En esta entrada de continuación a nuestro tema, veremos una segunda parte realmente importante en cuanto al proceso correcto que corresponde al análisis de correos de phishing, por lo tanto es necesario comprender esta parte, al igual que practicar para ir sentando los conocimientos adquiridos.
¿Qué es un Header de correo?
Un header (encabezado) es información que contiene el correo en la cual se detalla la ruta de origen, ademas de esto contiene varios campos más que nos ayudan a verificar si el correo es autentico, analizar posibles amenazas y entender el trayectos del correo a través de los servidores.
Los headers suelen estar ocultos a la vista principal de correo, ya va a depender del cliente de correo como los maneje, así mismo podemos acceder a ellos para investigar posibles ataques de phishing.
Los encabezados son útiles en un análisis de phishing por que revelan información sobre la dirección IP de origen, los servidores SMTP por los que ha pasado, los protocolos utilizados, como: SPF, DKIM y DMARK.
Campos Clave en el Header de un Correo
Estos son algunos campos clave que contiene el encabezado de un correo, existen otros más pero estos son algunos de los más importantes.
From : indica la dirección de correo del remitente, sin embargo este campo puede ser falsificado en un ataque de phishing.
To: contiene detalles del destinatario del correo electrónico, como nombre, dirección de correo. como CC Carbon copy y BCC Blind Carbon Copy
Date : Esta es la marca de tiempo que muestra cuando se envio el correo electrónico, En Gmail suele seguir el formato ddmmaaaa hh:mm:ss
Return Path: Este campo de encabezado de correo electrónico también se conoce como Responder a. Cuando responde a un correo electrónico, la respuesta se envía a la dirección especificada en el campo Ruta de retorno.
Received : la sección received enumera cada servidor de correo electrónico por el que paso un correo antes de llegar a la bandeja de entrada del destinatario. aparece en orden cronológico inverso: el servidor de correo en la parte superior es el ultimo servidor por el que pasó el mensaje de correo y el servidor de correo en la parte inferior es donde se originó el correo electrónico.
¿Que hace el encabezado del correo electrónico?
El encabezado nos permite identificar tanto al remitente como al destinatario, esto a partir de los campos From y To del header y así poder saber quien envia y quien recibe un correo electrónico.
¡Cabe aclarar que el siguiente ejemplo de encabezado es para fines educativos!
En la imagen anterior podemos ver desde donde se envío el correo nmap.org y para quien va dirigido soporte@rojosecurity.com <- (este correo es fictisio)
¡El header le permite rastrear la ruta desde donde proviene el correo!
Es importante seguir la ruta de un correo electrónico para verificar si procede de la dirección correcta, por ejemplo en la imagen anterior vemos que viene de una fuente llamada nmap.org pero no se sabe si proviene realmente del dominio nmap.org o de un servidor falso que imita el mismo nombre.
¿Como acceder al encabezado de su correo electrónico?
Para cada cliente de correo es posible que sea diferente para poder obtener el encabezado del correo, en esta ocasión vamos a poder explorar 2 clientes, como es Gmail y Thunderbird
Gmail
- Entrar a nuestro correo de Gmail y escoger un correo aleatorio para examinar el encabezado del mismo.
2. Una vez abierto el correo seleccionar los 3 puntos como dice en la imagen y buscar la opción Mostrar original
3. El encabezado se mostrará como en la parte de abajo de la imagen con más detalle:
Asi es como se obtiene el encabezado de un correo en el cliente de correo de gmail.
Thunderbird
- Abrimos thunderbird y escogemos el correo del encabezado que vamos a examinar
2. Una vez abierto el correo, nos dirigimos a la opción «Más» dentro de ese menú desplegable existe una opción llamada «Ver código fuente» damos clic sobre ella.
3. Una vez entrando a la opción código fuente, thunderbird nos mostrará el header del correo.
De acuerdo a lo visto en esta entrada pudimos ver un poco de lo que es y para que funciona un header (encabazado de correo), ahora si ya tenemos una base para poder realizar un análisis más a detalle en la siguiente entrada.
Rojo Security 