Messagerie mail Orange : identifier l'expéditeur d'un email

Trois types d'informations permettent d'identifier les expéditeurs de spam ou d'emails indésirables : l'adresse IP, la date et l'heure de la connexion. On trouve ces informations sur les lignes de l'en-tête d'un email commençant par received.

L'en-tête d'un email indique les informations sur :

  • Le type de messagerie utilisé.
  • L'adresse mail de l'expéditeur (celle qu'il veut bien montrer).
  • L'objet de l'email.
  • Le type de format de l'email
  • Les différents serveurs traversés, avec horodatage.

L'adresse IP de la connexion utilisée par l'expéditeur ainsi que les adresses des différents serveurs de messagerie traversés sont indiquées.

Attention : certaines adresses IP sont privées (elles sont de la forme 10.*.*.*, ou 192.168.*.*, ou 172.16.*.*) et ne sont pas utilisées sur internet, mais sur des réseaux locaux (exemples : intranet d'entreprises, postes de cybercafé etc.. ). Vous ne devez donc pas en tenir compte pour identifier la source internet de l'email.

visuel phishing
Exemple d'un client Orange écrivant à un autre client Orange

---
From - Thu Mar 07 18:44:15 2002
X-UIDL: 385200fb0000186a
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path:
---

Ce qui nous intéresse pour l'identification de l'expéditeur :

...
Received: from mel-rta1.wanadoo.fr (192.168.156.9) by ms2-2.wanadoo.fr; 7 Mar 2002 18:39:41 +0100
Received: from wanadoo.fr (193.253.220.108) by mel-rta1.wanadoo.fr; 7 Mar 2002 18:38:30 +0100
 ...

La ligne received du bas indique que l'email est envoyé de l'adresse IP 193.253.220.108 appartenant au domaine wanadoo.fr vers mel-rta1.wanadoo.fr, à la date du 7 mars 2002 à 18:38:30 GMT +1 (heure française).
C'est donc cette adresse IP (193.253.220.108) qui est à l'origine de l'email.
À partir de ces données, on effectue une recherche sur les serveurs d'authentification pour savoir quel était le compte connecté à cette date/heure avec cette adresse IP.

La ligne received du haut indique que l'email a ensuite été envoyé par mel-rta1.wanadoo.fr vers ms2-2.wanadoo.fr (serveur où sont stockés les emails des clients Wanadoo).

Remarque : les lignes received se lisent de bas en haut, c'est sur la ligne received du bas que l'on trouvera l'adresse IP horodatée de la connexion.

Exemple d'un client d'un autre fournisseur d'accès écrivant à un client Orange
Ce qui nous intéresse pour l'identification de l'expéditeur

Voici comment interpréter ces informations, de bas en haut :

  • Received: from buro (nas-cbv-4-142-224.dial.proxad.net [62.147.142.224]) by postfix3-2.free.fr (Postfix) with SMTP id F3BCD17F75 for ; Wed, 13 Mar 2002 12:37:10 +0100 (CET)

L'email est parti de l'ordinateur (nommé buro) connecté avec l'adresse IP 62.147.142.224 vers le serveur de messagerie postfix3-2.free.fr pour un email à destination de xxxxxxxx@wanadoo.fr.

  • Received: from postfix3-2.free.fr (postfix3-2.free.fr [213.228.0.169]) by postfix1-1.free.fr (Postfix) with ESMTP ID D636B102F53 for ; Wed, 13 Mar 2002 12:37:11 +0100 (CET)

Trafic interne à la plate-forme de Free entre deux serveurs de messagerie appartenant à Free.fr.

  • Received: from postfix1-1.free.fr (213.228.0.2) by mel-rti4.wanadoo.fr; 13 Mar 2002 12:37:12 +0100

Email transmis de Free (postfix1-1.free.fr) à Wanadoo (mel-rti4.wanadoo.fr).

  • Received: from mel-rti4.wanadoo.fr (192.168.156.18) by ms2-2.wanadoo.fr; 13 Mar 2002 12:37:12 +0100

Trafic interne à la plate-forme Wanadoo entre le serveur smtp et la messagerie du client destinataire où l'email est stocké.

Exemple d'un client Orange écrivant à un client d'un autre fournisseur d'accès internet
Ce qui nous intéresse pour l'identification de l'expéditeur

Voici comment interpréter ces informations, de bas en haut :

  • Received: from buro (193.252.7.88) by mel-rta5.wanadoo.fr; 13 Mar 2002 16:03:27 +0100

L'email est parti de l'ordinateur (nommé buro) connecté avec l'adresse IP 193.252.7.88 vers le serveur de messagerie "mel-rta5.wanadoo.fr".

  • Received: from mel-rta5.wanadoo.fr (193.252.19.122) by mel-rto7.wanadoo.fr; 13 Mar 2002 16:03:47 +0100

Trafic interne à la plate-forme Internet Orange (anciennement Wanadoo) entre deux serveurs de messagerie appartenant à Orange.

  • Received: from smtp-out-7.wanadoo.fr (HELO mel-rto7.wanadoo.fr) (193.252.19.26) by mrelay2-1.free.fr with SMTP; 13 Mar 2002 15:03:48 -0000

Email transmis de Internet Orange (anciennement Wanadoo) (smtp-out-7.wanadoo.fr) à Free (mrelay2-1.free.fr).