Que pouvez-vous trouver dans un en-tête de courrier électronique?

2024 Auteur: Geoffrey Carr | [email protected]. Dernière modifié: 2023-12-17 11:01

Chaque fois que vous recevez un courrier électronique, il y a beaucoup plus que ce que vous voyez. Si vous ne prêtez généralement attention qu'à l'adresse de l'expéditeur, à la ligne d'objet et au corps du message, de nombreuses autres informations sont disponibles «sous le capot» de chaque e-mail, ce qui peut vous fournir une mine d'informations supplémentaires.

Pourquoi s'embêter à regarder un en-tête d'e-mail?

C'est une très bonne question. Dans la plupart des cas, vous n’auriez vraiment jamais besoin de:

Vous pensez qu'un courrier électronique est une tentative de phishing ou une usurpation d'identité
Vous souhaitez afficher les informations de routage sur le chemin du courrier électronique
Vous êtes un geek curieux

Quelles que soient vos raisons, la lecture des en-têtes de courrier électronique est en fait assez facile et peut être très révélatrice.

Remarque sur l'article: Nous allons utiliser Gmail pour nos captures d'écran et nos données, mais pratiquement tous les autres clients de messagerie devraient également fournir ces mêmes informations.

Affichage de l'en-tête de l'e-mail

Dans Gmail, affichez l'email. Pour cet exemple, nous allons utiliser l'email ci-dessous.

Cliquez ensuite sur la flèche dans le coin supérieur droit et sélectionnez Afficher l'original.

La fenêtre résultante aura les données d'en-tête de l'e-mail en texte brut.

Remarque: dans toutes les données d'en-tête de l'e-mail indiquées ci-dessous, j'ai modifié mon adresse Gmail afin d'afficher le message. [email protected] et mon adresse électronique externe à afficher en tant que [email protected] et [email protected] ainsi que masqué l'adresse IP de mes serveurs de messagerie.

Livré à: [email protected] Reçu: avant le 10.60.14.3 avec l'identifiant SMTP l3csp18666oec; Mar., 6 mars 2012 08:30:51 -0800 (PST) Received: by 10.68.125.129 avec l'identifiant SMTP mq1mr1963003pbb.21.1331051451044; Mar., 06 mars 2012 08:30:51 -0800 (PST) Chemin de retour: Reçu: de exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) par mx.google.com avec l'identifiant SMTP l7si25161491pbd.80.2012.03.06.08.30.49; Mar., 06 mars 2012 08:30:50 -0800 (PST) Received-SPF: neutral (google.com: 64.18.2.16 n'est ni autorisé, ni refusé par l'enregistrement de meilleure estimation pour le domaine de [email protected]) client-ip = 64.18.2.16; Résultats d'authentification: mx.google.com; spf = neutral (google.com: 64.18.2.16 n'est ni autorisé, ni refusé par l'enregistrement le plus approximatif pour le domaine de [email protected]) [email protected] Reçu: de mail.externalemail.com ([XXX.XXX.XXX.XXX]) (à l'aide de TLSv1) par exprod7ob119.postini.com ([64.18.6.12]) avec SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Mar., 06 mars 2012 08:30:50 PST Reçu: de MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3]) par MYSERVER.myserver.local ([fe80:: a805: c335: 8c71: cdb3% 11]) avec mapi; Mar, 6 mars 2012 11:30:48 -0500 De: Jason Faulkner Pour: "[email protected]" Date: mar., 6 mars 2012 11:30:48 -0500 Sujet: Ceci est un email légitime Sujet de discussion: Ceci est un email légitime Index de fil: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q == ID de message: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: Corrélateur X-MS-TNEF: acceptlanguage: en-US Type de contenu: multipart / alternative; frontière = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_" MIME-Version: 1.0

Lorsque vous lisez l'en-tête d'un e-mail, les données sont dans l'ordre chronologique inverse, ce qui signifie que les informations en haut constituent l'événement le plus récent. Par conséquent, si vous souhaitez suivre le courrier électronique de l'expéditeur au destinataire, commencez par le bas. En examinant les en-têtes de cet email, nous pouvons voir plusieurs choses.

Nous voyons ici les informations générées par le client expéditeur. Dans ce cas, l'e-mail a été envoyé à partir d'Outlook. Il s'agit donc des métadonnées ajoutées par Outlook.


From: Jason Faulkner  To: “[email protected]”  Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0

La partie suivante retrace le chemin emprunté par l'e-mail du serveur d'envoi au serveur de destination. N'oubliez pas que ces étapes (ou sauts) sont répertoriées dans l'ordre chronologique inverse. Nous avons placé le numéro respectif à côté de chaque saut pour illustrer la commande. Notez que chaque saut montre des détails sur l'adresse IP et le nom DNS inversé respectif.


Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path:  [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500

Bien que cela soit assez banal pour un courrier électronique légitime, cette information peut être assez révélatrice lorsqu'il s'agit d'examiner des courriers indésirables ou de phishing.

Examen d'un courrier électronique de phishing - Exemple 1

Pour notre premier exemple de phishing, nous examinerons un courrier électronique qui constitue une tentative de phishing évidente. Dans ce cas, nous pourrions identifier ce message comme une fraude simplement par les indicateurs visuels, mais pour la pratique, nous examinerons les signes d’avertissement dans les en-têtes.

Image

Livré à: [email protected] Reçu: avant le 10.60.14.3 avec l'identifiant SMTP l3csp12958oec; Lun., 5 mars 2012 23:11:29 -0800 (PST) Received: by 10.236.46.164 avec l'identifiant SMTP r24mr7411623yhb.101.1331017888982; Lun., 05 mars 2012 23:11:28 -0800 (PST) Chemin de retour: Reçu: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) par mx.google.com avec l'identifiant ESMTP t19si8451178ani.110.2012.03.05.23.11.28; Lun., 05 mars 2012 23:11:28 -0800 (PST) Received-SPF: fail (google.com: le domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX comme expéditeur autorisé) client-ip = XXX.XXX.XXX.XXX; Résultats d'authentification: mx.google.com; spf = hardfail (google.com: le domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX comme expéditeur autorisé) [email protected] Reçu: avec MailEnable Postoffice Connector; Mar., 6 mars 2012 02:11:20 -0500 Reçu: de mail.lovingtour.com ([211.166.9.218]) par ms.externalemail.com avec MailEnable ESMTP; Mar., 6 mars 2012 02:11:10 -0500 Reçu: de l'utilisateur ([118.142.76.58]) par mail.lovingtour.com; Lun., 5 mars 2012 21:38:11 +0800 ID de message: <[email protected]> Répondre à: De: "[email protected]" Sujet: Notice Date: lun. 5 mars 2012 21:20:57 +0800 MIME-Version: 1.0 Type de contenu: multipart / mixed; frontière =”-- = _ NextPart_000_0055_01C2A9A6.1C1757C0" Priorité X: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produit par Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000

Le premier drapeau rouge est dans la zone d'informations du client. Notez ici que les métadonnées ajoutées font référence à Outlook Express. Il est peu probable que Visa soit aussi en retard sur le fait qu’une personne envoie manuellement des courriels à l’aide d’un client de messagerie âgé de 12 ans.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
En examinant maintenant le premier saut dans l’acheminement du courrier électronique, il apparaît que l’expéditeur était situé à l’adresse IP 118.142.76.58 et que son courrier électronique était relayé par le serveur de messagerie mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
En recherchant les informations IP à l'aide de l'utilitaire IPNetInfo de Nirsoft, nous pouvons voir que l'expéditeur était situé à Hong Kong et le serveur de messagerie en Chine.

Image

Inutile de dire que c'est un peu méfiant.

Les autres sauts de courrier électronique ne sont pas vraiment pertinents dans ce cas car ils montrent le courrier rebondissant autour du trafic de serveur légitime avant d'être finalement remis.

Examen d'un courrier électronique de phishing - Exemple 2

Pour cet exemple, notre courrier électronique de phishing est beaucoup plus convaincant. Il y a quelques indicateurs visuels ici si vous regardez assez, mais encore une fois, pour les besoins de cet article, nous allons limiter notre enquête aux en-têtes de courrier électronique.

Image

Livré à: [email protected] Reçu: avant le 10.60.14.3 avec l'identifiant SMTP l3csp15619oec; Mar., 6 mars 2012 04:27:20 -0800 (PST) Received: by 10.236.170.165 avec l'identifiant SMTP p25mr8672800yhl.123.1331036839870; Mar., 06 mars 2012 04:27:19 -0800 (PST) Chemin de retour: Reçu: de ms.externalemail.com (ms.externalemail.com. [XXX.XXX.XXX.XXX]) par mx.google.com avec l'identifiant ESMTP o2si20048188yhn.34.2012.03.06.04.27.19; Mar., 06 mars 2012 04:27:19 -0800 (PST) Received-SPF: fail (google.com: le domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX comme expéditeur autorisé) client-ip = XXX.XXX.XXX.XXX; Résultats d'authentification: mx.google.com; spf = hardfail (google.com: le domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX comme expéditeur autorisé) [email protected] Reçu: avec MailEnable Postoffice Connector; Mar., 6 mars 2012 07:27:13 -0500 Reçu: de dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) par ms.externalemail.com avec MailEnable ESMTP; Mar., 6 mars 2012 07:27:08 -0500 Reçu: de Apache par intuit.com avec local (Exim 4.67) (enveloppe-de ) id GJMV8N-8BERQW-93 pour ; Mar., 6 mars 2012 19:27:05 +0700 À: Objet: votre facture Intuit.com. X-PHP-Script: intuit.com/sendmail.php pour 118.68.152.212 De: "INTUIT INC." X-Sender: “INTUIT INC.” X-Mailer: PHP Priorité X: 1 MIME-Version: 1.0 Type de contenu: multipart / alternative; frontière = "---- 03060500702080404010506" ID du message: Date: mar., 6 mars 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000

Dans cet exemple, aucune application client de messagerie n'a été utilisée, mais un script PHP avec l'adresse IP source de 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Cependant, lorsque nous examinons le premier saut de courrier électronique, il semble légitime que le nom de domaine du serveur expéditeur corresponde à l’adresse électronique. Cependant, méfiez-vous de ceci car un spammeur pourrait facilement nommer son serveur «intuit.com».
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Examiner la prochaine étape détruit ce château de cartes. Vous pouvez voir que le deuxième saut (où il est reçu par un serveur de messagerie légitime) résout le serveur d'envoi en renvoyant le domaine «dynamic-pool-xxx.hcm.fpt.vn», et non «intuit.com» avec la même adresse IP. indiqué dans le script PHP.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
L’affichage des informations sur l’adresse IP confirme la suspicion de la localisation du serveur de messagerie au Viet Nam.

Bien que cet exemple soit un peu plus astucieux, vous pouvez voir à quelle vitesse la fraude est révélée avec seulement un peu d'enquête.

Conclusion

Bien que l’affichage des en-têtes d’e-mails ne fasse probablement pas partie de vos besoins quotidiens habituels, il existe des cas où les informations qu’ils contiennent peuvent être très utiles. Comme nous l'avons montré ci-dessus, vous pouvez facilement identifier les expéditeurs qui se font passer pour des masques. Pour une arnaque très bien exécutée où les repères visuels sont convaincants, il est extrêmement difficile (voire impossible) de se faire passer pour des serveurs de messagerie réels et une analyse des informations contenues dans les en-têtes de courrier électronique peut révéler rapidement tout stratagème.

Liens

Téléchargez IPNetInfo de Nirsoft