Ce n'est pas parce qu'un e-mail apparaît dans votre boîte de réception intitulé [email protected] que Bill y est pour quelque chose. Continuez à lire pendant que nous explorons comment creuser et voir d'où provient réellement un e-mail suspect.
La session de questions et réponses d’aujourd’hui nous est offerte par SuperUser, une subdivision de Stack Exchange, un regroupement de sites Web de questions-réponses sur le lecteur communautaire.
The Question
Le lecteur SuperUser Sirwan veut savoir comment savoir d'où proviennent réellement les e-mails:
Comment puis-je savoir d'où vient réellement un e-mail?
Y a-t-il un moyen de le découvrir?
J'ai entendu parler des en-têtes d'e-mail, mais je ne sais pas où puis-je voir les en-têtes d'e-mail, par exemple dans Gmail.
Jetons un œil à ces en-têtes d'e-mail.
Les réponses
Le contributeur SuperUser Tomas propose une réponse très détaillée et perspicace:
Voir un exemple d'escroquerie qui m'a été envoyée, prétendant que c'est de mon amie, affirmant qu'elle a été volée et me demandant une aide financière. J'ai changé les noms - supposons que je suis Bill, le fraudeur a envoyé un e-mail à
[email protected], prétendant qu'il est[email protected]. Notez que Bill a transmis à[email protected].Tout d'abord, dans Gmail, utilisez
montrer l'original:
Ensuite, l'e-mail complet et ses en-têtes s'ouvriront:
Livré à: [email protected] Reçu: par 10.64.21.33 avec l'ID SMTP s1csp177937iee; Lun, 8 juillet 2013 04:11:00 -0700 (PDT) X-Received: par 10.14.47.73 avec l'ID SMTP s49mr24756966eeb.71.1373281860071; Lun, 08 juillet 2013 04:11:00 -0700 (PDT) Chemin de retour: <[email protected]> Reçu: de maxipes.logix.cz (maxipes.logix.cz.[2a01:348:0:6:5d59:50c3:0:b0b1]) par mx.google.com avec l'ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 pour <[email protected]> (version = chiffrement TLSv1 = bits RC4-SHA = 128/128); Lun, 08 juillet 2013 04:11:00 -0700 (PDT) Reçu-SPF: neutre (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 n'est ni autorisé ni refusé par l'enregistrement de meilleure estimation pour le domaine de SRS0=Znlt=QW=yahoo.com=alice@domain .com) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Résultats d'authentification: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 n'est ni autorisé ni refusé par l'enregistrement de meilleure estimation pour le domaine de [email protected] ) [email protected] Reçu: par maxipes.logix.cz (Postfix, de l'ID utilisateur 604) id C923E5D3A45; Lun, 8 juillet 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: retardé 00:06:34 par SQLgrey-1.8.0-rc1 Reçu: de elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) par maxipes.logix.cz (Postfix) avec l'ID ESMTP B43175D3A44 pour <[email protected]>; Lun, 8 juillet 2013 23:10:48 +1200 (NZST) Reçu: à partir de [168.62.170.129] (helo = laurence39) par elasmtp-curtail.atl.sa.earthlink.net avec esmtpa (Exim 4.67) (enveloppe-de <[email protected]>) identifiant 1Uw98w-0006KI-6y pour [email protected]; Lun, 08 juil.2013 06:58:06 -0400 De: "Alice" <[email protected]> Objet: Terrible problème de voyage ..... Veuillez répondre dès que possible À: [email protected] Content-Type: multipart / alternative; limite = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" Version MIME: 1.0 Répondre à: [email protected] Date: lun.8 juillet 2013 10:58:06 +0000 ID du message: <[email protected]> X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c IP d'origine X: 168.62.170.129 [... I have cut the email body ...]Les en-têtes doivent être lus chronologiquement de bas en haut - les plus anciens sont en bas. Chaque nouveau serveur en route ajoutera son propre message - en commençant par
Reçu. Par exemple:Reçu: de maxipes.logix.cz (maxipes.logix.cz.[2a01:348:0:6:5d59:50c3:0:b0b1]) par mx.google.com avec l'ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 pour <[email protected]> (version = chiffrement TLSv1 = bits RC4-SHA = 128/128); Lun, 08 juillet 2013 04:11:00 -0700 (PDT)Cela dit que
mx.google.coma reçu le courrier demaxipes.logix.czàMon, 08 Jul 2013 04:11:00 -0700 (PDT).Maintenant, pour trouver le réel expéditeur de votre e-mail, votre objectif est de trouver la dernière passerelle de confiance - la dernière lors de la lecture des en-têtes par le haut, c'est-à-dire la première dans l'ordre chronologique. Commençons par trouver le serveur de messagerie de Bill. Pour cela, vous interrogez l'enregistrement MX pour le domaine. Vous pouvez en utiliser outils en ligne , ou sous Linux, vous pouvez l'interroger sur la ligne de commande (notez que le vrai nom de domaine a été changé en
domain.com):~ $ host -t MX domaine.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.czVous voyez donc que le serveur de messagerie de domain.com est
maxipes.logix.czoubroucek.logix.cz. Par conséquent, le dernier «saut» de confiance (premier chronologiquement) - ou le dernier «enregistrement reçu» de confiance ou peu importe comment vous l'appelez - est celui-ci:Reçu: de elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) par maxipes.logix.cz (Postfix) avec l'ID ESMTP B43175D3A44 pour <[email protected]>; Lun, 8 juillet 2013 23:10:48 +1200 (NZST)Vous pouvez faire confiance à cela, car cela a été enregistré par le serveur de messagerie de Bill pendant
domain.com. Ce serveur l'a obtenu de209.86.89.64. Cela pourrait être, et est très souvent, le véritable expéditeur de l'e-mail - dans ce cas, l'escroc! Vous pouvez vérifier cette IP sur une liste noire . - Tu vois, il est répertorié dans 3 listes noires! Il y a encore un autre enregistrement en dessous:Reçu: à partir de [168.62.170.129] (helo = laurence39) par elasmtp-curtail.atl.sa.earthlink.net avec esmtpa (Exim 4.67) (enveloppe-de <[email protected]>) identifiant 1Uw98w-0006KI-6y pour [email protected]; Lun, 08 juil.2013 06:58:06 -0400mais vous ne pouvez pas faire confiance à cela, car cela pourrait simplement être ajouté par l'escroc pour effacer ses traces et / ou tracer une fausse piste . Bien sûr, il est toujours possible que le serveur
209.86.89.64est innocent et n'a servi que de relais pour le véritable attaquant à168.62.170.129, mais alors le relais est souvent considéré comme coupable et est très souvent mis sur liste noire. Dans ce cas,168.62.170.129est propre donc nous pouvons être presque sûrs que l'attaque a été faite depuis209.86.89.64.Et bien sûr, comme nous savons qu'Alice utilise Yahoo! et
elasmtp-curtail.atl.sa.earthlink.netn'est pas sur Yahoo! réseau (vous voudrez peut-être revérifier ses informations IP Whois ), nous pouvons conclure en toute sécurité que cet e-mail ne provient pas d'Alice et que nous ne devons pas lui envoyer d'argent à ses vacances aux Philippines.
Deux autres contributeurs, Ex Umbris et Vijay, ont respectivement recommandé les services suivants pour aider au décodage des en-têtes d'e-mails: SpamCop et Outil d'analyse des en-têtes de Google .
