Quelles in­for­ma­tions con­tien­nent les en-têtes d’emails ?

On peut dire que l’en-tête d’un email se divise en deux ca­té­go­ries : sa partie générée di­rec­te­ment par l’ex­pé­di­teur et celle envoyée par la suite au des­ti­na­taire. Pendant son voyage virtuel, le message élec­tro­nique devient une sorte d’enveloppe que les serveurs de mail pro­dui­sent lors de la trans­mis­sion. À la suite de cette enveloppe se trouvent les lignes « received » qui con­tien­nent des in­for­ma­tions très im­por­tantes pour la tra­ça­bi­lité des mails. Chaque ligne d’un en-tête commence par un mot-clé (le nom) et est suivie de deux points puis de son contenu.

Les champs cachés d’un en-tête d’email

Return-Path : cette ligne se trouve presque toujours au début de l’en-tête et indique l’adresse email à laquelle les messages d’erreur doivent être envoyés si l’adresse du des­ti­na­taire est in­dis­po­nible. Cette adresse mail est identique à celle de l’ex­pé­di­teur (qui contient le terme « Envelope-From »).

Exemple : Return-Path : adresse@mail.fr 

Received : les lignes « Received » sont générées par les serveurs de mes­sa­ge­ries qui se chargent de la trans­mis­sion du message. Un en-tête d’email comporte deux lignes au minimum, soit un serveur pour l’envoi et un autre pour la réception. Aussi, on peut y voir quel parcours l’email a emprunté, sa date ainsi que l’adresse du serveur de mes­sa­ge­rie impliqué. En règle générale, celle-ci se situe entre deux crochets.

Exemple : Received: from mx3.mail.example (qmailr@mx3.yahoo.example [195.63.104.129])

                by mail­ser­ver.adresse.fr with SMTP

                for <adresse@mail.fr>; Thu, 24 Dec 2015 17:36:20

                +0200 (MET DST)

Message-ID : chaque message reçoit cet indicatif. Il s’agit d’un iden­ti­fiant unique qui permet au message de n’être envoyé qu’une fois. Il est composé d’un code et d’un nom de domaine placés avant et après le « @ ».

Exemple : Message-ID : 434571BC.8070702@mail.fr

Content-Type : Ces lignes d’en-tête de l’email con­tien­nent des in­for­ma­tions con­cer­nant l’affichage du corps du texte. Les pa­ra­mètres sont séparés par un point-virgule.

Exemple : Content-Type: text/plain; charset=UTF-8

L’analyse d’un en-tête d’email : comment ça marche ?

Votre analyse vous demandera de réaliser quelques manœuvres pour dévoiler l’en-tête caché. Toutes les mes­sa­ge­ries sont dif­fé­rentes et chacune a son propre processus. Sur Microsoft Outlook par exemple, ouvrez le message et procédez à la manœuvre suivante : Fichier -> In­for­ma­tions -> Pro­prié­tés. Sur Mozilla Thun­der­bird, allez sur l’email en question et tapez CTRL+U pour afficher le code source. Sur Gmail, ouvrez l’email, cliquez en haut à droite sur une flèche vers le bas, puis sur « afficher l’original ». Main­te­nant, vous pouvez iden­ti­fier l’ex­pé­di­teur en passant au peigne fin tout le contenu de l’en-tête se trouvant en dessous de l’adresse IP et le nom du premier serveur qui a pris part à l’envoi du message. Parcourez les dif­fé­rentes entrées de la ligne « Received » en partant du serveur de mes­sa­ge­rie que vous analisez jusqu’au sortant. Celui-ci se trouve en général tout en bas de la ligne « Received ». Si d’autres entrées sont ajoutées en dessous, il s’agit pro­ba­ble­ment d’une tentative de dis­si­mu­la­tion. Dans ce cas, vous devez partir du principe que vous avez d’ores et déjà trouvé le serveur sortant. Ensuite, copiez l’adresse IP qui se trouve sur la ligne « Received » sur l’outil de votre choix, comme par exemple outil web. Vous pourrez ainsi localiser le serveur en question. Le résultat doit aussi cor­res­pondre au nom du serveur comme celui indiqué dans la ligne du fuseau horaire. Au lieu de tout faire par vous-même et de vous lancer dans la recherche mi­nu­tieuse des in­co­hé­rences qui se trouvent dans l’en-tête de l’email en question, vous pouvez aussi avoir recours à des pro­grammes gratuits tels que Digipills ou même Mytoolbox. Il vous suffit de copier et de coller tout l’en-tête dans la case blanche du programme Internet prévue à cet effet et de commencer la recherche. L’ap­pli­ca­tion fera la liste de tous les serveurs de mes­sa­ge­rie impliqués en ordre chro­no­lo­gique. Derrière le « Envoyé par », vous trouverez l’adresse IP du premier serveur que vous pourrez déjà vérifier ma­nuel­le­ment sur l’outil Web cité plus haut.

Voilà comment manipuler un en-tête d’email

En règle générale, les ex­pé­di­teurs de spams n’ont aucun intérêt à ce qu’on réponde à leurs messages et veulent rester anonymes. Les lignes « From » ou « Return-Path » d’un message spam ne reflètent donc pas la réalité et les auteurs se dotent de fausses identités. Il était encore récemment possible de recevoir des emails suspects provenant soi-disant de la Poste, la Fnac ou même d’une banque. Outre le fait que de tels courriers demandent sys­té­ma­ti­que­ment l’ouverture de liens externes, ils ont aussi en commun une certaine si­mi­li­tude avec les adresses email ori­gi­nales qu’ils essaient de copier. L’analyse d’un en-tête d’email permet de découvrir les spams ra­pi­de­ment. Mais enquêter sur un auteur de spam n’est pas une tâche facile. Ceux-ci court-cir­cui­tent leurs iden­ti­fi­ca­tions sur les en-têtes de mail en utilisant des serveurs de mes­sa­ge­rie mal con­fi­gu­rés ou de ceux infectés par un virus in­for­ma­tique.

Les in­for­ma­tions figurant sur la ligne « received » sont les seuls éléments de l’en-tête de l’email qui ne peuvent pas être com­plè­te­ment falsifiés. Ceci est dû au fait que les spammeurs n’ont pas accès à ces in­for­ma­tions qui con­tien­nent gé­né­ra­le­ment  l'IP sortant, car celui-ci est créé par le serveur mail du des­ti­na­taire. Une ma­ni­pu­la­tion de ces lignes de l’en-tête ne peut aider les spammeurs que dans la mesure où ils brouil­le­raient les pistes en pré­sen­tant leur propre serveur, non pas au début de la chaîne, mais quelque part à la suite de cette chaîne.