En la actualidad, el correo electrónico se ha convertido en una herramienta esencial para la comunicación tanto personal como empresarial. Sin embargo, ¿alguna vez se han puesto a leer detenidamente las cabeceras de los correos electrónicos que reciben? Las cabeceras contienen una gran cantidad de información, por ello, en este artículo hablaremos sobre la importancia de revisar las cabeceras de los correos electrónicos y cómo esta información puede ser utilizada en asuntos legales. A continuación, veremos lo que significa cada uno de los siguientes campos al desplegar la cabecera de un correo electrónico:
.
Return-Path: Indica la dirección de correo electrónico a la que se deben enviar los mensajes de error de entrega en caso de que el correo no se pueda entregar por alguna razón. Es decir, es la dirección a la que se devolverá el correo en caso de que no se pueda entregar al destinatario final. También puede ser utilizado por los filtros de spam para identificar la autenticidad del correo electrónico y determinar si debe ser entregado o no a la bandeja de entrada del destinatario.
Delivered-To: Indica la dirección de correo electrónico a la que se entregó el mensaje. Se utiliza principalmente en los servicios de correo electrónico que utilizan alias de correo electrónico o redirigir el correo a una dirección predeterminada. El destinatario final de este campo puede ser una cuenta de correo electrónico real o una cuenta de reenvío que redirecciona el mensaje a otra dirección de correo electrónico.
Received: Indica la secuencia de servidores de correo que han sido utilizados para entregar el mensaje al destinatario. Cada servidor que procesa el mensaje agrega su propia información al campo «Received», identificándose a sí mismo y a la ubicación del servidor. El orden de los servidores en la secuencia muestra la ruta del mensaje a través de Internet. Este campo se lee de abajo hacia arriba, es decir, el servidor que aparece en la parte inferior es el primer servidor en haber recibido el mensaje y el servidor que aparece en la parte superior es el servidor más reciente en haber procesado el mensaje antes de entregarlo al destinatario final. Este campo es útil para hacer un seguimiento de los problemas de entrega de correos electrónicos o para verificar la autenticidad de los correos electrónicos ya que muestra si se incluyeron cambios en la cabecera del mensaje y por qué servidor y hacer análisis forense en caso de un ataque de correo no deseado o de phishing.
Envelope-to: Indica la dirección de correo electrónico a la que el servidor SMTP debe entregar el mensaje. Este campo se utiliza principalmente en el procesamiento de correos electrónicos en el nivel del servidor, en lugar de en el nivel del cliente. El campo «Enclosed-to» se agrega por el servidor SMTP junto con otros campos de la cabecera del mensaje, como «From», «To» y «Subject», después de la recepción del mensaje por parte del servidor de correo electrónico y antes de la entrega a la bandeja de entrada del destinatario. Es esencialmente una dirección de correo electrónico interna que ayuda al servidor a identificar a qué dirección de correo electrónico debe entregarse el mensaje.
Delivery-date: Indica la fecha y la hora en que el mensaje fue entregado por última vez por el servidor de correo electrónico. Este campo se genera automáticamente por el servidor de correo electrónico que recibió el mensaje y agrega información sobre la hora y la fecha en que se entregó el mensaje al buzón de correo del destinatario. En algunos casos, el campo «Delivery-date» puede estar ausente si el servidor de correo electrónico no proporciona esta información o si el mensaje no se ha entregado todavía.
DKIM-Signature: Este campo en la cabecera de un correo electrónico es una firma digital creada mediante el método de autenticación de correo electrónico DKIM (DomainKeys Identified Mail). DKIM es un estándar de autenticación de correo electrónico que ayuda a reducir el correo no deseado y el phishing, al verificar la autenticidad del remitente y la integridad del mensaje. El campo «DKIM-Signature» contiene una cadena de caracteres que incluye la clave pública del dominio del remitente utilizada para crear la firma digital, junto con otros parámetros de identificación del mensaje (como la dirección IP del servidor de correo que envió el mensaje y el nombre del dominio que se está autenticando) que permiten al servidor receptor verificar que el mensaje es auténtico y no ha sido alterado en tránsito. Los servidores de correo que soportan DKIM verifican automáticamente la firma digital en el campo «DKIM-Signature» antes de entregar el mensaje al destinatario para determinar si es auténtico y seguro. Si el servidor receptor no puede verificar la firma, es más probable que el mensaje sea marcado como spam o rechazado por el destinatario.
X-Google-DKIM-Signature: Este campo en la cabecera de un correo electrónico es una firma digital creada mediante el método de autenticación DKIM (DomainKeys Identified Mail) de Google. Es similar al campo «DKIM-Signature», pero específico para los servidores de correo de Google. El campo «X-Google-DKIM-Signature» contiene una cadena de caracteres que incluye la clave pública de Google utilizada para crear la firma digital, junto con otros parámetros de identificación del mensaje que permiten al servidor receptor verificar que el mensaje es auténtico y no ha sido alterado en tránsito.
X-Gm-Message-State: Indica el estado actual del mensaje según los servidores de correo de Google. Este campo se utiliza exclusivamente en los mensajes que son entregados a través de los servidores de correo de Google.
Los posibles valores que puede tener el campo «X-Gm-Message-State» son los siguientes:
1: el mensaje ha sido entregado correctamente y está en la bandeja de entrada del destinatario.
2: el mensaje aún está siendo procesado por los servidores de Google, pero se espera que sea entregado pronto.
3: el mensaje ha sido entregado a la carpeta de spam del destinatario.
4: el mensaje ha sido eliminado por los servidores de Google debido a problemas de seguridad o violación de políticas.
5: el mensaje ha sido archivado por el destinatario o movido a otra carpeta.
Este campo es útil para los remitentes que desean saber si su correo electrónico ha sido entregado correctamente y si ha sido filtrado como spam o eliminado por los servidores de Google.
X-Google-Smtp-Source: Es la dirección IP del servidor SMTP de Google que se utilizó para enviar el mensaje. Este campo se agrega a la cabecera del mensaje por los servidores de correo de Google y ayuda a identificar el servidor de correo electrónico de Google que se utilizó para enviar el mensaje. También puede ser utilizado por los destinatarios para verificar la autenticidad del correo electrónico y determinar si el correo electrónico fue enviado desde un servidor de Google legítimo o si fue falsificado.
MIME-Version: Indica la versión del protocolo MIME (Multipurpose Internet Mail Extensions) que se utiliza para formatear el mensaje de correo electrónico. El protocolo MIME se utiliza para permitir que los mensajes de correo electrónico contengan diferentes tipos de contenido, como texto, imágenes, audio y video. Normalmente es utilizado para especificar que el mensaje de correo electrónico incluye contenido HTML o archivos adjuntos.
References: Se utiliza para establecer una relación entre el mensaje actual y otro mensaje o cadena de mensajes. Este campo contiene una lista de IDs de mensajes únicos, conocidos como Message-IDs, que son asignados por el servidor de correo electrónico al momento de enviar el correo. Cuando se responde o reenvía un mensaje de correo electrónico, el cliente de correo electrónico agrega la ID del mensaje original en la cabecera del mensaje actual en el campo «References». De esta forma, se establece una conexión entre los mensajes, formando así una cadena de correos electrónicos relacionados. Este campo es útil para realizar un seguimiento de la conversación en un hilo de correo electrónico, permitiendo ver fácilmente la cadena de mensajes anteriores y siguientes. Además, algunos clientes de correo electrónico utilizan esta información para organizar y agrupar correos electrónicos en hilos de conversación. También puede ser útil en casos de investigación o forenses para identificar mensajes relacionados en cadenas de correos electrónicos.
In-Reply-To: Se utiliza en la cabecera de un correo electrónico para hacer referencia al mensaje anterior al que se está respondiendo. Este campo incluye el ID del mensaje original para que el servidor de correo pueda vincular la respuesta con la conversación correcta. De esta manera, el receptor del correo electrónico puede seguir fácilmente la conversación y entender la secuencia de mensajes.
From: Indica quién es el remitente del mensaje. Este campo suele incluir el nombre y la dirección de correo electrónico del remitente. Por lo tanto, el destinatario del correo electrónico puede saber quién ha enviado el mensaje y responder a la persona adecuada. Además, si el destinatario está utilizando una función de filtrado, el campo «From:» puede ayudar a identificar y clasificar los correos electrónicos entrantes.
Date: Se utiliza en la cabecera de un correo electrónico para indicar la fecha y la hora a la que se envió el mensaje. Este campo incluye la fecha y hora exactas, así como la zona horaria en la que se envió el correo electrónico. Este campo es útil para el destinatario del correo electrónico, ya que puede ayudar a identificar si el correo electrónico es actual o si fue enviado en una fecha anterior. Además, el campo «Date:» también se utiliza para ordenar los correos electrónicos en la bandeja de entrada del destinatario.
Message-ID: Se utiliza en la cabecera de un correo electrónico para identificar de manera única el mensaje. Cada mensaje enviado tiene su propio ID de mensaje único, que es generado por el servidor de correo del remitente. Este ID ayuda a identificar un mensaje de manera precisa y a vincularlo con la conversación de correo electrónico correcta en el caso de una respuesta o reenvío.
Subject: Se utiliza en la cabecera de un correo electrónico para indicar el tema o asunto del mensaje. Este campo proporciona una breve descripción del contenido del correo electrónico y puede ayudar al destinatario a determinar la relevancia del mensaje y si es necesario leerlo de inmediato o no.
To: Se utiliza en la cabecera de un correo electrónico para indicar a quién va dirigido el mensaje. Este campo incluye la dirección de correo electrónico del destinatario o los destinatarios a los que se envía el correo electrónico. Cuando se envía un correo electrónico, se puede especificar uno o más destinatarios en el campo «To:». Estos destinatarios son los principales destinatarios del mensaje y deben ser aquellos que necesiten recibir el correo electrónico en cuestión. El campo «To:» es importante porque indica quiénes son los destinatarios del correo electrónico y garantiza que se les notifique adecuadamente.
Content-Type: Indica el tipo de contenido que se encuentra en el cuerpo del mensaje. Este campo especifica los tipos de datos que se incluyen en el correo electrónico, como texto sin formato, HTML, imágenes o archivos adjuntos. La información en el campo «Content-Type:» es importante porque permite que el servidor de correo electrónico y el programa de correo electrónico del destinatario sepan cómo procesar el correo electrónico y cómo mostrar su contenido correctamente. Por ejemplo, si el contenido del correo electrónico es HTML, el programa de correo electrónico del destinatario debe renderizar el código HTML para que el destinatario pueda ver el contenido en un formato visualmente atractivo.
X-Spam-Status: Indica si el mensaje ha sido identificado como spam por el filtro de spam del servidor de correo del destinatario. Este campo proporciona información detallada sobre el resultado de la verificación del filtro de spam, incluyendo el puntaje de spam asignado al mensaje y las reglas específicas que se utilizaron para determinar si el mensaje es spam o no.
X-Spam-Score: Es la puntuación otorgada por un filtro de spam a determinado mensaje. Este campo proporciona información sobre el grado de certidumbre que un servidor de correo electrónico ha dado a un mensaje sobre si es correo no deseado o no. El valor de este campo se calcula utilizando una serie de criterios de filtrado, tales como la presencia de palabras o frases clave comunes en los correos no deseados, el origen del mensaje, la cantidad de destinatarios, entre otros. En general, cuanto mayor sea la puntuación, más probable es que el mensaje sea considerado spam.
X-Spam-Bar: Es una forma visual que algunos programas de correo electrónico utilizan para representar la puntuación de spam de un correo electrónico en la cabecera del mensaje. Este campo puede mostrar una serie de caracteres iguales (como «=====») o de caracteres más o menos iguales dependiendo de la cantidad de caracteres. Cada carácter representa un cierto valor de puntuación, lo que hace que sea más fácil para el destinatario determinar rápidamente si un correo electrónico no deseado tiene una puntuación alta o baja en la detección de spam. Un mayor número de caracteres similares indica una mayor puntuación, y por lo tanto, mayor probabilidad de que el mensaje sea correo no deseado. El campo «X-Spam-Bar» es solo una representación gráfica de la puntuación de spam y no proporciona información adicional sobre la probabilidad de que un mensaje sea considerado spam.
X-Ham-Report: Es una cabecera opcional que algunos servidores de correo electrónico agregan a los correos electrónicos que han sido identificados como legítimos (no spam). Esta cabecera proporciona información detallada sobre cómo se verificó el correo electrónico y por qué se considera legítimo. Esto puede incluir información sobre la reputación del remitente, los registros de SPF y DKIM, y otros factores que indican que el correo electrónico no es spam.
X-Spam-Flag: Es una cabecera que se utiliza para indicar si un correo electrónico ha sido marcado como correo no deseado o spam. Si el servidor de correo electrónico identifica un mensaje como spam, se agrega esta cabecera al mensaje y su valor se establece en «YES». Si el mensaje no ha sido marcado como spam, la cabecera no aparecerá en el mensaje o su valor se establecerá en «NO».
.
En conclusión, las cabeceras de los correos electrónicos pueden proporcionar una gran cantidad de información valiosa en casos legales. Desde la identificación de la ubicación geográfica del remitente hasta la verificación de la autenticidad del correo electrónico, la información contenida en la cabecera puede ser crítica para la resolución de casos. Por lo tanto, es importante que los abogados se tomen el tiempo de leer y comprender esta información al manejar asuntos legales relacionados con correos electrónicos. Con la ayuda de estas herramientas, los abogados pueden garantizar una representación efectiva de sus clientes y lograr resoluciones justas y equitativas.
Fuente de la informacion: https://blog.juridicosvenezuela.com/
Únete a nuestra comunidad de Informática Forense, Pentester, Osint y Jurídico.