Módulo 5
Investigación pasiva - Análisis de los encabezados de correo electrónico
Última actualización en: 25 Septiembre 2024
Editar esta página en GitHubEstudios de caso
Hay mucho más en los correos electrónicos de lo que parece. El subtema le enseñará cómo analizar los extensos metadatos que documentan el origen de un correo electrónico, los servidores por los que viajó, información sobre posibles verificaciones de spam y mucho más. Estos metadatos pueden formar una parte crucial de cualquier investigación en profundidad sobre correos electrónicos potencialmente maliciosos.
Utilice esta habilidad después o junto con el subtema Triage dentro de esta ruta de aprendizaje. Algunas de estas habilidades pueden ser necesarias como parte del proceso de clasificación para decidir si un mensaje es sospechoso.
Dado que los encabezados de correo electrónico pueden contener referencias a otros dominios e infraestructura, los profesionales primero deben estar familiarizados con el Subtema 4, que analiza la información de dominio e IP, antes de abordar este.
Objetivos
Después de completar esta subtarea, el profesional debe ser capaz de hacer lo siguiente:
● Extraer encabezados completos de un correo electrónico que han recibido o están analizando;
● Analizar los encabezados extraídos, prestando especial atención a
○ La identidad del servidor o servidores que enviaron el correo electrónico;
○ Cualquier información sobre los datos SPF o DKIM que contengan esos encabezados;
La posibilidad de que alguna de la información en el encabezado haya sido falsificada
Sección Principal
Cada correo electrónico tiene encabezados, que contienen metadatos cruciales sobre el remitente, el destinatario y el propio correo electrónico. En esta sección, veremos los encabezados de los correos electrónicos, cómo puede analizarlos y cómo se pueden falsificar los correos electrónicos. Esto requiere algunos conocimientos previos.
Conocimiento Fundamental
Lea los recursos y documentos a continuación para familiarizarse un poco con (o recapitular sus conocimientos sobre) los encabezados de correo electrónico, SPF y DKIM.
- Comprender qué son los encabezados de correo electrónico y cómo podemos verlos en múltiples sistemas
- Comprender los conceptos básicos de la falsificación de correo electrónico y el uso de SPF y DKIM para combatirla
- Obtenga información sobre la falsificación de correo electrónico/ aprenda a identificar los correos electrónicos falsificados
- Obtenga información sobre el Sender Policy Framework y cómo pretende evitar la falsificación de direcciones de remitentes.
- Utilice dig/doggo para buscar un registro SPF válido (puede hacerlo ejecutando el comando dig con el argumento txt), analice su contenido (consulte aquí una guía) y responda las siguientes preguntas.
- ¿Cuál es la versión SPF utilizada?
- ¿Qué dominios son remitentes de correo electrónico autorizados para el dominio?
- ¿Qué mecanismo (o política) se utilizó para todos los “otros” remitentes?
- ¿Hay otros mecanismos (o políticas) definidos en el registro?
- Use https://mxtoolbox.com/spf.aspx to conduct a lookup and test on an SPF protected domain. Puede buscar los registros de su propia organización, por ejemplo, verificando su dominio principal.
- Utilice dig/doggo para buscar un registro SPF válido (puede hacerlo ejecutando el comando dig con el argumento txt), analice su contenido (consulte aquí una guía) y responda las siguientes preguntas.
- Obtenga información sobre DomainKeys Identified Mail (DKIM) y el modo en que, como norma de autenticación, se utiliza para evitar la falsificación del correo electrónico.
- https://docs.sendgrid.com/ui/account-and-settings/dkim-records
- Use https://mxtoolbox.com/dkim.aspx to conduct a lookup on a DKIM authenticated domain. Puede buscar los registros de su propia organización, por ejemplo, verificando su dominio principal.
- (Avanzado) Familiarícese con las diversas técnicas y mecanismos que utilizan los filtros de spam para identificar correos electrónicos no deseados/falsificados.
- Consulte la lista de módulos disponibles (y selectores) compatibles con RSPAMD https://rspamd.com/doc/modules/
Analizando encabezados
El equipo GenCyber de Nebraska creó un curso rápido y relativamente completo sobre encabezados de correo electrónico: Se lo recomendamos a todos los que quieran aprender sobre el tema.
A medida que analice los encabezados, aprenderá bastante sobre los diferentes dominios involucrados en la configuración del correo electrónico. Una vez que tenga una lista de esos dominios, puede usar las mismas herramientas que usamos en la sección anterior (dig, whois, geoIP y otras) para obtener más información sobre ellos.
Los administradores de sistemas que usan dominios del lugar de trabajo como Google Workspace y Microsoh 365 con frecuencia tienen acceso a potentes herramientas de registro y búsqueda de registros: pueden usarlas para buscar en sus sistemas identificadores que se encontraron en encabezados de correo electrónico (como dominios sospechosos), lo que puede ayudarlos a averiguar quién, si alguien, ha sido atacado en su organización. Consulte la documentaciónGoogle’s y Microsoft’ssobre la búsqueda a través de los registros. Tenga en cuenta que esas funciones de búsqueda generalmente están restringidas a cuentas comerciales o empresariales.
Practique
Después de leer todos los materiales en el curso de análisis de encabezado de correo electrónico GenCyber de Nebraska, haga los ejercicios vinculados en el mismo. El sitio tiene un problema con los enlaces, ya que los ejercicios a menudo no están disponibles directamente en él, pero también se pueden descargar aquí
Comprobación de Habilidades
Encuentre un correo electrónico en su bandeja de entrada o en la carpeta de correo no deseado. Alternativamente, pida a un compañero o mentor que le envíe los encabezados de un correo electrónico que haya recibido recientemente. Analice los encabezados del correo electrónico utilizando las mismas técnicas que se describieron en el ejercicio de práctica, incluso cargándolos en la herramienta Google Admin Toolbox Message Header. Luego, responda las preguntas 1, 2, 3 y 5 descritas en la sección de investigación del curso de análisis de encabezado de correo electrónico de Nebraska GenCyber, esta vez utilizando los encabezados del correo electrónico que encontró en lugar del correo electrónico adjunto al curso.
Recursos de Aprendizaje
¿Qué son los encabezados de correo electrónico?
GratisUna buena introducción a los encabezados de correo electrónico. Se destacan tres agrupaciones importantes de encabezados de correo electrónico. Incluye una lista de guías paso a paso para diferentes MUA.
Idiomas: Inglés
Visitar SitioVisualización de los encabezados de correo electrónico completos
GratisCómo ver los encabezados de correo electrónico en múltiples sistemas de correo electrónico (Gmail, Outlook, Apple Mail, Thunderbird, etc.)
Idiomas: Múltiple
Visitar SitioComprobar los encabezados SPF utilizando la herramienta dig
GratisEsta pieza ofrece una guía rápida sobre cómo verificar los encabezados SPF utilizando dig, una herramienta instalada en la mayoría de los sistemas Unix-like.
Idiomas: Inglés
Visitar SitioCómo comprobar y leer el registro Sender Policy Framework de un dominio
GratisEste artículo muestra cómo comprobar los encabezados SPF utilizando nslookup, una herramienta alternativa a dig, y describe cómo interpretar los resultados.
Idiomas: Inglés
Visitar SitioCurso del equipo GenCyber de Nebraska sobre encabezados de correo electrónico
GratisUn curso completo sobre cómo analizar los encabezados de correo electrónico al investigar posibles casos de phishing
Idiomas: Inglés
Visitar SitioLos ejemplos de ejercicios también se reflejan aquí: https://github.com/MLHale/nebraska-gencyber-modules/tree/master/phishing/email-headers
GratisComprobación del correo electrónico encabezados en Proton Mail
Idiomas: Inglés
Visitar SitioVer correo electrónico encabeçados en Zoho
GratisVer correo electrónico encabeçados en Zoho
Idiomas: Inglés
Visitar SitioHerramienta para análisis de los encabezados de correo electrónico: MXToolbos
GratisEnlazamos con un par de herramientas que pueden extraer y diseccionar encabezados de correo electrónico, cruciales para cualquier análisis de correos electrónicos potencialmente maliciosos.
Idiomas: Inglés
Visitar SitioHerramienta para análisis de los encabezados de correo electrónico: Keraattin
GratisEnlazamos con un par de herramientas que pueden extraer y diseccionar encabezados de correo electrónico, cruciales para cualquier análisis de correos electrónicos potencialmente maliciosos.
Idiomas: Inglés
Visitar SitioHerramienta para análisis de los encabezados de correo electrónico: Headmail
GratisEnlazamos con un par de herramientas que pueden extraer y diseccionar encabezados de correo electrónico, cruciales para cualquier análisis de correos electrónicos potencialmente maliciosos.
Idiomas: Inglés
Visitar SitioHerramienta para análisis de los encabezados de correo electrónico: Email Header Analyzer
GratisEnlazamos con un par de herramientas que pueden extraer y diseccionar encabezados de correo electrónico, cruciales para cualquier análisis de correos electrónicos potencialmente maliciosos.
Idiomas: Inglés
Visitar SitioIntroducción a la suplantación de correo electrónico: Wikipedia
GratisIntroducción a la suplantación de identidad por correo electrónico
Idiomas: Múltiple
Visitar SitioIntroducción a la suplantación de correo electrónico
GratisIntroducción a la suplantación de identidad por correo electrónico: Sendgrid Docs
Idiomas: Múltiple
Visitar SitioIntroducción a la suplantación de correo electrónico: Fortinet
GratisIntroducción a la suplantación de identidad por correo electrónico
Idiomas: Múltiple
Visitar SitioEvaluación de los encabezados 'Recibidos'
GratisCómo utilizar los encabezados del correo electrónico para encontrar el servidor que lo envió
Idiomas: Inglés
Visitar SitioAnálisis de encabezados 'Recibidos' potencialmente falsificados, recurso 1
GratisCómo identificar encabezados ‘recibidos’ falsos
Idiomas: Inglés
Visitar SitioAnálisis de encabezados 'Recibidos' potencialmente falsificados, recurso 2
GratisCómo identificar encabezados ‘recibidos’ falsos
Idiomas: Inglés
Visitar SitioEncontrar mensajes con Email Log Search
La documentación es gratuita, pero las herramientas sólo están disponibles para usuarios empresarialesDescriba cómo los administradores de cuentas comerciales y empresariales de Google pueden supervisar los registros de mensajes
Idiomas: Inglés
Visitar SitioSupervisión, elaboración de informes y rastreo de mensajes en exchange Online
Documentación gratuita, herramientas sólo disponibles para usuarios de empresaDescribe cómo los administradores de cuentas empresariales de Microsoft pueden supervisar los registros de mensajes.
Idiomas: Inglés
Visitar Sitio¡Felicidades por terminar Módulo 5!
Marque la casilla para confirmar su finalización y continúe al siguiente módulo.
Marca el módulo actual como completado y guarda el progreso para el usuario.
🎉
¡Felicidades!
Has completado todos los módulos en este camino de aprendizaje.