Módulo 5
Investigación pasiva - Análisis de los encabezados de correo electrónico
Última actualización en: 16 Enero 2025
Editar esta página en GitHubEstudio de caso
Hay mucho más en los correos electrónicos de lo que parece. En este módulo aprenderá a analizar los metadatos de un correo electrónico. Estos documentan su origen, los servidores por los que viajó, la información sobre posibles verificaciones de spam y mucho más. Dichos metadatos pueden formar una parte crucial de cualquier investigación a fondo sobre correos electrónicos potencialmente maliciosos.
Ponga en práctica esta habilidad después o junto con el módulo sobre Clasificación/Triaje en esta ruta de aprendizaje. Algunas de estas habilidades pueden resultarle necesarias como parte del proceso de clasificación para decidir si un mensaje es sospechoso o no.
Dado que los encabezados de correos electrónicos pueden contener referencias a otros dominios e infraestructura, los profesionales deben familiarizarse primero con el módulo 4 que analiza la información de dominio e IP, antes de abordar el contenido de este módulo.
Objetivos
Después de completar este módulo, el profesional debe ser capaz de:
Extraer encabezados completos de un correo electrónico que han recibido o están analizando;
Analizar los encabezados extraídos, prestando especial atención a
La identidad del servidor o servidores que enviaron el correo electrónico;
Cualquier información sobre los datos SPF o DKIM contenidos en esos encabezados;
La posibilidad de que alguna de la información en el encabezado haya sido falsificada
Cada correo electrónico tiene encabezados que contienen metadatos cruciales sobre el remitente, el destinatario y el propio correo electrónico. En este módulo, veremos los encabezados de los correos electrónicos, cómo pueden analizarse y cómo se pueden falsificar.. Esto requiere algunos conocimientos previos.
Conocimiento Básico
Lea los recursos y documentos a continuación para familiarizarse con la información (o revisar sus conocimientos previos) sobre los encabezados de los correos electrónicos, SPF y DKIM.
- Entender qué son los encabezados de correo electrónico y cómo podemos verlos en múltiples sistemas
- Entender los conceptos básicos de la falsificación de correo electrónicos y el uso de SPF y DKIM para combatirla
- Obtener información sobre la suplantación de correo electrónico/ aprender a identificar los correos electrónicos falsificados
- Obtener información sobre el Sender Policy Framework y cómo pretende evitar la falsificación de direcciones de remitentes.
- Usar dig/doggo para buscar un registro SPF válido (puede hacerlo ejecutando el comando dig con el argumento txt), analizar su contenido (consulte aquí una guía) y responda las siguientes preguntas.
- ¿Cuál es la versión SPF utilizada?
- ¿Qué dominios son remitentes de correo electrónico autorizados para el dominio?
- ¿Qué mecanismo (o política) se utilizó para todos los “otros” remitentes?
- ¿Hay otros mecanismos (o políticas) definidos en el registro?
- Use https://mxtoolbox.com/spf.aspx to conduct a lookup and test on an SPF protected domain. Puede buscar los registros de su propia organización, por ejemplo, verificando su dominio principal.
- Usar dig/doggo para buscar un registro SPF válido (puede hacerlo ejecutando el comando dig con el argumento txt), analizar su contenido (consulte aquí una guía) y responda las siguientes preguntas.
- Obtenga información sobre DomainKeys Identified Mail (DKIM) y el modo en que, como norma de autenticación, se utiliza para evitar la falsificación del correo electrónico.
- https://docs.sendgrid.com/ui/account-and-settings/dkim-records
- Use https://mxtoolbox.com/dkim.aspx para examinar un dominio verificado DKIM. Puede buscar los registros de su propia organización, por ejemplo, verificando su dominio principal.
- (Avanzado) Familiarícese con las diversas técnicas y mecanismos que utilizan los filtros de spam para identificar correos electrónicos no deseados/falsificados.
- Consulte la lista de módulos disponibles (y selectores) compatibles con RSPAMD https://rspamd.com/doc/modules/
Sección Principal
Analizando encabezados
El equipo GenCyber de Nebraska creó un curso rápido y relativamente completo sobre encabezados de correo electrónico: Se lo recomendamos a todos los que quieran aprender sobre el tema.
A medida que analice los encabezados, aprenderá bastante sobre los diferentes dominios involucrados en la configuración del correo electrónico. Una vez que tenga una lista de esos dominios, puede usar las mismas herramientas que usamos en la sección anterior (dig, whois, geoIP y otras) para obtener más información sobre ellos.
Los administradores de sistemas que usan dominios del lugares de trabajo como Google Workspace y Microsoft 365, con frecuencia tienen acceso a potentes herramientas de registro y búsqueda de registros; pueden usarlas para buscar en sus sistemas identificadores que encontraron en encabezados de correo electrónico (como dominios sospechosos). Esto puede ayudarles a averiguar quién, si hay alguien, ha sido atacado en su organización. Consulte la documentación Google’s y Microsoft’ssobre la búsqueda a través de los registros. Tenga en cuenta que esas funciones de búsqueda generalmente están restringidas a cuentas comerciales o de empresas.
Practique
Después de leer todos los materiales en el curso de análisis de encabezado de correo electrónico GenCyber de Nebraska, haga los ejercicios vinculados en el mismo. El sitio tiene un problema con los enlaces, ya que los ejercicios a menudo no están disponibles directamente en él, pero también se pueden descargar aquí
Comprobación de habilidades
Encuentre un correo electrónico en su bandeja de entrada o en la carpeta de correo no deseado. Alternativamente, pida a un compañero/a o mentor/a que le envíe los encabezados de un correo electrónico que haya recibido recientemente. Analice los encabezados del correo electrónico usando las mismas técnicas que se describieron en el ejercicio de práctica, incluso cargándolos en la herramienta Google Admin Toolbox Message Header. Luego, responda las preguntas 1, 2, 3 y 5 descritas en la sección de investigación del curso de análisis de encabezado de correo electrónico de Nebraska GenCyber, pero esta vez utilizando los encabezados del correo electrónico que encontró en lugar del correo electrónico adjunto al curso.
Recursos de Aprendizaje
¿Qué son los encabezados de correo electrónico?
GratisUna buena introducción a los encabezados de correo electrónico. Se destacan tres agrupaciones importantes de encabezados de correo electrónico. Incluye una lista de guías paso a paso para diferentes MUA.
Idiomas: Inglés
Visitar el sitioVisualización de los encabezados de correo electrónico completos
GratisCómo ver los encabezados de correo electrónico en múltiples sistemas de correo electrónico (Gmail, Outlook, Apple Mail, Thunderbird, etc.)
Idiomas: Múltiple
Visitar el sitioComprobar los encabezados SPF utilizando la herramienta dig
GratisEsta recurso ofrece una guía rápida sobre cómo verificar los encabezados SPF utilizando dig, una herramienta instalada en la mayoría de los sistemas Unix-like.
Idiomas: Inglés
Visitar el sitioCómo comprobar y leer el registro Sender Policy Framework de un dominio
GratisEste artículo muestra cómo comprobar los encabezados SPF utilizando nslookup, una herramienta alternativa a dig, y describe cómo interpretar los resultados.
Idiomas: Inglés
Visitar el sitioCurso del equipo GenCyber de Nebraska sobre encabezados de correo electrónico
GratisUn curso completo sobre cómo analizar los encabezados de correo electrónico al investigar posibles casos de phishing
Idiomas: Inglés
Visitar el sitioLos ejemplos de ejercicios para el curso anterior.:
GratisEjercicios alojados en GitHub
Idiomas: Inglés
Visitar el sitioComprobación de encabezados de l correos electrónicos en Proton Mail
GratisUna guía para revisar los encabezados de correo electrónico en Proton Mail.
Idiomas: Inglés
Visitar el sitioVer correo electrónico encabeçados en Zoho
GratisVer correo electrónico encabeçados en Zoho
Idiomas: Inglés
Visitar el sitioHerramienta para análisis de los encabezados de correo electrónico: MXToolbos
GratisEnlazamos con un par de herramientas que pueden extraer y diseccionar encabezados de correo electrónico, cruciales para cualquier análisis de correos electrónicos potencialmente maliciosos.
Idiomas: Inglés
Visitar el sitioHerramienta para análisis de los encabezados de correo electrónico: Keraattin
GratisEnlazamos con un par de herramientas que pueden extraer y diseccionar encabezados de correo electrónico, cruciales para cualquier análisis de correos electrónicos potencialmente maliciosos.
Idiomas: Inglés
Visitar el sitioHerramienta para análisis de los encabezados de correo electrónico: Headmail
GratisEnlazamos con un par de herramientas que pueden extraer y diseccionar encabezados de correo electrónico, cruciales para cualquier análisis de correos electrónicos potencialmente maliciosos.
Idiomas: Inglés
Visitar el sitioHerramienta para análisis de los encabezados de correo electrónico: Email Header Analyzer
GratisEnlazamos con un par de herramientas que pueden extraer y diseccionar encabezados de correo electrónico, cruciales para cualquier análisis de correos electrónicos potencialmente maliciosos.
Idiomas: Inglés
Visitar el sitioIntroducción a la suplantación de correo electrónico: Wikipedia
GratisIntroducción a la suplantación de identidad por correo electrónico
Idiomas: Múltiple
Visitar el sitioIntroducción a la suplantación de correo electrónico
GratisIntroducción a la suplantación de identidad por correo electrónico: Sendgrid Docs
Idiomas: Múltiple
Visitar el sitioIntroducción a la suplantación de correo electrónico: Fortinet
GratisIntroducción a la suplantación de identidad por correo electrónico
Idiomas: Múltiple
Visitar el sitioEvaluación de los encabezados 'Recibidos'
GratisCómo utilizar los encabezados del correo electrónico para encontrar el servidor que lo envió
Idiomas: Inglés
Visitar el sitioAnálisis de encabezados 'Recibidos' potencialmente falsificados, recurso 1
GratisCómo identificar encabezados ‘recibidos’ falsos
Idiomas: Inglés
Visitar el sitioAnálisis de encabezados 'Recibidos' potencialmente falsificados, recurso 2
GratisCómo identificar encabezados ‘recibidos’ falsos
Idiomas: Inglés
Visitar el sitioEncontrar mensajes con Email Log Search
La documentación es gratuita, pero las herramientas sólo están disponibles para usuarios empresarialesDescriba cómo los administradores de cuentas comerciales y empresariales de Google pueden supervisar los registros de mensajes
Idiomas: Inglés
Visitar el sitioSupervisión, elaboración de informes y rastreo de mensajes en exchange Online
Documentación gratuita, herramientas sólo disponibles para usuarios de empresaDescribe cómo los administradores de cuentas empresariales de Microsoft pueden supervisar los registros de mensajes.
Idiomas: Inglés
Visitar el sitioFelicitaciones por haber terminado Módulo 5!
Marque la casilla para confirmar que ha finalizado y continúe con el siguiente módulo.
Marque el módulo actual como completado y guarde el progreso para el usuario.
🎉
¡Felicitaciones!
Ha completado todos los módulos de esta ruta de aprendizaje.