CodePre.com

Free Online Tutorials
Home Tutorials Función de los registros MX en la investigación forense de correo electrónico

Función de los registros MX en la investigación forense de correo electrónico

Contenido

Resumen : MX Records contiene información importante sobre los servidores de correo que enrutan los correos electrónicos a su destino. En este blog, hemos explicado MX Records con gran detalle. Desde el formato de MX Records hasta cómo funcionan MX Records, lo hemos explicado todo. Desde la verificación de discrepancias en los encabezados de los correos electrónicos hasta la recopilación de datos de fuentes adicionales, hemos descrito cómo MX Records ayuda en la investigación forense de los correos electrónicos.

PRUEBE 60 DÍAS GRATIS

Un registro MX o registro de intercambio de correo es un tipo de registro del Sistema de nombres de dominio (DNS) que apunta al servidor de correo responsable de manejar el correo electrónico para un dominio determinado. Define cómo se enrutarán los mensajes de correo electrónico de acuerdo con el Protocolo simple de transferencia de correo (SMTP).

El objetivo principal de MX Records es garantizar que los correos electrónicos se envíen a la dirección de destino correcta. Los registros MX son una parte vital de un sistema de correo electrónico que funcione. Pueden jugar un papel esencial en el análisis forense del correo electrónico.

Formato de registro MX

El formato estándar de un registro MX incluye [name] [TTL] [class] [type] [priority] [rdata] . Esto es un example del registro MX:

google.com. 3600 EN MX 0 alt3.aspmx.l.google.com

  • nombre: El primer campo contiene el nombre de dominio.
  • TTL: Lo que representa Tiempo para vivir , que define el período (en segundos) durante el cual el cliente de correo electrónico puede retener la información del registro MX en su memoria caché. en lo anterior example, es 3600, lo que se traduce en 60 minutos o una hora. Entonces, un cliente puede mantener la información de este registro MX en su caché durante una hora. Si transcurre este tiempo, debe recuperar nuevamente el registro del servidor de nombres. El servidor de nombres es el servidor que almacena registros DNS.
  • clase: El campo Clase especifica el tipo de red. siempre se establece en EN que significa Internet.
  • escribe: El tipo de registro DNS. En este caso, se establece en MX (para registros MX).
  • prioridad: Este campo define la prioridad del servidor de correo. Cuanto menor sea el valor de este campo, mayor será la prioridad del servidor de correo. Cuando hay varios servidores para el mismo dominio, este campo establece el orden de prioridad de los servidores. en lo anterior examplela prioridad del servidor de correo se establece en 0, que es la prioridad más alta.
  • rdatos: Este es un campo de datos de recursos que define el nombre del servidor de correo. en lo anterior exampleel campo rdata es alt3.aspmx.l.google.com lo que significa que todos los correos electrónicos del dominio google.com será entregado a alt3.aspmx.l.google.com.

¿Cómo funcionan los registros MX?

Cada vez que envía un mensaje de correo electrónico, su Agente de transferencia de correo (MTA) accede al registro MX del nombre de dominio del destinatario. Luego intenta enviar el correo electrónico al servidor de correo con la prioridad más alta en el registro. Si la entrega falla, vuelve a intentarlo con los servidores de correo restantes en el registro en su orden de preferencia creciente hasta que se entrega el mensaje.

¿Cómo obtener registros MX?

Encontrar registros MX es fácil. En un sistema Windows, puede utilizar la herramienta de línea de comandos nslookup. Puede ejecutar el siguiente script en el símbolo del sistema (CMD) para encontrar los registros MX para el dominio google.com :

nslookup -type=MX google.com

Esto le proporcionará una respuesta no autorizada a la consulta.

Figura 1: Respuesta no autorizada para el dominio google.com

Figura 1 resalta la respuesta no autorizada para el dominio google.com. Una respuesta no autorizada significa que la respuesta no se obtiene del servidor DNS autorizado para el nombre de dominio consultado.

Un sistema DNS se divide en tres niveles:

  • servidores DNS raíz
  • servidores DNS de dominio de nivel superior
  • servidores DNS autorizados

Hay otra clase de servidor DNS, generalmente llamado servidor DNS local, cuya dirección IP se especifica en su sistema operativo.

Cuando su navegador se conecta a un sitio web como google.com el navegador primero consulta el servidor DNS local para obtener la dirección IP del sitio web.

  • Si el servidor DNS local no tiene el registro, es decir, un registro de google.com, consultará uno de los servidores DNS raíz.
  • El servidor DNS raíz diría: “No tengo un registro de google.com, pero conozco el servidor DNS de dominio de nivel superior responsable de los dominios .com”.
  • Luego, el servidor DNS local consulta al servidor DNS de dominio de nivel superior responsable de los dominios .com. El servidor DNS de dominio de nivel superior respondería como: “No lo sé, pero sé qué servidor DNS tiene autoridad para google.com”.
  • Ahora, el servidor DNS local consulta al servidor DNS autorizado. Dado que el registro DNS real se almacena en ese servidor DNS autorizado, le dará una respuesta al servidor DNS local.
Obteniendo el servidor de nombres principal de google.com Figura 2: Obteniendo el servidor de nombres principal de google.com

El resultado de esta consulta se almacena en caché en el servidor DNS local, pero puede quedar obsoleto. Cuando el [TTL] expira el tiempo, el servidor DNS local actualizará el resultado de la consulta desde el servidor DNS autorizado. Por lo tanto, cada vez que consulta un registro DNS en el servidor DNS local, devuelve una respuesta no autorizada. Debe especificar el servidor DNS autorizado mientras usa nslookup u otras utilidades para obtener una respuesta autorizada. Un servidor DNS local también puede denominarse servidor DNS de almacenamiento en caché.

Puede usar el siguiente comando para encontrar el servidor de nombres principal del dominio:

nslookup -type=soa google.com

Ahora que tiene el nombre del servidor de nombres principal, que es ns1.google.com, puede ejecutar el siguiente comando para obtener una respuesta autorizada:

nslookup -type=mx google.com ns1.google.com

Respuesta autorizada para el dominio google.com Figura 3: Respuesta autorizada para el dominio google.com

El comando le brinda la información más actualizada sobre el dominio, incluidas las direcciones de Internet y las direcciones IPv6 de los servidores de correo que se utilizan.

Si no desea utilizar CMD, también puede obtener registros MX de dominios con servicios web, como DNSChecker y MXToolbox .

Papel de los registros MX en análisis forense de correo electrónico

Los registros MX pueden ayudar en el análisis forense de correos electrónicos de las siguientes maneras:

1. Verifique las discrepancias en los encabezados de correo electrónico

Un encabezado de correo electrónico contiene información importante, como detalles del remitente y el receptor, saltos, etc., que ayudan a rastrear el viaje del mensaje. Entonces, cuando analiza un correo electrónico, puede verificar si los detalles en el encabezado coinciden con los registros MX del dominio.

Suponga que está analizando un correo electrónico que se envió hace unos años. Si encuentra que el proveedor de servicios de correo electrónico mencionado en el encabezado del correo electrónico es uno al que el dominio de destino cambió recientemente, puede considerarse una señal de alerta. En esta situación, puede investigar más a fondo para obtener más información sobre la discrepancia y encontrar pistolas humeantes .

2. Recopilación de datos de fuentes adicionales

Un cambio en los registros MX no significa necesariamente que se haya cambiado el proveedor de servicios de correo electrónico. A veces, los propietarios de dominios usan servicios adicionales para mejorar la seguridad del correo electrónico o archivar correos electrónicos. Cuando esto sucede, los registros MX pueden mostrar los detalles de estos servidores, ya que funcionan sobre los servidores de correo electrónico existentes. En otras palabras, los correos electrónicos pasan primero por estos servidores adicionales y luego a los servidores de correo electrónico principales.

Buscar los registros MX históricos de un dominio puede ayudarlo a descubrir fuentes de recopilación de datos adicionales. Por ejemplo, si descubre que un dominio está utilizando un servicio de archivo además de los servidores de correo electrónico principales, entonces el servicio de archivo puede tener archivos de respaldo que puede recopilar y escanear en busca de datos adicionales.

Conclusión

En análisis forense de correo electrónico , obtener registros MX para un nombre de dominio puede ser útil de muchas maneras. Para example, puede ayudar a verificar que el destinatario de un correo electrónico utilizó el proveedor de servicios de correo electrónico correcto. También puede ayudar a verificar si el propietario de un dominio cambió su proveedor de servicios y lo lleva a fuentes adicionales para la recopilación de datos.

¿Necesita un software forense avanzado de eDiscovery y correo electrónico que sea fácil de usar y ofrezca una amplia gama de características valiosas? Intentar Análisis forense de correo electrónico estelar ! Admite más de 25 formatos de archivo de correo electrónico, como PST, EDB, OST, DBX, NSF, MBOX, OLM, TBB, EML, etc. Además, este software facilita el análisis de correo electrónico con funciones como la conservación de pruebas con MD5 y SHA1 valores hash, análisis masivo de correos electrónicos recuperación de correos electrónicos eliminados, etiquetado y marcadores, administración de registros y mucho más. Descargar Stellar Email Forense ahora . Está disponible para una prueba gratuita de 60 días.

Related Posts

Editor de fotos InstaSize

Cómo subir fotos en Instagram sin recortar

Instagram es el mejor sitio para compartir fotos que existe. Es un sitio que te permite compartir fotos, videos y…
Usar Visor XPS en línea

Cómo abrir archivos XPS en Windows 10 (mejores métodos)

Cuando se lanzó Windows Vista, Microsoft introdujo el formato XPS, una alternativa al PDF. El formato de archivo XPS no…

10 mejores maneras de hacer Google Chrome Más rápido

Google Chrome sigue siendo uno de los navegadores de escritorio más populares incluso después de la dura competencia de gente…
Sitio URL

Habilitar ahorro de memoria en Google Chrome (Reducir el uso de RAM)

Google Chrome es un navegador web muy útil con todas las funciones que pueda necesitar, pero tiene un gran inconveniente.…
Scoutsearch en OnePlus

7 funciones ocultas de OnePlus que debes probar

Lo bueno de Android es que es muy personalizable. El sistema operativo Oxygen de OnePlus se encuentra en algunos de…

como tener dos WhatsApp cuentas en el mismo iPhone

Lo primero que tienes que saber es que el dispositivo de Apple soporta dos tarjetas SIM , el mencionado y…
Captura de pantalla de una pantalla de iPhone, que demuestra los pasos para hacer que un iPhone se cargue más rápido

Carga tu iPhone más rápido usando estas dos configuraciones

Puede ser bastante frustrante ver cómo el indicador de porcentaje de batería de su iPhone aumenta lentamente cuando necesita cargarlo…
Cómo cambiar la ubicación de las grabaciones de pantalla en Samsung Galaxy

Cómo cambiar la ubicación de grabación de pantalla en teléfonos Samsung

Hay un momento en el que le gustaría cambiar la ubicación de grabación de pantalla predeterminada. Esta publicación te enseñará…

La manera rápida y fácil de transferir tus fotos y videos de iPhone

iCloud es uno de los servicios que ha ganado mayor aceptación entre sus usuarios, debido a las ventajas que ofrece…

Cómo quitar Chat de la barra de tareas de Windows 11

La barra de tareas de Windows 11 viene con varios elementos integrados, que incluyen Vista de tareas, Widgets y Chat.…