Page d'accueil » comment » Que pouvez-vous trouver dans un en-tête de courrier électronique?

    Que pouvez-vous trouver dans un en-tête de courrier électronique?

    Chaque fois que vous recevez un e-mail, il y a beaucoup plus que ce que vous voyez. Si vous ne prêtez généralement attention qu'à l'adresse de l'expéditeur, à la ligne d'objet et au corps du message, de nombreuses autres informations sont disponibles «sous le capot» de chaque e-mail, ce qui peut vous fournir une mine d'informations supplémentaires..

    Pourquoi s'embêter à regarder un en-tête d'e-mail?

    C'est une très bonne question. Pour la plupart, vous n’auriez vraiment jamais besoin de:

    • Vous pensez qu'un email est une tentative de phishing ou une usurpation d'identité
    • Vous souhaitez afficher les informations de routage sur le chemin du courrier électronique
    • Vous êtes un geek curieux

    Indépendamment de vos raisons, la lecture des en-têtes d’e-mails est en fait assez facile et peut être très révélatrice.

    Remarque sur l'article: Nous allons utiliser Gmail pour nos captures d'écran et nos données, mais pratiquement tous les autres clients de messagerie devraient également fournir ces mêmes informations..

    Affichage de l'en-tête de l'e-mail

    Dans Gmail, affichez l'email. Pour cet exemple, nous allons utiliser l'email ci-dessous.

    Cliquez ensuite sur la flèche dans le coin supérieur droit et sélectionnez Afficher l'original..

    La fenêtre résultante aura les données d'en-tête de l'email en texte brut.

    Remarque: dans toutes les données d'en-tête de l'e-mail indiquées ci-dessous, j'ai modifié mon adresse Gmail afin d'afficher le message. [email protected] et mon adresse e-mail externe à afficher en tant que [email protected] et [email protected] ainsi que masqué l'adresse IP de mes serveurs de messagerie.

    Livré à: [email protected]
    Reçu: avant le 10.60.14.3 avec l'identifiant SMTP l3csp18666oec;
    Mar., 6 mars 2012 08:30:51 -0800 (PST)
    Received: by 10.68.125.129 avec l'identifiant SMTP mq1mr1963003pbb.21.1331051451044;
    Mar., 06 mars 2012 08:30:51 -0800 (PST)
    Chemin de retour:
    Reçu: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    par mx.google.com avec l'identifiant SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Mar., 06 mars 2012 08:30:50 -0800 (PST)
    Received-SPF: neutral (google.com: 64.18.2.16 n'est ni autorisé, ni refusé par l'enregistrement de meilleure estimation pour le domaine de [email protected]) client-ip = 64.18.2.16;
    Résultats d'authentification: mx.google.com; spf = neutral (google.com: 64.18.2.16 n'est ni autorisé, ni refusé par l'enregistrement le plus approximatif pour le domaine de [email protected]) [email protected]
    Reçu: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (à l'aide de TLSv1) par exprod7ob119.postini.com ([64.18.6.12]) avec SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Mar., 06 mars 2012 08:30:50 PST
    Reçu: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) par
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) avec mapi; Mar, 6 mars
    2012 11:30:48 -0500
    De: Jason Faulkner
    Pour: "[email protected]"
    Date: mar., 6 mars 2012 11:30:48 -0500
    Objet: Ceci est un email légitime
    Sujet de discussion: Ceci est un email légitime
    Index de fil: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID du message:
    Accept-Language: en-US
    Content-Language: en-US
    X-MS-Has-Attach:
    Corrélateur X-MS-TNEF:
    acceptlanguage: en-US
    Type de contenu: multipart / alternative;
    frontière = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME-Version: 1.0

    Lorsque vous lisez l'en-tête d'un e-mail, les données sont dans l'ordre chronologique inverse, ce qui signifie que les informations en haut sont l'événement le plus récent. Par conséquent, si vous souhaitez suivre le courrier électronique de l'expéditeur au destinataire, commencez par le bas. En examinant les en-têtes de cet email, nous pouvons voir plusieurs choses..

    Nous voyons ici les informations générées par le client expéditeur. Dans ce cas, l'e-mail a été envoyé à partir d'Outlook. Il s'agit donc des métadonnées ajoutées par Outlook..

    De: Jason Faulkner
    Pour: "[email protected]"
    Date: mar., 6 mars 2012 11:30:48 -0500
    Objet: Ceci est un email légitime
    Sujet de discussion: Ceci est un email légitime
    Index de fil: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
    ID du message:
    Accept-Language: en-US
    Content-Language: en-US
    X-MS-Has-Attach:
    Corrélateur X-MS-TNEF:
    acceptlanguage: en-US
    Type de contenu: multipart / alternative;
    frontière = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
    MIME-Version: 1.0

    La partie suivante retrace le chemin emprunté par l'e-mail du serveur d'envoi au serveur de destination. N'oubliez pas que ces étapes (ou sauts) sont répertoriées dans l'ordre chronologique inverse. Nous avons placé le numéro respectif à côté de chaque saut pour illustrer la commande. Notez que chaque saut montre des détails sur l'adresse IP et le nom DNS inversé respectif..

    Livré à: [email protected]
    [6] Reçu: avant le 10.60.14.3 avec l'identifiant SMTP l3csp18666oec;
    Mar., 6 mars 2012 08:30:51 -0800 (PST)
    [5] Received: by 10.68.125.129 avec l'identifiant SMTP mq1mr1963003pbb.21.1331051451044;
    Mar., 06 mars 2012 08:30:51 -0800 (PST)
    Chemin de retour:
    [4] Reçu: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16])
    par mx.google.com avec l'identifiant SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
    Mar., 06 mars 2012 08:30:50 -0800 (PST)
    [3] Received-SPF: neutral (google.com: 64.18.2.16 n'est ni autorisé, ni refusé par l'enregistrement de meilleure estimation pour le domaine de [email protected]) client-ip = 64.18.2.16;
    Résultats d'authentification: mx.google.com; spf = neutral (google.com: 64.18.2.16 n'est ni autorisé, ni refusé par l'enregistrement le plus approximatif pour le domaine de [email protected]) [email protected]
    [2] Reçu: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (à l'aide de TLSv1) par exprod7ob119.postini.com ([64.18.6.12]) avec SMTP
    ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Mar., 06 mars 2012 08:30:50 PST
    [1] Reçu: de MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3]) par
    MYSERVER.myserver.local ([fe80 :: a805: c335: 8c71: cdb3% 11]) avec mapi; Mar, 6 mars
    2012 11:30:48 -0500

    Bien que cela soit assez banal pour un courrier électronique légitime, cette information peut être très révélatrice lorsqu'il s'agit d'examiner des courriers indésirables ou de phishing..

    Examen d'un courrier électronique de phishing - Exemple 1

    Pour notre premier exemple de phishing, nous examinerons un courrier électronique qui constitue une tentative de phishing évidente. Dans ce cas, nous pourrions identifier ce message comme une fraude simplement par les indicateurs visuels, mais pour la pratique, nous examinerons les signes précurseurs dans les en-têtes..

    Livré à: [email protected]
    Reçu: avant le 10.60.14.3 avec l'identifiant SMTP l3csp12958oec;
    Lun., 5 mars 2012 23:11:29 -0800 (PST)
    Received: by 10.236.46.164 avec l'identifiant SMTP r24mr7411623yhb.101.1331017888982;
    Lun., 05 mars 2012 23:11:28 -0800 (PST)
    Chemin de retour:
    Reçu: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    par mx.google.com avec l'identifiant ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
    Lun., 05 mars 2012 23:11:28 -0800 (PST)
    Received-SPF: fail (google.com: le domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX comme expéditeur autorisé) client-ip = XXX.XXX.XXX.XXX;
    Résultats d'authentification: mx.google.com; spf = hardfail (google.com: le domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX comme expéditeur autorisé) [email protected]
    Reçu: avec MailEnable Postoffice Connector; Mar., 6 mars 2012 02:11:20 -0500
    Reçu: de mail.lovingtour.com ([211.166.9.218]) par ms.externalemail.com avec MailEnable ESMTP; Mar., 6 mars 2012 02:11:10 -0500
    Reçu: de l'utilisateur ([118.142.76.58])
    par mail.lovingtour.com
    ; Lun., 5 mars 2012 21:38:11 +0800
    ID du message:
    Répondre à:
    De: "[email protected]"
    Sujet: Notice
    Date: lun. 5 mars 2012 21:20:57 +0800
    MIME-Version: 1.0
    Type de contenu: multipart / mixed;
    borne = ”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    Priorité X: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produit par Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    Le premier drapeau rouge se trouve dans la zone d'informations du client. Notez ici que les métadonnées ajoutées font référence à Outlook Express. Il est peu probable que Visa soit aussi en retard sur le fait qu’une personne envoie manuellement des courriels à l’aide d’un client de messagerie de 12 ans..

    Répondre à:
    De: "[email protected]"
    Sujet: Notice
    Date: lun. 5 mars 2012 21:20:57 +0800
    MIME-Version: 1.0
    Type de contenu: multipart / mixed;
    borne = ”- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
    Priorité X: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produit par Microsoft MimeOLE V6.00.2600.0000
    X-ME-Bayesian: 0.000000

    En examinant maintenant le premier saut dans l’acheminement du courrier électronique, il apparaît que l’expéditeur était situé à l’adresse IP 118.142.76.58 et que son courrier électronique était relayé par le serveur de messagerie mail.lovingtour.com..

    Reçu: de l'utilisateur ([118.142.76.58])
    par mail.lovingtour.com
    ; Lun., 5 mars 2012 21:38:11 +0800

    En recherchant les informations IP à l'aide de l'utilitaire IPNetInfo de Nirsoft, nous pouvons voir que l'expéditeur était situé à Hong Kong et le serveur de messagerie en Chine..

    Inutile de dire que c'est un peu suspect.

    Les autres sauts de courrier électronique ne sont pas vraiment pertinents dans ce cas car ils montrent le courrier rebondissant autour du trafic de serveur légitime avant d'être finalement livré..

    Examen d'un courrier électronique de phishing - Exemple 2

    Pour cet exemple, notre courrier électronique de phishing est beaucoup plus convaincant. Il y a quelques indicateurs visuels ici si vous regardez assez, mais encore une fois, pour les besoins de cet article, nous allons limiter notre enquête aux en-têtes de courrier électronique..

    Livré à: [email protected]
    Reçu: avant le 10.60.14.3 avec l’identifiant SMTP l3csp15619oec;
    Mar., 6 mars 2012 04:27:20 -0800 (PST)
    Received: by 10.236.170.165 avec l'identifiant SMTP p25mr8672800yhl.123.1331036839870;
    Mar., 06 mars 2012 04:27:19 -0800 (PST)
    Chemin de retour:
    Reçu: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX])
    par mx.google.com avec l'identifiant ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
    Mar., 06 mars 2012 04:27:19 -0800 (PST)
    Received-SPF: fail (google.com: le domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX comme expéditeur autorisé) client-ip = XXX.XXX.XXX.XXX;
    Résultats d'authentification: mx.google.com; spf = hardfail (google.com: le domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX comme expéditeur autorisé) [email protected]
    Reçu: avec MailEnable Postoffice Connector; Mar., 6 mars 2012 07:27:13 -0500
    Reçu: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) par ms.externalemail.com avec MailEnable ESMTP; Mar., 6 mars 2012 07:27:08 -0500
    Reçu: de Apache par intuit.com avec local (Exim 4.67)
    (enveloppe-de)
    id GJMV8N-8BERQW-93
    pour ; Mar., 6 mars 2012 19:27:05 +0700
    À:
    Objet: Votre facture Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php pour 118.68.152.212
    De: "INTUIT INC."
    X-Sender: “INTUIT INC.”
    X-Mailer: PHP
    Priorité X: 1
    MIME-Version: 1.0
    Type de contenu: multipart / alternative;
    frontière = "- 03060500702080404010506"
    ID du message:
    Date: mar., 6 mars 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Dans cet exemple, aucune application client de messagerie n'a été utilisée, mais un script PHP avec l'adresse IP source 118.68.152.212..

    À:
    Objet: Votre facture Intuit.com.
    X-PHP-Script: intuit.com/sendmail.php pour 118.68.152.212
    De: "INTUIT INC."
    X-Sender: “INTUIT INC.”
    X-Mailer: PHP
    Priorité X: 1
    MIME-Version: 1.0
    Type de contenu: multipart / alternative;
    frontière = "- 03060500702080404010506"
    ID du message:
    Date: mar., 6 mars 2012 19:27:05 +0700
    X-ME-Bayesian: 0.000000

    Cependant, lorsque nous examinons le premier saut de courrier électronique, il semble légitime que le nom de domaine du serveur d'envoi corresponde à l'adresse de courrier électronique. Cependant, méfiez-vous de cela, car un spammeur pourrait facilement nommer son serveur «intuit.com»..

    Reçu: de Apache par intuit.com avec local (Exim 4.67)
    (enveloppe-de)
    id GJMV8N-8BERQW-93
    pour ; Mar., 6 mars 2012 19:27:05 +0700

    Examiner la prochaine étape détruit ce château de cartes. Vous pouvez voir que le deuxième saut (où il est reçu par un serveur de messagerie légitime) résout le serveur d'envoi en renvoyant le domaine «dynamic-pool-xxx.hcm.fpt.vn», et non «intuit.com» avec la même adresse IP. indiqué dans le script PHP.

    Reçu: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) par ms.externalemail.com avec MailEnable ESMTP; Mar., 6 mars 2012 07:27:08 -0500

    L'affichage des informations sur l'adresse IP confirme la suspicion de la localisation du serveur de messagerie au Viet Nam..

    Bien que cet exemple soit un peu plus intelligent, vous pouvez voir à quelle vitesse la fraude est révélée avec seulement un peu d'enquête..

    Conclusion

    Bien que l’affichage des en-têtes d’e-mail ne fasse probablement pas partie de vos besoins quotidiens habituels, il existe des cas où les informations qu’ils contiennent peuvent être très utiles. Comme nous l'avons montré ci-dessus, vous pouvez facilement identifier les expéditeurs qui se font passer pour des inconnus. Pour une arnaque très bien exécutée où les repères visuels sont convaincants, il est extrêmement difficile (voire impossible) de se faire passer pour les serveurs de messagerie réels. En examinant les informations contenues dans les en-têtes des courriers électroniques, vous pouvez rapidement révéler des erreurs.

    Liens

    Téléchargez IPNetInfo de Nirsoft

    Quelles sont les causes de l'avertissement Fichier téléchargé de l'Internet et comment puis-je le supprimer facilement?
    Qu'est-ce qui vient après le Web 2.0?
    Que pouvez-vous faire avec Samsung Health?
    Article suivant
    Que pouvez-vous vraiment attendre de Windows Vista Service Pack 1?
    Article précédent
    Que pouvez-vous faire avec le Bixby de Samsung?