Comment puis-je savoir d'où vient vraiment un email?
Ce n’est pas parce qu’un courriel apparaît dans votre boîte de réception intitulé [email protected] que Bill y est pour quelque chose. Continuez à lire pendant que nous explorons comment creuser et voir d'où venait un courrier électronique suspect..
La session de questions et réponses d'aujourd'hui nous parvient avec la permission de SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses animé par la communauté..
La question
Le lecteur de SuperUser, Sirwan, veut savoir comment l’origine des courriels est réelle:
Comment puis-je savoir d'où vient vraiment un email?
Y a-t-il un moyen de le savoir??
J'ai entendu parler des en-têtes d'e-mail, mais je ne sais pas où puis-je les voir, par exemple dans Gmail.
Jetons un coup d'oeil à ces en-têtes de courrier électronique.
Les réponses
Le contributeur de SuperUser, Tomas, offre une réponse très détaillée et perspicace:
Voir un exemple d'escroquerie qui m'a été envoyée, prétendant que c'était de la part d'une amie, affirmant qu'elle avait été volée et me demandant une aide financière. J'ai changé les noms - supposons que je suis Bill, l'escroc a envoyé un email à
[email protected]
, prétendant qu'il est[email protected]
. Notez que Bill a transmis à[email protected]
.Tout d'abord, dans Gmail, utilisez
montrer l'original
:Ensuite, l'email complet et ses en-têtes s'ouvriront:
Livré à: [email protected] Reçu le: avant le 10.64.21.33 avec l'identifiant SMTP s1csp177937iee; Lun., 8 juil. 2013 04:11:00 - 0700 (PDT) X-Received: par 10.14.47.73 avec ID SMTP s49mr24756966eeb.71.1373281860071; Lun., 08 juil. 2013 04:11:00 - 0700 (PDT) Chemin de retour: Reçu: de maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) par mx.google.com avec l'ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 pour (version = code de TLSv1 = bits RC4-SHA = 128/128); Lun., 08 juil. 2013 04:11:00 - 0700 (PDT) Received-SPF: neutre (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 n’est ni permis, ni refusé selon la meilleure hypothèse de départ pour domaine de [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Résultats d'authentification: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 n'est ni autorisé ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected] ) [email protected] Reçu: par maxipes.logix.cz (Postfix, à partir de l'ID utilisateur 604) id C923E5D3A45; Lun., 8 juil. 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: différé 00:06:34 par SQLgrey-1.8.0-rc1 Reçu: de elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) de maxipes.logix.cz (Postfix) avec l'identifiant ESMTP B43175D3A44 pour; Lun., 8 juil. 2013 23:10:48 +1200 (NZST) Reçu le: à partir de [168.62.170.129] (helo = laurence39) par elasmtp-curtail.atl.sa.earthlink.net avec esmtpa (Exim 4.67) (enveloppe-de ) id 1Uw98w-0006KI-6y pour [email protected]; Lun., 08 juil. 2013 06:58:06 -0400 De: "Alice" Objet: Terrible Issue Issue… Veuillez répondre DÈS QUE POSSIBLE à: [email protected] Type de contenu: multipart / alternative; boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Date: 8 juillet 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… j'ai coupé le corps de l'e-mail…]
Les en-têtes doivent être lus chronologiquement de bas en haut - les plus anciens sont en bas. Chaque nouveau serveur en route ajoutera son propre message - en commençant par
Reçu
. Par exemple:Reçu: à partir de maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) de mx.google.com avec l'ID ESMTPS j47si6975462eeg.108.2013.07.08.04. 59 pour (version = chiffrement TLSv1 = bits RC4-SHA = 128/128); Lun., 08 juil. 2013 04:11:00 - 0700 (PDT)
Cela dit que
mx.google.com
a reçu le courrier demaxipes.logix.cz
àLun., 08 juil. 2013 04:11:00 - 0700 (PDT)
.Maintenant, pour trouver le réal En tant qu’expéditeur de votre courrier électronique, votre objectif est de trouver la dernière passerelle de confiance - la dernière lors de la lecture des en-têtes à partir du haut, c’est-à-dire la première dans l’ordre chronologique. Commençons par trouver le serveur de messagerie de Bill. Pour cela, vous interrogez l'enregistrement MX pour le domaine. Vous pouvez utiliser certains outils en ligne, ou sous Linux, vous pouvez l'interroger en ligne de commande (notez que le vrai nom de domaine a été changé en
domain.com
):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Donc, vous voyez le serveur de messagerie pour domain.com est
maxipes.logix.cz
oubroucek.logix.cz
. Par conséquent, le dernier (le premier "saut" de confiance chronologiquement) - ou le dernier "enregistrement reçu" de confiance ou le nom de votre choix - est celui-ci:Reçu: de elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) de maxipes.logix.cz (Postfix) avec l'ESMTP id B43175D3A44 pour; Lun., 8 juil. 2013 23:10:48 +1200 (NZST)
Vous pouvez avoir confiance en cela car cela a été enregistré par le serveur de messagerie de Bill pour
domain.com
. Ce serveur l'a reçu de209.86.89.64
. Cela pourrait être, et est très souvent, le véritable expéditeur du courrier électronique - dans ce cas l’escroc! Vous pouvez vérifier cette adresse IP sur une liste noire. - Vous voyez, il est répertorié dans 3 listes noires! Il y a encore un autre enregistrement en dessous:Reçu: à partir de [168.62.170.129] (helo = laurence39) par elasmtp-curtail.atl.sa.earthlink.net avec esmtpa (Exim 4.67) (enveloppe-à partir) id 1Uw98w-0006KI-6y pour [email protected]; Lun., 08 juil. 2013 06:58:06 -0400
mais vous ne pouvez vraiment pas y croire, car cela pourrait simplement être ajouté par l’escroc pour effacer ses traces et / ou jeter une fausse piste. Bien sûr, il est toujours possible que le serveur
209.86.89.64
est innocent et n’a agi que comme un relais pour le véritable attaquant de168.62.170.129
, mais alors le relais est souvent considéré comme coupable et très souvent sur une liste noire. Dans ce cas,168.62.170.129
est propre afin que nous puissions être presque sûrs que l'attaque a été faite de209.86.89.64
.Et bien sûr, sachant qu'Alice utilise Yahoo! et
elasmtp-curtail.atl.sa.earthlink.net
n'est pas sur le Yahoo! réseau (vous voudrez peut-être vérifier à nouveau ses informations IP Whois), nous pouvons sans risque en conclure que cet e-mail n'a pas été envoyé par Alice et que nous ne devrions pas lui envoyer d'argent pour ses vacances déclarées aux Philippines..
Deux autres contributeurs, Ex Umbris et Vijay, ont recommandé respectivement les services suivants pour aider au décodage des en-têtes de courrier électronique: SpamCop et l'outil d'analyse d'en-têtes de Google..
Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.