Greenwich Village, #12 Desolation Row, Apt. #35, R.A. Desde la perspectiva de los trabajadores postales, este modelo es muy útil. La oficina de correos de Gary solo necesita saber cómo comunicarse con las oficinas de correos vecinas de Chicago y Elkhart, sin consumir recursos para calcular cómo enviar el correo. Nueva York (en este punto queda claro por qué este modelo era tan malo para los remitentes de correo electrónico y por qué se abandonó este método). Pero así es como se transporta el correo electrónico, por lo que el servidor tiene la capacidad de transmitirse de esta manera. en aquel entonces Hoy en día, los anunciantes sin escrúpulos suelen utilizar las retransmisiones para ocultar sus direcciones originales, dirigiendo las quejas al servidor que se utiliza para retransmitirlas en lugar de a donde se encuentran. La tecnología del ISP también puede transferir la carga del envío de cartas. al servidor de retransmisión a través de retransmisión, robando así los recursos de servicio del servidor de retransmisión. El punto más importante aquí es comprender que el contenido del correo electrónico se edita en el punto de envío linuxaid.com.cn. El servidor intermedio unwilling.intermedia.com solo participa en el trabajo de transmisión intermedia y no tiene ninguna fuerza vinculante para el remitente. Otro punto que se debe tener en cuenta en el ejemplo anterior es que "Message-Id:" no lo completa el servidor remitente (linuxaid.com.cn), sino la computadora de retransmisión (unwilling.intermedia. com) de. Esta es una característica típica del correo retransmitido y refleja el hecho de que el servidor emisor no proporcionó un ID de mensaje. La discusión anterior sobre SMTP mencionó la diferencia entre el encabezado de "mensaje" y el encabezado de "sobre". Esta distinción y sus consecuencias se analizan en detalle aquí. En pocas palabras, el encabezado del "sobre" en realidad lo genera el servidor de correo que recibe el mensaje, no el servidor del remitente. Según esta definición, el encabezado "Recibido:" es un encabezado de sobre y, en términos generales, "sobre desde" y "sobre hasta" se utilizan a menudo para indicarlos. El encabezado "sobre De" se obtiene del comando MAIL FROM. Si el servidor de correo del remitente emite el comando CORREO DE: ideal@linuxaid.com.cn, el servidor del destinatario generará un encabezado "sobre De": >De ideal@linuxaid.com.cn. Tenga en cuenta que aquí faltan dos puntos: "De" en lugar de "De:". Esto significa que el encabezado del sobre no tiene dos puntos después. Por supuesto, esta convención no es estándar, pero es una convención que vale la pena señalar en este momento. El correspondiente "sobre A" también proviene del comando RCPT TO. Si el servidor del remitente emite el comando RCPT TO: ideal@btamail.net.cn. Entonces "sobre para" es ideal@btamail.net.cn. En términos generales, en realidad no existe tal encabezado de correo, generalmente se incluye en el encabezado Recibido:. Una consecuencia importante de la existencia de información del sobre es que los mensajes De: y Para: pierden sentido. El encabezado De: lo proporciona el remitente y el encabezado Para: también lo proporciona el remitente. Por lo tanto, el correo sólo se reenvía y enruta según el "sobre Para", no según el mensaje Para:. Para comprender este concepto en la práctica, considere la siguiente transferencia de correo: HELO galangal.org 250 mail.alpha.com.cn Hola linuxaid .com.cn [202.99.11.120], encantado de conocerte MAIL DE: forged-address@galangal.org 250 forged-address@galangal.org.. . Remitente ok RCPT A: lili@sina.com 250 lili@sina.com... Destinatario Aceptar DATOS 354 Ingrese el correo, termine con "." en una línea sola De: another-forged-address@lemongrass.org Para: (Aquí se retiene su dirección para reenvío de correo electrónico secreto y acoso) 250 OAA08757 Mensaje aceptado para entrega El siguiente es el encabezado del correo electrónico correspondiente: >De forged-address@galangal.org Recibido: de galangal.org ([202.99.11.120]) por mail.alpha.com.cn (8.8.5) para De: another-forged-address@lemongrass.org Para: (su dirección se retiene aquí para permitir el reenvío encubierto de correo electrónico y el acoso) Tenga en cuenta que el contenido del "sobre De", el contenido del mensaje De: y el contenido del mensaje Para: son especificados por el remitente, por lo que no son confiables. Este ejemplo ilustra por qué Sobre De, Mensaje De: y Mensaje Para: no son confiables en correos electrónicos potencialmente falsificados porque son demasiado fáciles de falsificar. La importancia del encabezado "Recibido:" En el ejemplo anterior hemos visto que el encabezado "Recibido:" proporciona un historial detallado de transmisión de mensajes, por lo que incluso en otros Incluso si el encabezado del correo electrónico es falsificado, es posible sacar ciertas conclusiones sobre la fuente original y el proceso de transmisión de la carta basándose en el encabezado "Recibido:". Esta sección explorará en detalle algunas de las cuestiones relacionadas con encabezados inusualmente importantes, específicamente cómo vencer las técnicas de falsificación comunes. Por supuesto, la única protección importante y valiosa contra la falsificación en el encabezado "Recibido:" es la información registrada por el servidor receptor. Como se mencionó anteriormente, el remitente puede falsificar su identidad (al informar una identidad falsa en el comando HELO). Afortunadamente, los programas de servidores de correo modernos pueden detectar este mensaje de error y corregirlo. Si la dirección IP real del servidor linuxaid.com.cn es 202.99.11.120, envíe un correo electrónico a mail.alpha.com.cn, pero use el comando HELO galangal.org para falsificar su identidad. entonces el "Recibido:" correspondiente de esta transmisión puede verse así: Recibido: de galangal.org ([202.99.11.120]) por mail.alpha.com.cn (8.8.5). .. (Se ha omitido otra información que sigue a continuación para mayor claridad). Tenga en cuenta que, aunque zky.ac.cn no dice explícitamente que galangal.org no es la verdadera identidad del remitente, registra la dirección IP correcta del remitente. Si un destinatario piensa que galanga.org en el encabezado del mensaje es la identidad falsificada por el falsificador, puede verificar la dirección IP 202.99.11.120 para saber que el nombre de dominio correcto correspondiente es linuxaid.com.cn, no galanga.org. Esto significa que registrar la dirección IP del servidor de envío proporciona suficiente información para confirmar una posible falsificación. Muchos programas de correo electrónico modernos realmente automatizan el proceso de verificación del nombre de dominio correspondiente en función de la IP. (Este proceso de visualización se llama resolución DNS inversa). Si mail.alpha.com.cn utiliza este software, el encabezado "Recibido:" se convertirá en Recibido: de galangal.org (linuxaid.com.cn [202.99.11.120]) por correo. com.cn... La falsificación se puede ver claramente desde aquí. El encabezado de este mensaje indica claramente que la dirección IP de linuxaid.com.cn es 202.99.11.120, pero afirma que su identidad es galangal.org. Esta información es muy útil para verificar y rastrear cartas falsificadas. (Por lo tanto, los spammers a menudo evitan el uso de servidores de correo que registran las direcciones de los remitentes para el reenvío de spam. A veces pueden encontrar servidores que no registran a los remitentes, pero actualmente hay muy pocos servidores de este tipo en Internet) Un método cada vez más común La técnica utilizada por los falsificadores para falsificar correos electrónicos es agregar un encabezado falso "Recibido:" antes de enviar spam. Esto significa que el contenido del encabezado "Recibido:" de un correo electrónico hipotético enviado desde linuxaid.com.cn podría ser: Recibido: de galangal.org ([202.99.11.120]) por mail.alpha com.cn (8.8.5)... Recibido: de la nada por sitio ficticio (8.8.3/8.7.2)... Recibido: Sin información Aquí, ¡vete! Está claro que las dos últimas líneas son completamente inequívocas y fueron escritas por el remitente y adjuntadas al correo electrónico antes de enviarlo. Porque una vez que el correo electrónico sale de linuxaid.com.cn, el remitente pierde completamente el control del correo electrónico. Y el nuevo encabezado "Recibido:" siempre aparece al principio del mensaje, por lo que el encabezado falso "Recibido:" siempre aparece al final de la lista de encabezados "Recibido:". Esto significa que cualquiera que lea la lista de encabezados "Recibido:" de principio a fin, rastreando el historial de transmisión de correo, puede excluir de manera segura el contenido después del primer encabezado falsificado. Aunque el encabezado "Recibido:" parece real, en realidad es falso. Por supuesto, es posible que el remitente no necesariamente lo confunda con spam obvio. Un falsificador deliberado puede crear una lista de encabezados "Recibido:" aparentemente auténtica, como la siguiente: Recibido: de. galangal.org ([202.99.11.120]) por mail.alpha.com.cn (8.8.5)... Recibido: de limongrass.org por galangal.org (8.7 .3/8.5. 1)... Recibido: de graprao.com por Lemongrass.org (8.6.4)... El único lugar donde se filtra el problema de la falsificación es la dirección IP de galanga.org en el primer encabezado "Recibido:". Si el falsificador completa las direcciones IP reales de Lemongrass.org y grprao.com, dicha falsificación seguirá siendo muy difícil de detectar. Pero la discrepancia entre el nombre de dominio y la IP en el primer encabezado "Recibido:" aún reveló que el mensaje fue falsificado y que el correo electrónico fue inyectado en la red desde un servidor con la dirección 202.99.11.120. Sin embargo, la mayoría de los falsificadores de encabezados de correo electrónico generalmente no son tan astutos, y el encabezado adicional "Recibido:" suele ser obviamente basura falsa.