Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 77 vistas

    Forense en Correo Electronico

    Cargado por

    Francisco Barrios
    El documento describe los diferentes aspectos relacionados con el análisis forense de correos electrónicos, incluyendo los protocolos de envío de correo como SMTP y POP3, las cabeceras de correo electrónico y su importancia para la investigación forense, y las herramientas disponibles para analizar las cabeceras.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Forense en Correo Electronico

    Cargado por

    Francisco Barrios
    77 vistas8 páginas
    El documento describe los diferentes aspectos relacionados con el análisis forense de correos electrónicos, incluyendo los protocolos de envío de correo como SMTP y POP3, las cabeceras de correo electrónico y su importancia para la investigación forense, y las herramientas disponibles para analizar las cabeceras.

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    El documento describe los diferentes aspectos relacionados con el análisis forense de correos electrónicos, incluyendo los protocolos de envío de correo como SMTP y POP3, las cabeceras de correo electrónico y su importancia para la investigación forense, y las herramientas disponibles para analizar las cabeceras.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    77 vistas8 páginas

    Forense en Correo Electronico

    Cargado por

    Francisco Barrios
    El documento describe los diferentes aspectos relacionados con el análisis forense de correos electrónicos, incluyendo los protocolos de envío de correo como SMTP y POP3, las cabeceras de correo electrónico y su importancia para la investigación forense, y las herramientas disponibles para analizar las cabeceras.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    Está en la página 1de 8

    FORENSE EN CORREO ELECTRONICO

    Hoy día los correos electrónicos son una de las vías de comunicación mas
    utilizadas.
    Existen distintas aplicaciones para gestionar los sistemas de correo
    electrónico:
     Cliente de correo electrónico
    o Programas utilizados para gestionar mensajes recibidos como
    Outlook express, Eudora,etc.
    o Este tipo de programa descarga todos los mensajes sin perjuicio
    de que se puedan mantener en el servidor determinados
    o Estos programas se pueden instalar en distintos dispositivos
     Webmail o Correo Web
    o Webmail es un sistema o herramienta de acceso al buzón de
    correo a través de la web o, dicho de otro modo, una modalidad
    de acceso al correo electrónico mediante acceso habilitado
    desde el propio servicio de hosting, el cual permite al usuario
    leer y redactar mensajes accediendo desde el servidor del
    hosting habilitado por la empresa.
    o Al acceder al servidor del web antes mencionado, aparecerá una
    interfaz que permitirá al usuario, de manera bastante sencilla e
    intuitiva, la introducción de su usuario y contraseña.
    o Como aspecto positivo, gracias a Webmail los correos
    electrónicos se almacenarán en el propio servidor que aloja la
    cuenta de correo web.
    El correo electrónico puede ofrecer confidencialidad, autenticación e
    integridad en los datos, proporcionando al usuario tranquilidad a la hora de
    utilizar este medio.
    A través del correo electrónico se puede propagar malware y se pueden
    producir distintos tipos de ataques que pueden generar la necesidad de
    realizar un análisis forense de los protocolos que se relacionen con la
    transferencia y recepción de correos electrónicos.
    Es importante tener en cuenta
     Quien envía el mensaje
     Quien lo recibe
     Fecha a la que se envió
     Contenido del correo

    Existen dos estándares en el desarrollo del correo electrónico


     Protocolo X400
    o Estándar para el intercambio de correo electrónico que opera
    conforme al modelo de interconexión de sistemas abiertos OSI
    o Este método de envío supone personalizar las comunicaciones,
    dirigiendo el correo electrónico a una suerte de casilla
    electrónica personal. Cada casilla queda categorizada con un
    identificador único.
     SMTP (SIMPLE MAIL TRANSFER PROTOCOL)
    o Por otro lado, existe el protocolo SMTP (Simple Mail Transfer
    Protocol), que fue definido también a principios de los ochenta
    por el Internet Engineering Task Force (IETF) y que actualmente
    está reflejado en los RFC (Request for Comments) 821 y 822.
    En cuanto a los protocolos de acceso al buzón que acompañan al SMTP, el
    número de posibilidades varía desde los clásicos POP2 (Post Office Protocol
    v2) y POP3 (Post Office Protocol v3) hasta los IMAP (Internet Message Access
    Protocol) y MAPI (Messaging Application Programming Interface) o los
    actuales, basados en soporte HTTP, que se han extendido a medida que
    crecía la popularidad de la web.
    CABECERAS DEL CORREO ELECTRONICO
     FROM = remitente del correo
    o Es la información menos fiable
     SUBJECT = asunto del correo
    o Breve descripción que permite al usuario visualizar el contenido
     DATE = fecha y hora en la que fue enviado el correo
     TO = línea del destinatario del correo
     RETURN-PATH
    o consiste en una dirección para procesar aquellos rebotes en los
    correos electrónicos, es decir, una dirección que recibe la
    información procedente de todos los rebotes. En la mayoría de
    los casos, esta línea se encuentra sobre el encabezado
    “Recibido”, el cual presenta aquella dirección IP pública desde la
    cual se remitió el correo.
     ENVELOPE-TO
    o En este campo se incluyen aquellos parámetros que el programa
    para envío de correo electrónico y el servidor emplean para la
    comunicación entre ellos. Es importante apuntar que esta
    información no podrá visualizarse por el emisor, dado que
    aparece una vez se hace clic en Enviar. Tampoco es visible para
    el destinatario, pues desaparece antes de que el correo llegue a
    su bandeja de entrada.
     DELIVERY DATE
    o Fecha y hora en el cliente o bien el servidor recibieron el
    mensaje
     RECIEVED
    o Esta línea identifica a todos aquellos sujetos por los que ha
    pasado el correo electrónico, también llamados intermediarios.
    Para cada sujeto, se puede visualizar su dirección de IP propia,
    además de todos aquellos protocolos de autenticación (DMARC,
    DKIM, SPF) validados por los distintos servidores (o no). Dicho de
    otro modo, el campo “Received” va a identificar todas aquellas
    máquinas por las que ha viajado o pasado el mensaje. Esta
    cabecera es la más importante y normalmente la que genera
    más confianza.
     MESSAGE ID
    o Identificador único del correo electrónico
     MIME VERSION
    o Multipurpose Internet Mail Extensions (por sus siglas en inglés,
    MIME): consiste en un estándar que extiende el formato del
    correo electrónico. Su finalidad es la de habilitar cualquier tipo
    de mensaje, esto es, texto, voz, binarios, datos, imágenes, etc.,
    con el objetivo de que pueda ser enviado de forma simple y
    reversible mediante el protocolo SMTP.
     CONTENT TYPE
    o Muestra el formato concreto del mensaje
     X SPAM STATUS
    o El servicio de correo electrónico o el propio cliente de correo
    generan una puntuación de spam.
     X SPAM LEVEL
    o Esta línea presenta la puntuación de spam generada por el
    servidor
     MESSAGE BODY
    o Se trata del correo electrónico o mensaje propiamente dicho,
    escrito y enviado por el remitente.
    MIME
    MIME (Multipurpose Internet Mail Extensions) añade una extensión al
    protocolo SMTP, permitiendo la encapsulación de contenido multimedia
    dentro de un mensaje SMTP.
    MIME utiliza BASE64 para codificar y convertir ficheros complejos en datos
    de tipo ASCII. Es compatible casi con todas las aplicaciones actuales. Se
    puede consultar en los RFC 2045 a 2049.
    Una nueva especificación de MIME permite soportar mensajes cifrados y se
    conoce como S/MIME. Esta especificación está basada en criptografía de
    clave pública de tipo RSA y ayuda a prevenir la pérdida de confidencialidad
    por medio de un ataque o una interceptación del envío de mensajes durante
    el tránsito o su almacenamiento. Los RFC que especifican S/MIME son el
    2311 y 2312.
    Esta extensión nos permite las siguientes funcionalidades

    Tipos de MIME primarios


     Los tipos de MIME, empleados en el encabezado tipo de contenido, se
    usan con la finalidad de clasificar archivos adjuntos de un correo
    electrónico.
     Los tipos de MIME se emplean también en la web al objeto de
    categorizar documentos trasladados mediante el protocolo HTTP. De
    ese modo, en el transcurso de una transacción entre servidor web y
    explorador, el primer paso que llevará a efecto el servidor web
    consiste en enviar el tipo de MIME al explorador, desde el archivo, de
    modo que dicho explorador conozca cómo mostrar o presentar el
    documento.

    MENSAJES COMPUESTOS
    El estándar MIME habilita el envío de mensajes compuestos, esto es,
    mensajes con múltiples adjuntos, que, además, pueden ser jerarquizables.

    COMANDOS SMTP
    SMTP utiliza un número limitado de comandos que se deben conocer para
    poder recomponer y seguir los mensajes en una captura de red.
     HELO
    o El cliente envia este comando al servidor SMTP con el objetivo
    de identificarse a si mismo e iniciar la conversación
     MAIL FROM
    o Identifica la dirección de correo electrónico del remitente. Este
    comando informa al servidor SMTP de que una nueva
    conversación ha iniciado
     RCPT TO
    o Recipient To
    o Este comando indica la dirección del correo del receptor del
    mensaje

     DATA
    o Advierte del comienzo de la transferencia del contenido del
    mensaje, Después de que el comando DATA haya sido enviado al
    servidor, este último responderá con un código 354 de
    respuesta.
     RSET
    o Si este comando se envía al servidor, la transferencia en curso
    será paralizada o abortada. La conexión no se cerrará, pero toda
    la información sobre el remitente y destinatarios y los datos del
    correo serán eliminados.
     VRFY
    o Comprueba que un buzon esta disponible para la entrega
     QUIT
    o Este comando solicita al servidor cerrar la conexión. Si la
    conexión puede ser cerrada, el servidor responderá con un
    código numérico 221 y entonces se cierra la sesión.
     SEND
    o Este comando inicia la transferencia del correo electrónico
    En toda transacción de mensajes de correo electrónico es posible conocer su
    situación, consultando los códigos de estado referidos a un e-mail.
    PROTOCOLO EXTENDIDO SMTP
    Llamado ESMTP, es la definición de un conjunto nuevo de extensiones del
    protocolo SMTP para dotar al servicio de mayor funcionalidad. Este nuevo
    formato de comandos y funcionalidades se encuentra definido en la RFC
    1869.

    MX TOOLBOX PARA ANALIZAR CABECERAS

    También podría gustarte