Descubre de dónde te envían un correo electrónico

por en Internet - 20 noviembre 2009
Descubre de dónde te envían un correo electrónico
Cómo saber de donde vienen esos correos no deseados

Cómo saber de donde vienen esos correos no deseados

Supongamos que queremos saber más datos de los mails que recibimos, por la razón que fuer, seguridad por ejemplo, muchas son las personas que reciben correo indeseado y no saben de donde provienen esos mensajes, pues eso y más es lo que les enseñaremos hoy. Si deseas saber el lugar desde el que se envió o el programa utilizado para componerlo, esta información no es directamente visible, sino que se halla en los encabezados (o cabeceras) de los mensajes, en una serie de campos que siguen la especificación RFC 5322. Extraerlos y analizarlos no es difícil, ahora te explicamos como hacerlo.

Extraer los encabezados

Todo correo electrónico tiene de dos partes, un cuerpo y los encabezados. Estos últimos, como el nombre indica, se hallan al principio del mensaje, pero la gran mayoría de sus campos son ignorados por los programas de correo electrónico, quienes se limitan a mostrar los más relevantes, como el autor o la fecha. Cada cliente tiene una forma ligeramente distinta de acceder a los encabezados.

Outlook Express y Outlook

Si quieres consultar los encabezados en Outlook Express, haz un clic con el botón derecho sobre un mensaje y elige Propiedades. Luego, pulsa en la pestaña Detalles.

headeroex

En Outlook, el proceso es aún más directo. En el menú contextual del mensaje, selecciona Opciones. Los encabezados aparecerán justo al final del cuadro de diálogo.

Mozilla Thunderbird

La forma más rápida de obtener los encabezados en Thunderbird consiste en seleccionar el mensaje y pulsar el atajo Control+U. La otra vía es hacer clic en la opción Formato original del mensaje del menú Ver. El correo se abrirá como texto puro en una ventana aparte.

headerthunderbird

Correo web

Hay una gran variedad de clientes de correo web, pero no todos permiten extraer el encabezado de un correo. En GMail, abre un mensaje y, en el botón de la derecha, escoge Mostrar original.

gmail1

En Hotmail el proceso es similar. Haz clic derecho sobre un mensaje y selecciona la última opción, Ver código fuente del mensaje. Se abrirá como texto sin formato.

hotmail

En otros programas de correo web siempre suele haber un enlace que muestre el mensaje entero o las cabeceras. En Horde, por ejemplo, debes pulsar sobre Mostrar todas las cabeceras, mientras que en SquirrelMail la opción es Mostrar original. En esta página tienes instrucciones para más clientes.

Disección de una cabecera

Ahora que tienes los encabezados es el momento de analizarlos. Veamos un ejemplo típico:

headerspam2

La parte inicial muestra una serie de campos acerca del buzón que recibió el correo, la fecha y hora del servidor y la dirección de éste. La primera señal de alarma se ve en el campo From, donde la dirección de correo asociada a Paypal no tiene nada que ver con la conocida página de pagos por Internet. Más abajo, en X-Mailer, vemos que el correo se remitió usando Outlook Express.

Lo más interesante empieza en Received: from, donde se ve la dirección IP desde la cual el correo salió disparado. Aparecen dos direcciones que podemos investigar de varias maneras. La primera de ellas consiste en hacer un WHOIS de la IP usando páginas como RIPE o ARIN. El resultado es un informe de texto con datos de identificación, como el proveedor de servicios que tiene asignada la IP:

headerspam21

Esta información puede ser muy útil. Nos dice a qué compañía pertenece la dirección IP y, más abajo, proporciona una dirección de correo electrónico para comunicar posibles abusos. Ten en cuenta que la entidad que aparece no es la responsable directa del envío del correo, y posiblemente ni siquiera sepan de qué les estás hablando si les pides información.

Otro recurso valioso es el servicio IP Locator de GeoBytes, una página que estima la posición geográfica de la dirección IP a partir de su base de datos. Introduce la dirección en el campo de texto y pulsa Submit. El resultado suele ser bastante preciso:

geobytes

¿Pueden hacerse más cosas con una dirección IP? Por supuesto. La primera de ellas es buscarla en Google. Si pertenece a un usuario que se conecta con IP fija, aparecerá en mensajes de foros, registros de servidores web o libros de visitas. Por otro lado, siempre puedes comprobar si esa IP aparece en las listas negras internacionales, como SURBL, XBL u otras.

Si quieres ahorrarte la faena de analizar por ti mismo los encabezados de un mensaje de correo, hay varios analizadores (o parsers) que procesan el texto que pegues en sus formularios en cuestión de segundos. Los más interesantes son MailParse, SpamLocator y E-Mail Header Analyzer.