Le simple fait qu’un e-mail intitulé [email protected] apparaisse dans votre boîte de réception ne signifie pas que Bill y est pour quelque chose. Continuez à lire pendant que nous explorons comment creuser et voir d'où venait un courrier électronique suspect.
La séance de questions et réponses d’aujourd’hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses animé par la communauté.
La question
Le lecteur de SuperUser, Sirwan, veut savoir comment l’origine des courriels est réelle:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Jetons un coup d’œil à ces en-têtes de courrier électronique.
Les réponses
Le contributeur de SuperUser, Tomas, offre une réponse très détaillée et perspicace:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
Ensuite, le courrier électronique complet et ses en-têtes s'ouvriront:Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Les en-têtes doivent être lus chronologiquement de bas en haut - les plus anciens sont en bas. Chaque nouveau serveur en route ajoutera son propre message - en commençant par
Received
. Par exemple:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Cela dit que
mx.google.com
a reçu le courrier de
maxipes.logix.cz
à
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Maintenant, pour trouver leréal En tant qu’expéditeur de votre courrier électronique, votre objectif est de trouver la dernière passerelle de confiance - la dernière lors de la lecture des en-têtes à partir du haut, c’est-à-dire la première dans l’ordre chronologique. Commençons par trouver le serveur de messagerie de Bill. Pour cela, vous interrogez l'enregistrement MX pour le domaine. Vous pouvez utiliser certains outils en ligne, ou sous Linux, vous pouvez l'interroger en ligne de commande (notez que le vrai nom de domaine a été changé en
Donc, vous voyez le serveur de messagerie pour domain.com est
maxipes.logix.cz
ou
broucek.logix.cz
. Par conséquent, le dernier (le premier "saut" de confiance chronologiquement) - ou le dernier "enregistrement reçu" de confiance ou peu importe comment vous l'appelez - est celui-ci:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Vous pouvez avoir confiance en cela car cela a été enregistré par le serveur de messagerie de Bill pour
domain.com
. Ce serveur l'a reçu de
209.86.89.64
. Cela pourrait être, et est très souvent, le véritable expéditeur du courrier électronique - dans ce cas l’escroc! Vous pouvez vérifier cette adresse IP sur une liste noire. - Tu vois, il est inscrit dans 3 listes noires! Il y a encore un autre enregistrement en dessous:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
mais vous ne pouvez vraiment pas y croire, car cela pourrait simplement être ajouté par l’escroc pour effacer ses traces et / oujeter une fausse piste. Bien sûr, il est toujours possible que le serveur
209.86.89.64
est innocent et n’a agi que comme un relais pour le véritable attaquant de
168.62.170.129
mais alors le relais est souvent considéré comme coupable et est très souvent sur une liste noire. Dans ce cas,
168.62.170.129
est propre afin que nous puissions être presque sûrs que l'attaque a été faite de
209.86.89.64
Et bien sûr, sachant qu'Alice utilise Yahoo! et
elasmtp-curtail.atl.sa.earthlink.net
n'est pas sur Yahoo! réseau (vous voudrez peut-être vérifier à nouveau ses informations IP Whois), nous pouvons sans risque en conclure que cet e-mail n'a pas été envoyé par Alice et que nous ne devrions pas lui envoyer d'argent pour ses vacances déclarées aux Philippines.
Deux autres contributeurs, Ex Umbris et Vijay, ont recommandé respectivement les services suivants pour aider au décodage des en-têtes de courrier électronique: SpamCop et l’outil d’analyse des en-têtes de Google.
Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.
Ne pas se laisser distancer par d’autres terribles fabricants de PC, HP installe discrètement, depuis au moins le 15 novembre 2017, un service de télémétrie appelé «HP Touchpoint Manager» sur ses PC. généralement embarrasser les PC.
Vous avez peut-être entendu beaucoup de nouvelles récemment sur les fournisseurs de services Internet qui suivent votre historique de navigation et vendent toutes vos données. Qu'est-ce que cela signifie et comment pouvez-vous vous protéger au mieux?
C’est une chose d’installer une application que vous voulez, c’est autre chose quand une application se retrouve non seulement sur votre ordinateur, mais qu’elle s’affiche en permanence et vous irrite. Continuez à lire alors que nous aidons un autre lecteur à aller au fond de son mystère contextuel et à le bannir.
Vous venez de recevoir votre nouvel appareil Windows 10 Mobile et vous souhaitez installer une application avec lampe de poche? Pas besoin, il y a une nouvelle fonctionnalité de lampe de poche dans Windows 10 Mobile.
