Comment puis-je savoir d'où provient réellement un courriel ? Y a-t-il un moyen de le découvrir ?
J'ai entendu parler des en-têtes de courriel, mais je ne sais pas où je peux voir les en-têtes de courriel, par exemple dans Gmail. Vous avez besoin d'aide ?
Voir ci-dessous un exemple d'une arnaque qui m'a été envoyée, prétendant venir de mon amie, affirmant qu'elle a été volée et me demandant une aide financière. J'ai changé les noms - je suis “Bill”, et l'arnaqueur a envoyé un courriel à bill@domain.com, en prétendant être alice@yahoo.com. Notez que Bill fait suivre son courriel à bill@gmail.com.
D'abord, dans Gmail, cliquez sur show original :
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
L'e-mail complet et ses en-têtes s'ouvriront :
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Les en-têtes doivent être lus chronologiquement de bas en haut - les plus anciens se trouvent en bas. Chaque nouveau serveur en cours de route ajoute son propre message - en commençant par Received. Par exemple :
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
Cela indique que mx.google.com a reçu le courrier de maxipes.logix.cz à Mon, 08 Jul 2013 04:11:00 -0700 (PDT).
Maintenant, pour trouver l'expéditeur réel de votre courrier électronique, vous devez trouver la première passerelle de confiance - la dernière en lisant les en-têtes du haut. Commençons par trouver le serveur de messagerie de Bill. Pour cela, interrogez l'enregistrement MX du domaine. Vous pouvez utiliser des outils en ligne comme Mx Toolbox , ou sous Linux vous pouvez l'interroger en ligne de commande (notez que le vrai nom de domaine a été changé en domain.com) :
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Et vous verrez que le serveur de messagerie pour domain.com est maxipes.logix.cz ou broucek.logix.cz. Par conséquent, le dernier (premier chronologiquement) “saut” de confiance - ou le dernier “enregistrement reçu” de confiance ou quel que soit le nom que vous lui donnez - est celui-ci :
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Vous pouvez vous y fier car il a été enregistré par le serveur de messagerie de Bill pendant domain.com. Ce serveur l'a reçu de 209.86.89.64. Cela pourrait être, et est très souvent, le véritable expéditeur du courrier électronique - dans ce cas, l'arnaqueur ! Vous pouvez vérifier cette IP sur une liste noire . - Vous voyez, il est répertorié dans 3 listes noires ! Il y a encore un autre enregistrement en dessous :
Mais attention, il s'agit bien de la véritable source du courriel. La plainte sur la liste noire pourrait être ajoutée par l'arnaqueur pour effacer ses traces et/ou jeter une fausse piste. Il est toujours possible que le serveur 209.86.89.64 soit innocent et qu'il ne soit qu'un relais pour le véritable attaquant à 168.62.170.129. Dans ce cas, 168.62.170.129 est propre donc on peut être presque certain que l'attaque a été faite à partir de 209.86.89.64.
Un autre point à garder à l'esprit est qu'Alice utilise Yahoo ! (alice@yahoo.com) et que elasmtp-curtail.atl.sa.earthlink.net n'est pas sur le réseau Yahoo ! (vous voudrez peut-être revérifier ses informations Whois IP ). Nous pouvons donc conclure sans risque que ce courriel n'est pas d'Alice et que nous ne devrions pas lui envoyer d'argent aux Philippines.
Pour trouver l'adresse IP :
Cliquez sur le triangle inversé à côté de Répondre. Sélectionnez Afficher l'original.
Cherchez Received: from suivi de l'adresse IP entre crochets []. (exemple : Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)
Si vous trouvez plus d'un Received : from patterns, sélectionnez le dernier.
Source )
Après cela, vous pouvez utiliser site pythonclub , iplocation.net ou ip lookup pour trouver l'emplacement.
La façon d'accéder aux en-têtes varie selon les clients de messagerie. De nombreux clients vous permettront de voir facilement le format original du message. D'autres (MicroSoft Outlook) rendent la tâche plus difficile.
Pour déterminer qui a réellement envoyé le message, le chemin de retour est utile. Cependant, il peut être falsifié. Une adresse de retour qui ne correspond pas à l'adresse de départ est suspecte. Il existe des raisons légitimes pour qu'elles soient différentes, comme les messages transmis à partir de listes de diffusion ou les liens envoyés à partir de sites web. (Il serait préférable que le site web utilise l'adresse de réponse pour identifier la personne qui transmet le lien).
Pour déterminer l'origine du message lu de haut en bas à travers les en-têtes reçus. Il peut y en avoir plusieurs. La plupart auront l'adresse IP du serveur sur lequel ils ont reçu le formulaire de message. Vous rencontrerez certains problèmes :
Vous devriez toujours être en mesure de déterminer quel serveur sur Internet vous a envoyé le message. Pour remonter plus loin dans le temps, cela dépend de la configuration des serveurs d'envoi.
J'utilise http://whatismyipaddress.com/trace-email . Si vous utilisez Gmail, cliquez sur Afficher l'original (sur Plus, à côté du bouton Répondre, copiez les en-têtes, collez-les sur ce site et cliquez sur Obtenir la source. Vous obtiendrez en retour les informations de géolocalisation et la carte
Il existe également des outils permettant d'analyser les en-têtes de courrier électronique et d'extraire les données du courrier électronique pour vous, par exemple :
MSGTAG
PoliteMail
Super Email Marketing Software
Zendio