La séance de questions et réponses d’aujourd’hui nous est offerte par SuperUser, une sous-division de Stack Exchange, un groupe de sites Web de questions-réponses animé par la communauté.
La question
Le lecteur de SuperUser, Sirwan, veut savoir comment l’origine des courriels est réelle:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Jetons un coup d’œil à ces en-têtes de courrier électronique.
Les réponses
Le contributeur de SuperUser, Tomas, offre une réponse très détaillée et perspicace:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
prétendant qu'il est
. Notez que Bill a transmis à
Tout d'abord, dans Gmail, utilisez
show original
:
Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Les en-têtes doivent être lus chronologiquement de bas en haut - les plus anciens sont en bas. Chaque nouveau serveur en route ajoutera son propre message - en commençant par
Received
. Par exemple:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Cela dit que
mx.google.com
a reçu le courrier de
maxipes.logix.cz
à
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Maintenant, pour trouver leréal En tant qu’expéditeur de votre courrier électronique, votre objectif est de trouver la dernière passerelle de confiance - la dernière lors de la lecture des en-têtes à partir du haut, c’est-à-dire la première dans l’ordre chronologique. Commençons par trouver le serveur de messagerie de Bill. Pour cela, vous interrogez l'enregistrement MX pour le domaine. Vous pouvez utiliser certains outils en ligne, ou sous Linux, vous pouvez l'interroger en ligne de commande (notez que le vrai nom de domaine a été changé en
domain.com
):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Donc, vous voyez le serveur de messagerie pour domain.com est
maxipes.logix.cz
ou
broucek.logix.cz
. Par conséquent, le dernier (le premier "saut" de confiance chronologiquement) - ou le dernier "enregistrement reçu" de confiance ou peu importe comment vous l'appelez - est celui-ci:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Vous pouvez avoir confiance en cela car cela a été enregistré par le serveur de messagerie de Bill pour
domain.com
. Ce serveur l'a reçu de
209.86.89.64
. Cela pourrait être, et est très souvent, le véritable expéditeur du courrier électronique - dans ce cas l’escroc! Vous pouvez vérifier cette adresse IP sur une liste noire. - Tu vois, il est inscrit dans 3 listes noires! Il y a encore un autre enregistrement en dessous:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
mais vous ne pouvez vraiment pas y croire, car cela pourrait simplement être ajouté par l’escroc pour effacer ses traces et / oujeter une fausse piste. Bien sûr, il est toujours possible que le serveur
209.86.89.64
est innocent et n’a agi que comme un relais pour le véritable attaquant de
168.62.170.129
mais alors le relais est souvent considéré comme coupable et est très souvent sur une liste noire. Dans ce cas,
168.62.170.129
est propre afin que nous puissions être presque sûrs que l'attaque a été faite de
209.86.89.64
Et bien sûr, sachant qu'Alice utilise Yahoo! et
elasmtp-curtail.atl.sa.earthlink.net
n'est pas sur Yahoo! réseau (vous voudrez peut-être vérifier à nouveau ses informations IP Whois), nous pouvons sans risque en conclure que cet e-mail n'a pas été envoyé par Alice et que nous ne devrions pas lui envoyer d'argent pour ses vacances déclarées aux Philippines.
Deux autres contributeurs, Ex Umbris et Vijay, ont recommandé respectivement les services suivants pour aider au décodage des en-têtes de courrier électronique: SpamCop et l’outil d’analyse des en-têtes de Google.
Avez-vous quelque chose à ajouter à l'explication? Sound off dans les commentaires. Voulez-vous lire plus de réponses d'autres utilisateurs de Stack Exchange doués en technologie? Découvrez le fil de discussion complet ici.