25Aug
Chaque fois que vous recevez un e-mail, il y a beaucoup plus que ce qui vous vient à l'esprit. Alors que vous ne faites généralement attention qu'à l'adresse, à la ligne d'objet et au corps du message, il y a beaucoup plus d'informations disponibles "sous le capot" de chaque e-mail qui peut vous fournir une foule d'informations supplémentaires.
Pourquoi s'embêter à regarder un en-tête d'email?
C'est une très bonne question. Pour la plupart, vous n'en aurez jamais besoin sauf si:
- Vous soupçonnez qu'un email est une tentative de phishing ou un usurpation
- Vous voulez voir les informations de routage sur le chemin de l'email
- Vous êtes un curieux
Quelles que soient vos raisons, lireles en-têtes d'email est en fait assez facile et peut être très révélateur.
Note de l'article: Pour nos captures d'écran et nos données, nous utiliserons Gmail, mais pratiquement tous les autres clients de messagerie devraient fournir ces mêmes informations.
Affichage de l'en-tête de l'e-mail
Dans Gmail, affichez l'e-mail. Pour cet exemple, nous utiliserons l'email ci-dessous.
Cliquez ensuite sur la flèche dans le coin supérieur droit et sélectionnez Afficher l'original.
La fenêtre résultante aura les données d'en-tête de l'email en texte brut.
Note: Dans toutes les données d'en-tête d'email que je montre ci-dessous j'ai changé mon adresse Gmail pour montrer comme [email protected] et mon adresse électronique externe pour montrer comme [email protected] et [email protected] ainsi que masqué l'adresse IP de mes serveurs de messagerie.
Delivered-To: [email protected]
Reçu: par 10.60.14.3 avec l'identificateur SMTP l3csp18666oec;
Mar, 6 Mar 2012 08:30:51 -0800( PST)
Reçu: par 10.68.125.129 avec l'ID SMTP mq1mr1963003pbb.21.1331051451044;
Mar, 06 Mar 2012 08:30:51 -0800( PST)
Chemin de retour: & lt; [email protected]>
Reçu: à partir de exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
par mx.google.com avec l'identificateur SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Mar, 06 Mar 2012 08:30:50 -0800( PST)
Reçu-SPF: neutre( google.com: 64.18.2.16 n'est ni permis, ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) client-ip = 64,18.2.16;
Authentification-Résultats: mx.google.com;spf = neutre( google.com: 64.18.2.16 n'est ni permis, ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) [email protected]
Reçu: de mail.externalemail.com( [XXX.XXX.XXX.XXX])( en utilisant TLSv1) par exprod7ob119.postini.com( [64.18.6.12]) avec SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Mar, 06 Mar 2012 08:30:50 PST
Reçu: de MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) par
MYSERVER.myserver.local( [fe80: : a805: c335:8c71: cdb3% 11]) avec mapi;Mar, 6 Mar
2012 11:30:48 -0500
De: Jason Faulkner & lt; [email protected]>
À: "[email protected]" & lt; [email protected]>
Date: Mar, 6 Mar 2012 11:30:48 -0500
Objet: Ceci est un email légitime
Discussion: Ceci est un email légitime
Index de Discussion: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q == Message
-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: fr-FR
Content-Language: fr-FR
X-MS-Has-Attache:
X-MS-TNEF-Corrélateur:
acceptlanguage: fr-FR
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0
Lorsque vous lisez un en-tête d'email, les données sont dans l'ordre chronologique inverse, ce qui signifie que l'info en haut est l'événement le plus récent. Donc, si vous voulez tracer l'email de l'expéditeur au destinataire, commencez en bas. En examinant les en-têtes de cet e-mail, nous pouvons voir plusieurs choses.
Ici, nous voyons des informations générées par le client envoyant. Dans ce cas, l'e-mail a été envoyé à partir d'Outlook. Il s'agit donc des métadonnées ajoutées par Outlook.
De: Jason Faulkner & lt; [email protected]>
À: "[email protected]" & lt; [email protected]>
Date: Mar, 6 Mar 2012 11:30:48 -0500
Sujet: Ceci est un email légitime
Thread-Topic: Ceci est un email légitime
Thread-Index: Acz7tnUyKZWWCcrUQ +++ QVd6awhl + Q ==
Message-ID: & lt; 682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local>
Accept-Language: fr-FR
Content-Language: fr-FR
X-MS-Has-Attache:
X-MS-TNEF-Corrélateur:
acceptlanguage: fr-FR
Content-Type: multipart / alternative;
boundary = "_ 000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_"
MIME-Version: 1.0
La partie suivante trace le chemin que le courrier électronique prend du serveur d'envoi au serveur de destination. Gardez à l'esprit ces étapes( ou sauts) sont répertoriés dans l'ordre chronologique inverse. Nous avons placé le numéro respectif à côté de chaque saut pour illustrer l'ordre. Notez que chaque saut montre des détails sur l'adresse IP et le nom DNS inverse respectif.
Delivered-To: [email protected]
[6] Reçu: par 10.60.14.3 avec l'identificateur SMTP l3csp18666oec;
Mar, 6 Mar 2012 08:30:51 -0800( PST)
[5] Reçu: par 10.68.125.129 avec l'ID SMTP mq1mr1963003pbb.21.1331051451044;
Mar, 06 Mar 2012 08:30:51 -0800( PST)
Chemin de retour: & lt; [email protected]>
[4] Reçu: de exprod7og119.obsmtp.com( exprod7og119.obsmtp.com. [64.18.2.16])
par mx.google.com avec l'identificateur SMTP l7si25161491pbd.80.2012.03.06.08.30.49;
Mar, 06 Mar 2012 08:30:50 -0800( PST)
[3] Reçu-SPF: neutre( google.com: 64.18.2.16 n'est ni permis, ni refusé par le meilleur enregistrement de conjecture pour le domaine de jfaulkner @ externalemail.com) client-ip = 64.18.2.16;
Authentication-Results: mx.google.com;spf = neutre( google.com: 64.18.2.16 n'est ni permis, ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) [email protected]
[2] Reçu: de mail.externalemail.com( [XXX.XXX.XXX.XXX])( en utilisant TLSv1) par exprod7ob119.postini.com( [64.18.6.12]) avec SMTP
ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected];Mar, 06 Mar 2012 08:30:50 PST
[1] Reçu: de MYSERVER.myserver.local( [fe80: : a805: c335: 8c71: cdb3]) par
MYSERVER.myserver.local( [fe80: :a805: c335: 8c71: cdb3% 11]) avec mapi;Mar, 6 Mar
2012 11:30:48 -0500
Bien que ce soit un peu banal pour un e-mail légitime, cette information peut être très révélatrice quand il s'agit d'examiner le spam ou les courriels d'hameçonnage.
Examen d'un email d'hameçonnage - Exemple 1
Pour notre premier exemple d'hameçonnage, nous allons examiner un e-mail qui est une tentative d'hameçonnage évidente. Dans ce cas, nous pourrions identifier ce message comme une fraude simplement par les indicateurs visuels, mais pour la pratique, nous examinerons les signes avant-coureurs dans les en-têtes.
Livré-À: [email protected]
Reçu: par 10.60.14.3 avec l'ID SMTP l3csp12958oec;
lun, 5 mars 2012 23:11:29 -0800( PST)
Reçu: par 10.236.46.164 avec l'ID SMTP r24mr7411623yhb.101.1331017888982;
lun, 05 mars 2012 23:11:28 -0800( PST)
Chemin de retour: & lt; [email protected]>
Reçu: à partir de ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
par mx.google.com avec ID ESMTP t19si8451178ani.110.2012.03.05.23.11.28;
lun, 05 mars 2012 23:11:28 -0800( PST)
Reçu-SPF: échouer( google.com: domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX en tant qu'expéditeur autorisé)ip = XXX.XXX.XXX.XXX;
Authentification-Résultats: mx.google.com;spf = hardfail( google.com: domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX en tant qu'expéditeur autorisé) [email protected]
Reçu: avec MailEnable Postoffice Connector;Mar, 6 Mar 2012 02:11:20 -0500
Reçu: de mail.lovingtour.com( [211.166.9.218]) par ms.externalemail.com avec MailEnable ESMTP;Mar, 6 Mar 2012 02:11:10 -0500
Reçu: de Utilisateur( [118.142.76.58])
par mail.lovingtour.com
;Mon, 5 Mars 2012 21:38:11 +0800
Message-ID: & lt; [email protected]>
Répondre à: & lt; [email protected]>
De: "[email protected]" & lt; [email protected]>
Sujet: Avis
Date: lun, 5 mars 2012 21:20:57 +0800
MIME-Version: 1.0
Type de contenu: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorité X: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: produit par Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayésien: 0.000000
Le premier drapeau rouge se trouve dans la zone d'information du client. Notez ici les références ajoutées aux métadonnées Outlook Express. Il est peu probable que Visa soit si loin derrière le temps que quelqu'un envoie manuellement des courriels à l'aide d'un client de messagerie âgé de 12 ans.
Répondre à: & lt; [email protected]>
De: "[email protected]" & lt; [email protected]>
Objet: Avis
Date: lun, 5 mars 2012 21:20:57 +0800
Version MIME: 1.0
Type de contenu: multipart / mixed;
boundary = "- = _ NextPart_000_0055_01C2A9A6.1C1757C0"
Priorité X: 3
X-MSMail-priorité: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: produit par Microsoft MimeOLE V6.00.2600.0000
X-ME-Bayesian: 0.000000
Maintenant, en examinant le premier saut dans le routage de courrier électronique révèle que l'expéditeur était situé à l'adresse IP 118.142.76.58 et leur courrier électronique a été relayé par le serveur mail mail.lovingtour.com.
Reçu: de l'utilisateur( [118.142.76.58])
par mail.lovingtour.com
;Mon, 5 Mars 2012 21:38:11 +0800
Recherche de l'information IP en utilisant l'utilitaire IPNetInfo de Nirsoft, nous pouvons voir que l'expéditeur était situé à Hong Kong et le serveur de messagerie est situé en Chine.
Inutile de dire que c'est un peu suspect.
Le reste des houblons de courrier électronique n'est pas vraiment pertinent dans ce cas car ils montrent l'email qui rebondit autour du trafic légitime du serveur avant d'être finalement livré.
Examen d'un courriel d'hameçonnage - Exemple 2
Pour cet exemple, notre courriel d'hameçonnage est beaucoup plus convaincant. Il y a quelques indicateurs visuels ici si vous regardez assez dur, mais encore une fois pour les besoins de cet article, nous allons limiter notre enquête aux en-têtes d'email.
Livré-À: [email protected]
Reçu: par 10.60.14.3 avec l'ID SMTP l3csp15619oec;
Mar, 6 Mar 2012 04:27:20 -0800( PST)
Reçu: par 10.236.170.165 avec l'ID SMTP p25mr8672800yhl.123.1331036839870;
Mar, 06 Mar 2012 04:27:19 -0800( PST)
Chemin de retour: & lt; [email protected]>
Reçu: à partir de ms.externalemail.com( ms.externalemail.com. [XXX.XXX.XXX.XXX])
par mx.google.com avec l'ID ESMTP o2si20048188yhn.34.2012.03.06.04.27.19;
Mar, 06 Mar 2012 04:27:19 -0800( PST)
Reçu-SPF: échouer( google.com: domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX en tant qu'expéditeur autorisé)ip = XXX.XXX.XXX.XXX;
Authentification-Résultats: mx.google.com;spf = hardfail( google.com: domaine de [email protected] ne désigne pas XXX.XXX.XXX.XXX en tant qu'expéditeur autorisé) [email protected]
Received: avec MailEnable Postoffice Connector;Mar, 6 Mar 2012 07:27:13 -0500
Reçu: de dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) par ms.externalemail.com avec MailEnable ESMTP;Mar, 6 Mar 2012 07:27:08 -0500
Reçu: d'apache par intuit.com avec local( Exim 4.67)
( enveloppe de & lt; [email protected] & gt;)
id GJMV8N-8BERQW-93
pour& lt; [email protected]>;Mar, 6 Mar 2012 19:27:05 +0700
À: & lt; [email protected]>
Objet: Votre facture Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pour 118.68.152.212
De: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
Priorité X: 1
Version MIME: 1.0
Type de contenu: multipart / alternative;
boundary = "---- 03060500702080404010506"
Message-Id: & lt; [email protected]>
Date: Mar, 6 Mar 2012 19:27:05 +0700
X-ME-Bayésien: 0.000000
Dans cet exemple, une application client de messagerie n'a pas été utilisée, plutôt un script PHP avec l'adresse IP source de 118.68.152.212.
A: & lt; [email protected]>
Objet: Votre facture Intuit.com.
X-PHP-Script: intuit.com/sendmail.php pour 118.68.152.212
De: "INTUIT INC." & Lt; [email protected]>
X-Sender: "INTUIT INC." & Lt; [email protected]>
X-Mailer: PHP
Priorité X: 1
Version MIME: 1.0
Type de contenu: multipart / alternative;
boundary = "---- 03060500702080404010506"
Message-Id: & lt; [email protected]>
Date: Mar, 6 Mar 2012 19:27:05 +0700
X-ME-Bayésien: 0.000000
Cependant, lorsque nous regardons le premier e-mail, il semble être légitime car le nom de domaine du serveur expéditeur correspond à l'adresse e-mail. Cependant, méfiez-vous de ceci comme un spammeur pourrait facilement nommer leur serveur "intuit.com".
Reçu: d'apache par intuit.com avec local( Exim 4.67)
( enveloppe de & lt; [email protected] & gt;)
id GJMV8N-8BERQW-93
pour & lt; [email protected]> ;Mar, 6 Mar 2012 19:27:05 +0700
L'examen de la prochaine étape effondre cette maison de cartes. Vous pouvez voir le second saut( où il est reçu par un serveur de messagerie légitime) résout le serveur d'envoi au domaine "dynamic-pool-xxx.hcm.fpt.vn", pas "intuit.com" avec la même adresse IPindiqué dans le script PHP.
Reçu: de dynamic-pool-xxx.hcm.fpt.vn( [118.68.152.212]) par ms.externalemail.com avec MailEnable ESMTP;Tue, 6 mars 2012 07:27:08 -0500
Voir les informations d'adresse IP confirme la suspicion que l'emplacement du serveur de messagerie résoudre retour au Viet Nam.
Alors que cet exemple est un peu plus intelligent, vous pouvez voir à quelle vitesse la fraude est révélée avec seulement un peu d'enquête.
Conclusion
Bien que l'affichage des en-têtes de courriels ne fasse probablement pas partie de vos besoins habituels, il y a des cas où les informations qu'ils contiennent peuvent être très utiles. Comme nous l'avons montré ci-dessus, vous pouvez facilement identifier les expéditeurs déguisés en quelque chose qu'ils ne sont pas. Pour une escroquerie très bien exécutée où les indices visuels sont convaincants, il est extrêmement difficile( voire impossible) d'usurper l'identité des serveurs de messagerie réels et l'examen des informations contenues dans les en-têtes de courriels peut rapidement révéler toute chicane.
Liens
Télécharger IPNetInfo de Nirsoft