Que contient un en-tête d'e-mail et pourquoi devriez-vous vous en soucier?

Vous avez déjà reçu un spam ou un message de phishing d'une adresse e-mail que vous ne reconnaissez pas? Peut-être que quelqu'un vous a offert un voyage gratuit, vous a demandé de leur envoyer des bitcoins en échange de photos personnelles ou vous a simplement envoyé un e-mail marketing indésirable?

Vous êtes-vous demandé d'où venaient ces e-mails? Vous avez vu un spammeur usurper votre adresse e-mail et vous vous demandez comment il l'a fait?

L'usurpation d'e-mails, ou faire apparaître un e-mail comme si l'e-mail provenait d'une adresse différente de celle-ci (par exemple, un e-mail qui semble provenir de whitehouse.gov, mais qui provient en fait d'un escroc) est remarquablement facile.

Les protocoles de messagerie de base n'ont aucune méthode d'authentification, ce qui signifie que l'adresse `` de '' n'est en fait qu'un champ à remplir.

Habituellement, lorsque vous recevez un e-mail, cela ressemble à ceci:

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

En dessous se trouvent le sujet et le message.

Mais comment savoir d'où provient réellement cet e-mail? N'y a-t-il pas des données supplémentaires qui peuvent être analysées?

Ce que nous recherchons, ce sont les en-têtes complets des e-mails - ce que vous voyez ci-dessus n'est qu'un en-tête partiel. Ces données nous donneront des informations supplémentaires sur l'origine de l'e-mail et sur la manière dont il a atteint votre boîte de réception.

Si vous souhaitez consulter vos propres en-têtes de courrier électronique, voici comment y accéder sur Outlook et Gmail. La plupart des programmes de messagerie fonctionnent de la même manière et une simple recherche sur Google vous indiquera comment afficher les en-têtes sur d'autres services de messagerie.

Dans cet article, nous examinerons un ensemble d'en-têtes réels (bien qu'ils soient fortement rédigés - j'ai changé les noms d'hôte, les horodatages et les adresses IP).

Nous lirons les en-têtes de haut en bas, mais sachez que chaque nouveau serveur ajoute son en-tête en haut du corps de l'e-mail. Cela signifie que nous lirons chaque en-tête de l'agent de transfert de messages (MTA) final et travaillerons jusqu'au premier MTA pour accepter le message.

Transferts internes

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

Ce premier saut montre une ligne HTTPS, ce qui signifie que le serveur n'a pas reçu le message via SMTP standard et a plutôt créé le message à partir de l'entrée qu'il a reçue sur une application Web.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

Ce sont les deux premiers blocs d'en-tête des transferts de courrier internes. Vous pouvez dire que ceux-ci ont été reçus par les serveurs Office365 (outlook.com) et acheminés en interne vers le bon destinataire.

Vous pouvez également savoir que le message est envoyé via SMTP crypté. Vous le savez car l'en-tête répertorie «avec Microsoft SMTP Server», puis spécifie la version TLS qu'il utilise, ainsi que le chiffrement spécifique.

Le troisième bloc d'en-tête marque la transition d'un serveur de messagerie local vers un service de filtrage de courrier. Vous le savez car il est passé "via Frontend Transport" qui est un protocole spécifique à Microsoft Exchange (et donc ce n'était pas strictement SMTP).

Ce bloc comprend également certaines vérifications des e-mails. L'en-tête d'Outlook.com détaille leurs résultats SPF / DKIM / DMARC ici. Un softfail SPF signifie que cette adresse IP n'est pas autorisée à envoyer des e-mails au nom de gmail.com.

"dkim = pass" signifie que l'e-mail provient de son expéditeur présumé et n'a (très probablement) pas été modifié pendant le transit.  

DMARC est un ensemble de règles indiquant au serveur de messagerie comment interpréter les résultats SPF et DKIM. Passer signifie probablement que l'e-mail continue vers sa destination.

Pour en savoir plus sur SPF, DKIM et DMARC, consultez cet article.

Transition interne / externe

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

Il s'agit de l'enregistrement SPF de Google - indiquant au serveur de réception que l'e-mail indiquant qu'il provient de gmail.com provient d'un serveur approuvé par Google.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

Cela montre quelques vérifications SPF / DKIM / DMARC supplémentaires, ainsi que les résultats d'une analyse IronPort.

Ironport est un filtre de messagerie populaire utilisé par de nombreuses entreprises pour rechercher du spam, des virus et d'autres e-mails malveillants. Il analyse les liens et les pièces jointes dans l'e-mail et détermine si l'e-mail est malveillant (et doit être supprimé), s'il est probablement légitime et devrait être livré, ou s'il est suspect, auquel cas il peut joindre un en-tête au corps qui dit aux utilisateurs de se méfier de l'e-mail.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

Cette section montre les sauts internes que l'e-mail a prélevés depuis le périphérique initial de l'expéditeur via le système de routage de Gmail et vers l'environnement Outlook du destinataire. À partir de là, nous pouvons voir que l'expéditeur initial provenait d'un Macbook, utilisant un routeur domestique, avec Verizon Fios à New York.

Ceci est la fin des sauts montrant l'itinéraire emprunté par l'e-mail de l'expéditeur au destinataire. Au-delà, vous verrez le corps de l'e-mail (et les en-têtes que vous voyez généralement comme "de:", "à:", etc.), peut-être avec une mise en forme basée sur le type de média et le client de messagerie (par exemple, le Version MIME, type de contenu, limite, etc.). Il peut également contenir des informations sur l'agent utilisateur, qui sont des détails sur le type de périphérique qui a envoyé le message.

Dans ce cas, nous savons déjà que l'appareil d'envoi était un Macbook en raison de la convention de dénomination d'Apple, mais il peut également contenir des détails sur le type de processeur, la version, même le navigateur et la version qui ont été installés sur l'appareil.

Dans certains cas, mais pas tous, il peut également contenir l'adresse IP de l'appareil d'envoi (bien que de nombreux fournisseurs masquent ces informations sans assignation).

Que peuvent vous dire les en-têtes d'e-mails?

Les en-têtes d'e-mail peuvent aider à identifier lorsque les e-mails ne sont pas envoyés par leurs prétendus expéditeurs. Ils peuvent fournir des informations sur l'expéditeur - bien que cela ne soit généralement pas suffisant pour identifier le véritable expéditeur.

Les forces de l'ordre peuvent souvent utiliser ces données pour assigner les informations au bon FAI, mais le reste d'entre nous peut principalement les utiliser pour informer les enquêtes, généralement sur le phishing.

Ce processus est rendu plus difficile par le fait que les en-têtes peuvent être simulés par des serveurs malveillants ou des pirates. Sans contacter le propriétaire de chaque serveur et vérifier individuellement que les en-têtes de votre e-mail correspondent à leurs journaux SMTP, ce qui est laborieux et prend du temps, vous ne serez pas certain que les en-têtes sont exacts (autres que les en-têtes attachés par vos propres serveurs de messagerie).

Sans contacter le propriétaire de chaque serveur et vérifier individuellement que les en-têtes de votre e-mail correspondent à leurs journaux SMTP, ce qui est laborieux et prend du temps, vous ne serez pas certain que les en-têtes sont tous exacts.

DKIM, DMARC et SPF peuvent tous aider dans ce processus, mais ils ne sont pas parfaits, et sans eux, il n'y a aucune vérification.

Vous ne voulez pas analyser vos propres en-têtes? Ce site le fera pour vous.