L'en-tête d'un mail fournit des informations qui permettent d'en savoir plus sur l'expéditeur de cet mail, un peu comme les cachets, timbres et adresses figurant sur une enveloppe postale. Ces données permettent d'identifier les véritables expéditeurs de spams ou de mails indésirables.
Les sujets abordés dans cette page :
analyser l'en-tête d'un mail
L'en-tête d'un message fournit des informations sur :
- le type de messagerie utilisé.
- l'adresse de messagerie de l'expéditeur (celle qu'il veut bien montrer).
- le sujet du message.
- le type de format du message.
- les différents serveurs traversés par ce message avec horodatage.
consulter les en-têtes des messages
Seules trois types d'information sont vraiment utiles pour authentifier la connexion à partir de laquelle a été envoyé le message. Il s'agit de : l'adresse IP, la date et l'heure de la connexion.
On trouve ces informations sur les lignes de l'en-tête commençant par received.
L'adresse IP de la connexion utilisée par l'expéditeur ainsi que les adresses des différents serveurs de messagerie traversés sont indiquées.
Attention : certaines adresses IP sont privées (elles sont de la forme 10.*.*.*, ou 192.168.*.*, ou 172.16.*.*) et ne sont pas utilisées sur internet, mais sur des réseaux locaux (exemples : intranet d'entreprises, postes de cybercafé etc.. ), vous ne devez donc pas en tenir compte pour identifier la source internet du message.
Les lignes received se lisent de bas en haut, c'est sur la ligne received du bas que l'on trouvera l'adresse IP horodatée de la connexion.
exemples d'analyses d'en-tête d'mails
Vous trouverez ci-dessous trois exemples d'en-tête pour du spam ou du phishing :
- exemple d'un abonné internet Orange à un autre abonné Internet Orange
- exemple d'un abonné internet Orange à un abonné à un autre fournisseur d'accès
- exemple d'un abonné à un autre fournisseur d'accès à un abonné internet Orange
identifiez le service "abuse" auprès duquel vous devez vous plaindre
exemple d'un abonné internet Orange écrivant à un autre abonné Internet Orange
|
From - Thu Mar 07 18:44:15 2002 X-UIDL: 385200fb0000186a X-Mozilla-Status: 0001 X-Mozilla-Status2: 00000000 Return-Path: |
Ce qui nous intéresse pour l'identification de l'expéditeur :
|
... Received: from mel-rta1.wanadoo.fr (192.168.156.9) by ms2-2.wanadoo.fr; 7 Mar 2002 18:39:41 +0100 Received: from wanadoo.fr (193.253.220.108) by mel-rta1.wanadoo.fr; 7 Mar 2002 18:38:30 +0100 ... |
La ligne received du bas indique que le message est envoyé de l'adresse IP 193.253.220.108 appartenant au domaine wanadoo.fr vers mel-rta1.wanadoo.fr, à la date du 7 mars 2002 à 18:38:30 GMT +1 (heure française).
C'est donc cette adresse IP (193.253.220.108) qui est à l'origine du message.
A partir de ces données on effectue une recherche sur les serveurs d'authentification pour savoir quel était le compte connecté à cette date/heure avec cette adresse IP.
La ligne received du haut indique que le message a ensuite été envoyé par mel-rta1.wanadoo.fr vers ms2-2.wanadoo.fr (serveur où sont stockés les messages des abonnés Wanadoo).
exemple d'un abonné à un autre fournisseur d'accès écrivant à un abonné internet Orange
Ce qui nous intéresse pour l'identification de l'expéditeur :
Voici comment interpréter ces informations, de bas en haut :
Received: from buro (nas-cbv-4-142-224.dial.proxad.net [62.147.142.224]) by postfix3-2.free.fr (Postfix) with SMTP id F3BCD17F75 for ; Wed, 13 Mar 2002 12:37:10 +0100 (CET)
Le message est parti de l'ordinateur (nommé buro) connecté avec l'adresse IP 62.147.142.224 vers le serveur de messagerie postfix3-2.free.fr pour un message à destination de xxxxxxxx@wanadoo.fr.
Received: from postfix3-2.free.fr (postfix3-2.free.fr [213.228.0.169]) by postfix1-1.free.fr (Postfix) with ESMTP ID D636B102F53 for ; Wed, 13 Mar 2002 12:37:11 +0100 (CET)
Trafic interne à la plate-forme de Free entre deux serveurs de messagerie appartenant à Free.fr.
Received: from postfix1-1.free.fr (213.228.0.2) by mel-rti4.wanadoo.fr; 13 Mar 2002 12:37:12 +0100
Message transmis de Free (postfix1-1.free.fr) à Wanadoo (mel-rti4.wanadoo.fr).
Received: from mel-rti4.wanadoo.fr (192.168.156.18) by ms2-2.wanadoo.fr; 13 Mar 2002 12:37:12 +0100
Trafic interne à la plate-forme Wanadoo entre le serveur smtp et la messagerie de l'abonné destinataire où le message est stocké.
exemple d'un abonné internet Orange écrivant à un abonné à un autre fournisseur d'accès
Ce qui nous intéresse pour l'identification de l'expéditeur :
Voici comment interpréter ces informations, de bas en haut :
Received: from buro (193.252.7.88) by mel-rta5.wanadoo.fr; 13 Mar 2002 16:03:27 +0100
Le message est parti de l'ordinateur (nommé buro) connecté avec l'adresse IP 193.252.7.88 vers le serveur de messagerie "mel-rta5.wanadoo.fr".
Received: from mel-rta5.wanadoo.fr (193.252.19.122) by mel-rto7.wanadoo.fr; 13 Mar 2002 16:03:47 +0100
Trafic interne à la plate-forme Internet Orange (anciennement Wanadoo) entre deux serveurs de messagerie appartenant à Orange.
Received: from smtp-out-7.wanadoo.fr (HELO mel-rto7.wanadoo.fr) (193.252.19.26) by mrelay2-1.free.fr with SMTP; 13 Mar 2002 15:03:48 -0000
Message transmis de Internet Orange (anciennement Wanadoo) (smtp-out-7.wanadoo.fr) à Free (mrelay2-1.free.fr) .
Dans les deux derniers cas, nous avons utilisé l'exemple de Free. Cela ne sous entend absolument pas que les abonnés de Free soient plus à l'origine de spam que d'autres.
porter plainte contre un spameur
page précédente retour à la liste des questions
