Es de conocimiento público que servicios de correo electrónico gratuitos como Gmail, Outlook (Hotmail), enmascaran o no muestran información sobre la dirección IP origen de un correo electrónico. El argumento utilizado para “ocultar” estos datos se basa en salvaguardar y dar seguridad a los usuarios.

En una reciente investigación, se me presentó un escenario en el cual si era factible obtener la dirección IP de origen de un correo electrónico enviado desde Gmail hacía Outlook (Hotmail). A continuación detallo el procedimiento realizado.

En el buzón de entrada o el buzón donde resida el correo, hacer clic derecho sobre el mensaje y seleccionar “Ver Código Fuente del Mensaje”. Se abrirá una nueva ventana con la fuente del mensaje, incluyendo sus cabeceras.

Para realizar el rastreo de un correo electrónico, la información de las cabeceras se debe leer desde la parte inferior hacía la parte superior.

Received

Cada servidor SMTP añade un campo Received en la parte superior de cada mensaje entrante, proporcionando detalles sobre como se recibió el mensaje, pero lo más importante es la dirección IP del cliente.

Se procede a analizar el primer campo Received.

Received: from [192.168.1.37] ([190.***.***.***])
by mx.google.com with ESMTPSA id h6***********yhb.7.2014.02.25.03.36.35
for <*************@hotmail.com>
(version=TLSv1.2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Tue, 25 Feb 2014 03:36:36 -0800 (PST)

• “from” es seguido por un nombre de dominio o dirección IP.
• “by” es seguido por un nombre de dominio o dirección IP.
• “for” es seguido por una dirección de correo electrónico, en este caso del destinatario.

De esta información obtenida se infiere lo siguiente.

La dirección 192.168.1.37 corresponde a la dirección IP interna asignada a la computadora o dispositivos desde el cual se envío el correo electrónico.

La dirección IP 190.***.***.*** corresponde a la dirección IP Externa asignada al router o modem que permite establecer la conexión con Internet.

El envío de un correo electrónico desde Gmail hacía Outlook (Hotmail) utilizando la interfaz web o desde un navegador web, no expone información sobre la dirección IP del origen en sus cabeceras. La pregunta es ¿Porqué en este caso si se expone esta información?. Y la respuesta la proporciona la siguiente línea ubicada en las cabeceras.

User-Agent: Mozilla/5.0 (Windows NT 6.2; rv:27.0) Gecko/20100101 Thunderbird/27.0

Utilizando la experiencia se puede inferir que el correo electrónico se envío utilizando un cliente de correo de nombre Thunderbird versión 27.0. Utilizando un Sistema Operativo Windows.

A continuación se utiliza una herramienta online (user-agent-info), la cual permite analizar las cadenas del agente de usuario (User Agent).

La información obtenida corrobora que el cliente utilizado es Thunderbird versión 27 y que el Sistema Operativo es un Windows 8. Esta herramienta también expone otra información que puede ser de relevancia para el caso.

En la siguiente práctica se utilizará una herramienta online (Trace Email), la cual permite realizar el rastreo de un correo electróninco de manera automática y visual, en base a las cabeceras del correo electrónico.

En este caso, pude corroborar que toda la información obtenida corresponde al origen desde el cual se envió un correo electrónico de Gmail hacía Outlook (Hotmail).

Se pudo obtener esta información debido a que el correo electrónico no se envío utilizando la interfaz web de Gmail con un navegador, sino utilizando un cliente de correo instalado en la computadora que utilizó la persona para enviar el correo electrónico.

Fuentes:

http://answers.microsoft.com/en-us/outlook_com/forum/oemail-osend/tracin...
http://cr.yp.to/immhf/envelope.html
http://user-agent-string.info
http://www.ip-address.org/tracker/trace-email.php