Messagerie mail Orange : identifier l'expéditeur d'un message

Trois types d'information permettent d'identifier les expéditeurs de spams ou de mails indésirables : l'adresse IP, la date et l'heure de la connexion. On trouve ces informations sur les lignes de l'en-tête d'un mail commençant par received.

L'en-tête d'un message fournit des informations sur :

  • Le type de messagerie utilisé.
  • L'adresse de messagerie de l'expéditeur (celle qu'il veut bien montrer).
  • Le sujet du message.
  • Le type de format du message.
  • Les différents serveurs traversés par ce message avec horodatage.

L'adresse IP de la connexion utilisée par l'expéditeur ainsi que les adresses des différents serveurs de messagerie traversés sont indiquées.

attention : certaines adresses IP sont privées (elles sont de la forme 10.*.*.*, ou 192.168.*.*, ou 172.16.*.*) et ne sont pas utilisées sur internet, mais sur des réseaux locaux (exemples : intranet d'entreprises, postes de cybercafé etc.. ). Vous ne devez donc pas en tenir compte pour identifier la source internet du message.

visuel phishing
exemple d'un abonné internet Orange écrivant à un autre abonné internet Orange

---
From - Thu Mar 07 18:44:15 2002
X-UIDL: 385200fb0000186a
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path:
---

Ce qui nous intéresse pour l'identification de l'expéditeur :

...
Received: from mel-rta1.wanadoo.fr (192.168.156.9) by ms2-2.wanadoo.fr; 7 Mar 2002 18:39:41 +0100
Received: from wanadoo.fr (193.253.220.108) by mel-rta1.wanadoo.fr; 7 Mar 2002 18:38:30 +0100
 ...

La ligne received du bas indique que le message est envoyé de l'adresse IP 193.253.220.108 appartenant au domaine wanadoo.fr vers mel-rta1.wanadoo.fr, à la date du 7 mars 2002 à 18:38:30 GMT +1 (heure française).
C'est donc cette adresse IP (193.253.220.108) qui est à l'origine du message.
À partir de ces données, on effectue une recherche sur les serveurs d'authentification pour savoir quel était le compte connecté à cette date/heure avec cette adresse IP.

La ligne received du haut indique que le message a ensuite été envoyé par mel-rta1.wanadoo.fr vers ms2-2.wanadoo.fr (serveur où sont stockés les messages des abonnés Wanadoo).

remarque : les lignes received se lisent de bas en haut, c'est sur la ligne received du bas que l'on trouvera l'adresse IP horodatée de la connexion.

exemple d'un abonné à un autre fournisseur d'accès écrivant à un abonné internet Orange
ce qui nous intéresse pour l'identification de l'expéditeur

Voici comment interpréter ces informations, de bas en haut :
Received: from buro (nas-cbv-4-142-224.dial.proxad.net [62.147.142.224]) by postfix3-2.free.fr (Postfix) with SMTP id F3BCD17F75 for ; Wed, 13 Mar 2002 12:37:10 +0100 (CET)

Le message est parti de l'ordinateur (nommé buro) connecté avec l'adresse IP 62.147.142.224 vers le serveur de messagerie postfix3-2.free.fr pour un message à destination de xxxxxxxx@wanadoo.fr.

Received: from postfix3-2.free.fr (postfix3-2.free.fr [213.228.0.169]) by postfix1-1.free.fr (Postfix) with ESMTP ID D636B102F53 for ; Wed, 13 Mar 2002 12:37:11 +0100 (CET)

Trafic interne à la plate-forme de Free entre deux serveurs de messagerie appartenant à Free.fr.
Received: from postfix1-1.free.fr (213.228.0.2) by mel-rti4.wanadoo.fr; 13 Mar 2002 12:37:12 +0100
Message transmis de Free (postfix1-1.free.fr) à Wanadoo (mel-rti4.wanadoo.fr).
Received: from mel-rti4.wanadoo.fr (192.168.156.18) by ms2-2.wanadoo.fr; 13 Mar 2002 12:37:12 +0100

Trafic interne à la plate-forme Wanadoo entre le serveur smtp et la messagerie de l'abonné destinataire où le message est stocké.

exemple d'un abonné internet Orange écrivant à un abonné à un autre fournisseur d'accès
ce qui nous intéresse pour l'identification de l'expéditeur

Voici comment interpréter ces informations, de bas en haut :
Received: from buro (193.252.7.88) by mel-rta5.wanadoo.fr; 13 Mar 2002 16:03:27 +0100

Le message est parti de l'ordinateur (nommé buro) connecté avec l'adresse IP 193.252.7.88 vers le serveur de messagerie "mel-rta5.wanadoo.fr".
Received: from mel-rta5.wanadoo.fr (193.252.19.122) by mel-rto7.wanadoo.fr; 13 Mar 2002 16:03:47 +0100

Trafic interne à la plate-forme Internet Orange (anciennement Wanadoo) entre deux serveurs de messagerie appartenant à Orange.

Received: from smtp-out-7.wanadoo.fr (HELO mel-rto7.wanadoo.fr) (193.252.19.26) by mrelay2-1.free.fr with SMTP; 13 Mar 2002 15:03:48 -0000

Message transmis de Internet Orange (anciennement Wanadoo) (smtp-out-7.wanadoo.fr) à Free (mrelay2-1.free.fr).

remarque : dans les deux derniers cas, nous avons utilisé l'exemple de Free. Cela ne sous-entend absolument pas que les abonnés de Free soient plus à l'origine de spam que d'autres.