Quelles informations contiennent les en-têtes d’emails ?

On peut dire que l’en-tête d’un email se divise en deux catégories : sa partie générée directement par l’expéditeur et celle envoyée par la suite au destinataire. Pendant son voyage virtuel, le message électronique devient une sorte d’enveloppe que les serveurs de mail produisent lors de la transmission. À la suite de cette enveloppe se trouvent les lignes « received » qui contiennent des informations très importantes pour la traçabilité des mails. Chaque ligne d’un en-tête commence par un mot-clé (le nom) et est suivie de deux points puis de son contenu.

Les champs cachés d’un en-tête d’email

Return-Path : cette ligne se trouve presque toujours au début de l’en-tête et indique l’adresse email à laquelle les messages d’erreur doivent être envoyés si l’adresse du destinataire est indisponible. Cette adresse mail est identique à celle de l’expéditeur (qui contient le terme « Envelope-From »).

Exemple : Return-Path : adresse@mail.fr 

Received : les lignes « Received » sont générées par les serveurs de messageries qui se chargent de la transmission du message. Un en-tête d’email comporte deux lignes au minimum, soit un serveur pour l’envoi et un autre pour la réception. Aussi, on peut y voir quel parcours l’email a emprunté, sa date ainsi que l’adresse du serveur de messagerie impliqué. En règle générale, celle-ci se situe entre deux crochets.

Exemple : Received: from mx3.mail.example (qmailr@mx3.yahoo.example [195.63.104.129])

                by mailserver.adresse.fr with SMTP

                for <adresse@mail.fr>; Thu, 24 Dec 2015 17:36:20

                +0200 (MET DST)

Message-ID : chaque message reçoit cet indicatif. Il s’agit d’un identifiant unique qui permet au message de n’être envoyé qu’une fois. Il est composé d’un code et d’un nom de domaine placés avant et après le « @ ».

Exemple : Message-ID : 434571BC.8070702@mail.fr

Content-Type : Ces lignes d’en-tête de l’email contiennent des informations concernant l’affichage du corps du texte. Les paramètres sont séparés par un point-virgule.

Exemple : Content-Type: text/plain; charset=UTF-8

L’analyse d’un en-tête d’email : comment ça marche ?

Votre analyse vous demandera de réaliser quelques manœuvres pour dévoiler l’en-tête caché. Toutes les messageries sont différentes et chacune a son propre processus. Sur Microsoft Outlook par exemple, ouvrez le message et procédez à la manœuvre suivante : Fichier -> Informations -> Propriétés. Sur Mozilla Thunderbird, allez sur l’email en question et tapez CTRL+U pour afficher le code source. Sur Gmail, ouvrez l’email, cliquez en haut à droite sur une flèche vers le bas, puis sur « afficher l’original ».

Maintenant, vous pouvez identifier l’expéditeur en passant au peigne fin tout le contenu de l’en-tête se trouvant en dessous de l’adresse IP et le nom du premier serveur qui a pris part à l’envoi du message. Parcourez les différentes entrées de la ligne « Received » en partant du serveur de messagerie que vous analisez jusqu’au sortant. Celui-ci se trouve en général tout en bas de la ligne « Received ». Si d’autres entrées sont ajoutées en dessous, il s’agit probablement d’une tentative de dissimulation. Dans ce cas, vous devez partir du principe que vous avez d’ores et déjà trouvé le serveur sortant. Ensuite, copiez l’adresse IP qui se trouve sur la ligne « Received » sur l’outil de votre choix, comme par exemple outil web. Vous pourrez ainsi localiser le serveur en question. Le résultat doit aussi correspondre au nom du serveur comme celui indiqué dans la ligne du fuseau horaire.

Au lieu de tout faire par vous-même et de vous lancer dans la recherche minutieuse des incohérences qui se trouvent dans l’en-tête de l’email en question, vous pouvez aussi avoir recours à des programmes gratuits tels que Digipills ou même Mytoolbox. Il vous suffit de copier et de coller tout l’en-tête dans la case blanche du programme Internet prévue à cet effet et de commencer la recherche. L’application fera la liste de tous les serveurs de messagerie impliqués en ordre chronologique. Derrière le « Envoyé par », vous trouverez l’adresse IP du premier serveur que vous pourrez déjà vérifier manuellement sur l’outil Web cité plus haut.

Voilà comment manipuler un en-tête d’email

En règle générale, les expéditeurs de spams n’ont aucun intérêt à ce qu’on réponde à leurs messages et veulent rester anonymes. Les lignes « From » ou « Return-Path » d’un message spam ne reflètent donc pas la réalité et les auteurs se dotent de fausses identités. Il était encore récemment possible de recevoir des emails suspects provenant soi-disant de la Poste, la Fnac ou même d’une banque. Outre le fait que de tels courriers demandent systématiquement l’ouverture de liens externes, ils ont aussi en commun une certaine similitude avec les adresses email originales qu’ils essaient de copier. L’analyse d’un en-tête d’email permet de découvrir les spams rapidement. Mais enquêter sur un auteur de spam n’est pas une tâche facile. Ceux-ci court-circuitent leurs identifications sur les en-têtes de mail en utilisant des serveurs de messagerie mal configurés ou de ceux infectés par un virus informatique.

Les informations figurant sur la ligne « received » sont les seuls éléments de l’en-tête de l’email qui ne peuvent pas être complètement falsifiés. Ceci est dû au fait que les spammeurs n’ont pas accès à ces informations qui contiennent généralement  l'IP sortant, car celui-ci est créé par le serveur mail du destinataire. Une manipulation de ces lignes de l’en-tête ne peut aider les spammeurs que dans la mesure où ils brouilleraient les pistes en présentant leur propre serveur, non pas au début de la chaîne, mais quelque part à la suite de cette chaîne.