4Sep

Comment puis-je savoir où un e-mail est vraiment venu?

Juste parce qu'un email apparaît dans votre boîte de réception appelée Bill. [email protected], ne veut pas dire que Bill a vraiment quelque chose à voir avec ça. Continuez à lire pendant que nous explorons comment creuser et voir d'où vient un email suspect.

Question d'aujourd'hui &La session de réponse nous vient avec l'aimable autorisation de SuperUser, une subdivision de Stack Exchange, un groupement de lecteurs communautaires de sites Web Q & A.

La question Lecteur

SuperUser Sirwan veut savoir comment trouver l'origine des emails:

Comment puis-je savoir d'où vient vraiment un email?
Y at-il un moyen de le découvrir?
J'ai entendu parler des en-têtes de courriels, mais je ne sais pas où je peux voir les en-têtes des courriels, par exemple, dans Gmail.

Jetons un coup d'oeil à ces en-têtes d'email.

Les réponses

SuperUser contributeur Tomas offre une réponse très détaillée et perspicace:

Voir un exemple d'escroquerie qui m'a été envoyée, prétendant que c'est de mon ami, affirmant qu'elle a été volée et me demandant de l'aide financière. J'ai changé les noms - supposons que je suis Bill, l'escroc a envoyé un courriel à [email protected], prétendant qu'il est [email protected]. Notez que Bill a transmis à [email protected].

Tout d'abord, dans Gmail, utilisez show original:

Ensuite, l'email complet et ses en-têtes s'ouvriront:

Delivered-To: [email protected] Reçu: par 10.64.21.33 avec l'identifiant SMTP s1csp177937iee;Lun., 8 juil. 2013 04:11:00 -0700( PDT) X-Reçu: par 10.14.47.73 avec l'ID SMTP s49mr24756966eeb.71.1373281860071;Lun, 08 jui 2013 04:11:00 -0700( PDT) Chemin de retour: & lt; [email protected]>Reçu: à partir de maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) par mx.google.com avec l'ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 pour & lt; [email protected]>(version = code TLSv1 = bits RC4-SHA = 128/128);Lun, 08 jui 2013 04:11:00 -0700( PDT) Received-SPF: neutre( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 n'est ni autorisé ni refusé par le meilleur enregistrement de conjecture pourdomaine de SRS0=Znlt = QW = [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Authentification-Résultats: mx.google.com;spf = neutre( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 n'est ni autorisé, ni refusé par le meilleur enregistrement de la conjecture pour le domaine de [email protected][email protected] Reçu: par maxipes.logix.cz( Postfix, à partir de l'ID utilisateur 604) id C923E5D3A45;Lun., 8 juil. 2013 23:10:50 +1200( NZST) X-Original à: [email protected] X-Greylist: retardé 00:06:34 par SQLgrey-1.8.0-rc1 Reçu: de elasmtp-raccourcir.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) par maxipes.logix.cz( Postfix) avec l'identifiant ESMTP B43175D3A44 pour & lt; [email protected]>;Lun., 8 juil. 2013 23:10:48 +1200( NZST) Reçu: de [168.62.170.129]( helo = laurence39) par elasmtp-curtail.atl.sa.earthlink.net avec esmtpa( Exim 4.67)( envelope-from& lt; [email protected]>) id 1Uw98w-0006KI-6y pour [email protected];Mon, 08 Jul 2013 06:58:06 -0400 De: "Alice" & lt; [email protected]>Sujet: Terrible Travel Issue. .... Veuillez répondre dès que possible à: [email protected] Content-Type: multipart / alternative;boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" Version MIME: 1.0 Répondre à: [email protected] Date: Lun, 8 Jul 2013 10:58:06 +0000 ID message: & lt; E1Uw98w-0006KI-6y @ elasmtp-raccourcir.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-origine-IP: 168.62.170.129 [... J'ai coupé le corps de l'e-mail. ..]

Les en-têtes doivent être lus chronologiquement de bas en haut - les plus anciens sont en bas. Chaque nouveau serveur en cours ajoutera son propre message - en commençant par Received. Par exemple:

Received: à partir de maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) par mx.google.com avec l'ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 pour & lt; [email protected]>(version = code TLSv1 = bits RC4-SHA = 128/128);Lun., 08 juil. 2013 04:11:00 -0700( PDT)

Cela dit que mx.google.com a reçu le courrier de maxipes.logix.cz à lun., 08 juil. 2013 04:11:00 -0700( PDT).

Maintenant, pour trouver l'expéditeur réel de votre email, votre but est de trouver la dernière passerelle de confiance - dernier en lisant les en-têtes de haut, c'est-à-dire d'abord dans l'ordre chronologique. Commençons par trouver le serveur de messagerie de Bill. Pour cela, vous interrogez l'enregistrement MX pour le domaine. Vous pouvez utiliser certains outils en ligne, ou sous Linux, vous pouvez l'interroger sur la ligne de commande( notez que le nom de domaine réel a été changé en domain.com):

~ $ host -t MX domaine.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Donc, vous voyez le serveur de messagerie pour domain.com est maxipes.logix.cz ou broucek.logix.cz. Par conséquent, le dernier «bond»( le premier «chronologiquement») de confiance - ou le dernier «enregistrement reçu» de confiance ou peu importe comment vous l'appelez - est celui-ci:

Received: from elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) par maxipes.logix.cz( Postfix) avec l'ID ESMTP B43175D3A44 pour & lt; [email protected]>;Mon, 8 Jul 2013 23:10:48 +1200( NZST)

Vous pouvez faire confiance à ceci parce que cela a été enregistré par le serveur de messagerie de Bill pour domain.com. Ce serveur a obtenu à partir de 209.86.89.64.Cela pourrait être, et très souvent est, le véritable expéditeur de l'email - dans ce cas, l'escroc! Vous pouvez vérifier cette adresse IP sur une liste noire.- Voir, il est listé dans 3 listes noires! Il ya encore un autre enregistrement en dessous:

Reçu: de [168.62.170.129]( helo = laurence39) par elasmtp-curtail.atl.sa.earthlink.net avec esmtpa( Exim 4.67)( enveloppe-de & lt; alice @ yahoo.com & gt;) id 1Uw98w-0006KI-6y pour [email protected];Mon, 08 Jul 2013 06:58:06 -0400

mais vous ne pouvez pas réellement faire confiance à cela, car cela pourrait juste être ajouté par l'escroc pour effacer ses traces et / ou poser une fausse piste .Bien sûr, il y a toujours la possibilité que le serveur 209.86.89.64 soit innocent et ait seulement agi comme relais pour le véritable attaquant à 168.62.170.129, mais alors le relais est souvent considéré comme coupable et est très souvent blacklisté.Dans ce cas, 168.62.170.129 est propre donc nous pouvons être presque sûr que l'attaque a été faite à partir de 209.86.89.64.

Et bien sûr, comme on sait qu'Alice utilise Yahoo!et elasmtp-curtail.atl.sa.earthlink.net n'est pas sur Yahoo!réseau( vous pouvez revérifier ses informations IP Whois), nous pouvons conclure sans risque que cet email n'était pas d'Alice, et que nous ne devrions pas lui envoyer de l'argent à ses vacances revendiquées aux Philippines.

Deux autres contributeurs, Ex Umbris et Vijay, ont recommandé, respectivement, les services suivants pour aider au décodage des en-têtes d'emails: SpamCop et l'outil Header Analysis de Google.

Avoir quelque chose à ajouter à l'explication? Sonnez dans les commentaires. Vous voulez lire plus de réponses d'autres utilisateurs de Stack Exchange? Découvrez le fil de discussion complet ici.