Cabeceras – Seguridad en el correo electrónico (Cuarta Parte)

Lectura Tiempo de lectura: 10 minutos.
Eduardo Taboada
23 de mayo de 2023

Ya hemos visto en artículos anteriores las medidas de seguridad pasivas que ofrece Tecnocrática para el correo electrónico. Pero muchos operadores y aplicaciones de correo no ofrecen un conjunto de medidas tan amplio como estas, por eso hay que usar también medidas de seguridad activas por parte del usuario como la revisión de cabeceras ante dudas sobre la legitimidad de un correo electrónico.

Las cabeceras del correo electrónico nos proporcionan información muy valiosa de cara a comprobar la legitimidad de un correo en el caso de que nuestro proveedor no disponga de las herramientas de validación de correo que ofrece Tecnocrática.

En primer lugar, ofreceremos una serie de información sobre el contenido de las cabeceras del correo, para luego presentar diversos ejemplo.

¿Qué información ofrecen las cabeceras?

Las cabeceras del correo ofrecen determinada información relevante. Por ejemplo el remitente del correo, el servidor que lo envía, si ha pasado los filtros de SFP, DKIM y DMARC, y el resultado del filtro antispam de nuestro servicio de filtrado de correo (si el proveedor de correo dispone de él):

Ejemplo de cabeceras de correo electrónico
Ejemplo de cabeceras

El formato y la información de las cabeceras, si alguien quiere investigar más sobre este tema, está publicado bajo un RFC (la RFC 2076).

Diseccionando las cabeceras del correo

Vamos a ver cada uno de estos apartados, para tratar de mostraros qué información viene en las cabeceras.

Cabeceras de correo básicas

En primer lugar suele venir el return-path o el que envía el correo. Si por ejemplo, recibimos un correo de juan@suempresa.com, pero el que lo envía es dimitri@otrocorreo.ru, podemos tener muy claro que este correo no es bueno, aunque en el visor de correo aparezca como juan@suempresa.com. En este caso las cabeceras nos ayudan a verificar que quien envía el correo es quien dice ser.

Otro campo a tener en cuenta es el servidor que envía el correo, aunque este extremo es un poco más complicado. Pero hay muchos servidores que no autentican el correo, o permiten enviar en nombre de terceros sin validar nada, por lo que podemos recibir un correo que ponga que viene de juan@suempresa.com, pero de un servidor de correo que no corresponde con su organización (suempresa.com) e incluso suelen venir de lugares «exóticos» (China, Corea, Brasil, Turquía…) o de otros más conocidos, pero que pueden haberse visto comprometidos (incluso de España, si a alguien la han robado las credenciales del correo).

El tercer punto, y aquí empieza la parte más interesante del asunto, son las verificaciones del correo.

Verificaciones del correo electrónico
Cabeceras - Seguridad en el correo electrónico (Cuarta Parte) 8

En este caso como vemos en la imagen, vemos que este correo ha pasado la verificación SPF (es decir viene de una dirección IP autorizada, como ya vimos en el capítulo sobre SPF).

También vemos que ha pasado la verificación DKIM (el mensaje viene con una cabecera con un certificado válido).

Lo que no tiene es DMARC. Esto es un problema, y como hemos visto en otros artículos como este que habla sobre la necesidad de usar DMARC, es bastante común que las empresas de Hosting, e incluso algunos de los «grandes» que gestionan correo, no lo tengan. No tengan documentado como implementarlo.

El segundo problema, y eso es lo más normal, es que estas empresas no dejen a disposición del usuario de forma sencilla y gratuita, las herramientas para analizar los informes que nos ofrece DMARC, y que nos ayudan a saber si alguien está usando otras IP para simular correos provenientes de nuestra empresa.

Como podéis imaginar esto no es trivial, ya que si de repente recibimos un montón de informes de rechazo de correo que vienen de IP o nombres de servidor que no son nuestros ni conocemos, es un síntoma claro de que alguien está intentando suplantar nuestro correos.

Cabeceras de correo del sistema antispam

En muchos casos, el servicio de correo (como ocurre en Tecnocrática) dispone de un filtro automatizado que previene el spam y los correos maliciosos.

La información de estos filtros se visualiza al final, y consiste en una puntuación que se pone en función del ‘sistema bonus/malus’, como los seguros de coche.

Por ejemplo, si un correo pasa el SPF se le quitan puntos (¿pongamos 2 puntos?). Es decir la probabilidad de que sea malicioso es de -2. Si además tiene la firma DKIM, se le quitan otros 2, y así sucesivamente.

Si por el contrario el SPF está mal o el DKIM es incorrecto, se le añaden puntos.

De esa forma, si la puntuación del correo es de, por ejemplo 6 puntos, es casi seguro spam o malicioso, si es de 2 puede ser o no, y si es negativa parece un correo legítimo.

Todas estas comprobaciones se hacen, como podéis suponer, en milésimas de segundo para evitar retrasos en la entrega del correo.

Una vez realizadas, los resultados se añaden a las cabeceras para que el cliente de correo que visualiza nuestros mensajes, lo pueda enviar a la carpeta de spam o correo basura.

X-Spam-Server: rsw3
X-Spam-Result: default: False [-7.97 / 25.00];
    BAYES_HAM(-2.95)[99.77%];
    PHISHING(2.00)[empresa1.net->empresa2.com];
    R_DKIM_ALLOW(-1.48)[empresa1.net:s=selector1];
    IP_REPUTATION_HAM(-1.05)[asn: 12345(-0.28), country: US(-0.01), ip: 2.37.4.5(-0.76)];
    ARC_ALLOW(-1.00)[xxxxxxxx.com:s=arcselector1234:i=1];
    NEURAL_HAM(-0.99)[-0.990];
    GENERIC_REPUTATION(-0.77)[-0.76941281489744];
    DKIM_REPUTATION(-0.76)[-0.76080138900511];
    SPF_REPUTATION_HAM(-0.76)[-0.75956844852838];
    R_SPF_ALLOW(-0.20)[+ip4:40.107.0.0/16];
    MIME_BASE64_TEXT(0.10)[];
    MIME_GOOD(-0.10)[multipart/related,multipart/alternative,text/plain];
    MX_GOOD(-0.01)[];
    DMARC_NA(0.00)[empresa1.net];
    RCVD_IN_DNSWL_NONE(0.00)[40.107.22.83:from];
    TO_MATCH_ENVRCPT_SOME(0.00)[];
    SOPHOS_VIRUS_FAIL(0.00)[failed to scan and retransmits exceed];
    RCPT_COUNT_THREE(0.00)[3];
    ASN(0.00)[asn:12345, ipnet:2.37.4.5/24, country:US];
    RCVD_TLS_LAST(0.00)[];
    TO_DN_ALL(0.00)[];
    RCVD_COUNT_THREE(0.00)[3];
    FROM_HAS_DN(0.00)[];
    DKIM_TRACE(0.00)[empresa1.net:+];
    MIME_TRACE(0.00)[0:+,1:+,2:+,3:~,4:~];
    FROM_EQ_ENVFROM(0.00)[];
    RWL_MAILSPIKE_POSSIBLE(0.00)[2.37.4.5:from]
X-Rspamd-Action: no action

En el resultado anterior del filtro de spam, vemos varias cosas. La principal es que la empresa usa alias de dominio del correo, por eso la puntuación de PHISHING es 2.

Por lo demás todo está correcto, y por lo tanto le ha asignado una puntuación de -7.97.

¿Cómo visualizar las cabeceras?

Dependiendo de cada lector de correo electrónico que se use, la forma de visualizar las cabeceras es parecida. A continuación mostramos como visualizar las cabeceras desde, por ejemplo, el webmail de Tecnocrática (roundcube). Para ello seleccionamos un correo, y en la información superior, además del origen del correo (remitente), debajo encontramos la opción detalles y ‘cabeceras de email’.

cabecera de un email del servidor de correo electrónico de Tecnocrática
Cabeceras - Seguridad en el correo electrónico (Cuarta Parte) 9

En ‘Thunderbird‘, al abrir un mensaje, en el menú vista, hay una opción de: cabeceras ->Ver. Ahí seleccionamos todas, y ya podremos visualizarlas.

cabecera de correo electrónico
Cabeceras - Seguridad en el correo electrónico (Cuarta Parte) 10

En Outlook y en otros sistemas de correo, debemos de seleccionar el correo, abrirlo, y en: Archivo -> propiedades aparece la opción ‘cabeceras de internet’.

opciones del menú de Outlook
Cabeceras - Seguridad en el correo electrónico (Cuarta Parte) 11
opciones del menú de Outlook
Cabeceras - Seguridad en el correo electrónico (Cuarta Parte) 12

En Apple mail, si abrimos el correo en una ventana en el menú en Visualización -> Mensaje hay una opción de ‘Todas las cabeceras’.

Apple mail
Cabeceras - Seguridad en el correo electrónico (Cuarta Parte) 13

Enlaces del correo

También tenemos que tener cuidado con los enlaces que aparecen en el cuerpo del correo, en muchos casos, el enlace de ese correo de la agencia tributaria o de de la empresa de transportes, te redirige a una web que nada tiene que ver.

Para esto lo ideal es que pases con el ratón por encima del enlace y comprueba si es un enlace que parece válido.

En el caso de los enlaces acortados, es conveniente que localices alguna web de las que permite mostrar la url que se esconde detrás del enlace acortado.

En resumen, si nos acostumbramos a ver las cabeceras y los enlaces del correo, podremos librarnos de muchas sorpresas desagradables.

Posts relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *