Avez-vous déjà reçu un courriel et vous êtes-vous vraiment demandé d'où il venait? Qui l'a envoyé? Comment ont-ils pu savoir qui vous êtes? Étonnamment, beaucoup de ces informations peuvent provenir de l'en-tête de l'e-mail, ou en utilisant les informations de l'en-tête de l'e-mail pour effectuer un travail de détective.
L'en-tête fait partie du message électronique que la plupart des gens ne voient même jamais. Il contient beaucoup de données qui semblent être un gobbledygook pour l'utilisateur moyen de l'ordinateur, de sorte que l'utilisation de la messagerie devenait un outil quotidien dans la vie de tout le monde, les clients de messagerie ont commencé à cacher cette information par commodité. Ces jours-ci, il peut même être un peu gênant d'afficher l'en-tête, même pour ceux qui le savent. Il y a tellement de clients de messagerie différents, à la fois sur le bureau et sur le Web, que pour couvrir la façon de révéler l'en-tête de l'e-mail, il pourrait s'agir d'un petit livre. Aujourd'hui, nous allons simplement nous concentrer sur la manière d'afficher l'en-tête dans Gmail, puis de regarder ce que nous pouvons en tirer.
Qu'est-ce qu'un en-tête de courrier électronique?
Un en-tête d'e-mail est une collection d'informations qui documente le chemin par lequel l'e-mail vous est arrivé. Il peut y avoir beaucoup d'informations dans l'en-tête ou juste les bases. Il existe une norme pour les informations à inclure dans un en-tête, mais pas vraiment une limite aux informations qu'un serveur de messagerie peut placer dans l'en-tête. Si vous êtes curieux de savoir à quoi ressemble un standard pour un protocole email, consultez la RFC 5321 - Simple Mail Transfer Protocol. C'est un peu dur sur la tête, surtout si vous n'avez pas besoin de savoir ce genre de choses.
Gmail - Afficher l'en-tête de l'e-mail
Une fois que vous avez ouvert un message dans Gmail, cliquez sur la flèche orientée vers le bas dans le coin supérieur droit du message. Un nouveau menu va se montrer. Cliquez sur Afficher l'original pour voir le message électronique brut avec son contenu complet et son en-tête révélé.
Une nouvelle fenêtre ou un nouvel onglet s'ouvrira et vous verrez une version en texte brut de votre courriel avec l'en-tête en haut, bien sûr. Le contenu de l'en-tête ressemblera à ceci:
Livré à: [email protected]
Reçu: par 10.223.200.70 avec l'ID SMTP ev6csp162209fab;
Lun. 29 juil. 2013 14:15:09 -0700 (PDT)
X-Received: par 10.236.227.202 avec l'ID SMTP d70mr27737943yhq.86.1375132508769;
Lun., 29 juil. 2013 14:15:08 -0700 (PDT)
Chemin de retour:
Reçu: à partir de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
par mx.google.com avec ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
pour
(version = code TLSv1 = bits RC4-SHA = 128/128);
Lun., 29 juil. 2013 14:15:08 -0700 (PDT)
Received-SPF: neutre (google.com: 205.206.208.34 n'est ni autorisé, ni refusé par le meilleur enregistrement de supposition pour le domaine de [email protected]) client-ip = 205.206.208.34;
Authentification-Résultats: mx.google.com;
spf = neutre (google.com: 205.206.208.34 n'est ni permis, ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtré: vrai
Résultat X-IronPort-Anti-Spam: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4, 89, 772, 1367992800";
d = "jpg'145? scan'145, 208, 217, 145"; a = "14712973"
Reçu: de inconnu (HELO mail.exchange.telus.com) ([205.206.210.187])
par mx21.exchange.telus.com avec ESMTP / TLS / AES128-SHA; 29 juil. 2013 15:15:07 -0600
Reçu: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) par
HEXHUB13.hostedmsx.local ([:: 1]) avec mapi; Lun. 29 juil. 2013 15:13:48 -0600
De: Guy McDowell
Pour: "[email protected]"
Date: Lun 29 Jul 2013 15:15:03 -0600
Objet: Qu'est-ce qu'un en-tête de courriel?
Thread-Topic: Qu'est-ce qu'un en-tête de courrier électronique?
Index de la discussion: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
ID du message:
Accept-Language: en-US
Langue du contenu: en-US
X-MS-Has-Attach: oui
X-MS-TNEF-Corrélateur:
acceptlanguage: en-US
Type de contenu: multipart / related;
boundary = "_ 004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_";
type = "multipart / alternative"
MIME-Version: 1.0
C'est bien. Qu'est-ce que ça veut dire?
Comment l'en-tête d'email est-il créé?
En sachant comment l'en-tête est créé le long du chemin parcouru par un email, vous développerez un aperçu plus clair de ce que les données d'un en-tête signifient. Regardons les parties comme elles sont ajoutées, et ce que les parties les plus importantes signifient.
Sur l'ordinateur de l'expéditeur
Une partie de l'en-tête est créée lorsque l'expéditeur crée l'e-mail à envoyer au destinataire. Cela inclura des informations telles que la date de rédaction de l'e-mail, la personne qui l'a composé, la ligne d'objet et à qui l'e-mail est envoyé. C'est la partie de l'en-tête qui vous est la plus familière, à savoir les lignes Date:, De:, À: et Objet: en haut de votre e-mail.
De: Guy McDowell
Pour: "[email protected]"
Date: Lun 29 Jul 2013 15:15:03 -0600
Objet: Qu'est-ce qu'un en-tête de courriel?
Sur le service de messagerie de l'expéditeur
Plus d'informations sont ajoutées à l'en-tête une fois l'e-mail envoyé. Ceci est fourni par le service de messagerie que l'expéditeur utilise. Dans ce cas, l'expéditeur utilise un service de messagerie hébergé, de sorte que l'adresse IP affichée est une adresse interne au réseau du fournisseur de services. L'exécution d'une recherche WHOIS sur celle-ci ne fournira aucune information utile. Ce que nous pouvons faire est d'effectuer une recherche Google sur le nom de serveur HEXMBVS12.hostedmsx.local et nous pouvons trouver que le fournisseur de service est Telus. Si nous explorons le site Web de Telus, nous verrons qu'ils offrent un service hébergé Microsoft Exchange. Cela suggère que l'expéditeur utilise probablement Microsoft Outlook, Outlook Express ou Outlook Web Access. Les informations ajoutées ici comprennent l'adresse IP de l'expéditeur ([10.9.6.115]), l'heure envoyée par le service de messagerie de l'expéditeur (Lun, 29 juil. 2013 15:13:48 -0600), et l'ID de message pour ce particulier message ajouté par le service de messagerie.
(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Reçu: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) par HEXHUB13.hostedmsx.local ([:: 1]) avec mapi; Lun. 29 juil. 2013 15:13:48 -0600
ID du message:
En cours de route vers le service de messagerie du destinataire
À partir de là, l'e-mail peut prendre n'importe quel nombre d'itinéraires pour aboutir au service de messagerie du destinataire. Cela peut être ajouté à l'en-tête pour afficher les «sauts» que l'e-mail a dû faire pour vous. Ces sauts démarrent sur le serveur qui a récemment traité l'e-mail et retournent au serveur qui l'a traité à l'origine, dans l'ordre chronologique inverse. Dans cet exemple, tous les sauts sont internes au service de messagerie de l'expéditeur.
Troisième et dernier saut
Reçu: à partir de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
par mx.google.com avec ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
pour
(version = code TLSv1 = bits RC4-SHA = 128/128);
Lun., 29 juil. 2013 14:15:08 -0700 (PDT)
Received-SPF: neutre (google.com: 205.206.208.34 n'est ni autorisé, ni refusé par le meilleur enregistrement de supposition pour le domaine de [email protected]) client-ip = 205.206.208.34;
Authentification-Résultats: mx.google.com;
spf = neutre (google.com: 205.206.208.34 n'est ni permis, ni refusé par le meilleur enregistrement de conjecture pour le domaine de [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtré: vrai
Résultat X-IronPort-Anti-Spam: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTU
X-IronPort-AV: E = Sophos; i = "4, 89, 772, 1367992800";
d = "jpg'145? scan'145, 208, 217, 145"; a = "14712973"
Explication du troisième saut
C'est le saut qui l'amène de Telus au serveur de courriel des destinataires. Nous pouvons dire qu'il a été reçu par mx.google.com, de sorte que le destinataire a son service de messagerie avec Google. Ici, il est bon de noter que la ligne Received-SPF: SPF, ou Sender Policy Framework, est une norme permettant au serveur de messagerie d'un expéditeur de se déclarer comme l'expéditeur légitime de l'e-mail. Dans ce cas, le qualificatif est neutre, ce qui signifie que rien ne peut être dit sur la validité de cet e-mail, bon ou mauvais. S'il avait été enregistré comme étant en échec, il aurait été rejeté par les serveurs de Gmail. S'il s'agissait de softfail, Gmail l'aurait accepté, mais l'aurait signalé comme n'étant peut-être pas de qui il a été dit.
Juste en dessous, vous verrez également trois lignes commençant par X-IronPort-Anti-Spam . Le premier, X-IronPort-Anti-Spam-Filtered: true, est cloué sur l'appliance anti-spam IronPort de Telus. IronPort fait partie de Cisco, donc il est considéré comme assez fiable. La ligne X-IronPort-Anti-Spam-résultat est destinée uniquement aux appliances IronPort et ne peut pas être décodée pour les yeux humains, à moins que vous ne travailliez pour Cisco et que vous deviez la décoder. Le troisième, X-IronPort-AV, montre que l'expéditeur possède sa propre appliance anti-spam de Sophos. Il aurait pu lire McAfee ou Norton, ou tout autre filtre que votre email traverse. En tant que destinataire, cela peut vous donner un peu plus de confiance que l'email est valide.
Deuxième saut
Reçu: de inconnu (HELO mail.exchange.telus.com) ([205.206.210.187])
par mx21.exchange.telus.com avec ESMTP / TLS / AES128-SHA; 29 juil. 2013 15:15:07 -0600
Explication du deuxième saut
Il devient évident ici que Telus est le fournisseur de services. En cas de doute, effectuez une vérification WHOIS sur l'adresse IP indiquée: 205.206.210.187. Vous constaterez que l'adresse IP mène également à Telus. Cela vous donne un peu plus confiance que l'email est légitime. Nous pouvons également dire que le message a pris un peu plus d'une minute pour passer du premier bond au second bond. Cela ne nous dit pas beaucoup, sauf si vous êtes un ingénieur réseau. En théorie, vous pouvez calculer approximativement à quelle distance sont les deux serveurs.
Premier Hop
Reçu: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) par
HEXHUB13.hostedmsx.local ([:: 1]) avec mapi; Lun. 29 juil. 2013 15:13:48 -0600
Explication du premier saut
Le premier saut est le serveur de messagerie de l'expéditeur qui reçoit son message électronique. À ce stade, l'e-mail se déplace toujours en interne sur le réseau du serveur de messagerie de l'expéditeur. Vous pouvez dire par le fait que l'adresse IP commence par 10 . Les adresses IP commençant par 10 sont réservées à un usage interne uniquement.
Sur le serveur de messagerie du destinataire
Livré à: [email protected]
Reçu: par 10.223.200.70 avec l'ID SMTP ev6csp162209fab;
Lun. 29 juil. 2013 14:15:09 -0700 (PDT)
X-Received: par 10.236.227.202 avec l'ID SMTP d70mr27737943yhq.86.1375132508769;
Lun., 29 juil. 2013 14:15:08 -0700 (PDT)
Chemin de retour:
Une fois arrivé au service de courrier électronique du destinataire, plus d'informations sont ajoutées à l'en-tête - quels serveurs de services de messagerie du destinataire ont-ils reçus et quand, de quel serveur de messagerie le message a-t-il été envoyé? 'adresse e-mail. Dans le troisième hop, nous avons vu que le service de messagerie du destinataire était avec Google. Nous pouvons dire que cet e-mail a été reçu par un serveur interne et transmis à un autre - 10.236.227.202 à 10.223.200.70. Plus important encore, nous pouvons dire par le Return-Path: que l'email à répondre et l'email de l'expéditeur est le même. Cela nous indique également qu'il y a de bonnes chances que ce courriel soit légitime.
Autres éléments d'autres en-têtes
Cet en-tête d'e-mail est limité dans ses informations car un service de messagerie hébergé est utilisé. Si l'expéditeur utilisait son propre serveur de messagerie, nous pourrions peut-être obtenir un peu plus d'informations. Nous pourrions être en mesure de déterminer exactement quel client de messagerie ils utilisent. Ou nous pourrions effectuer un WHOIS sur l'adresse IP de l'expéditeur et obtenir une localisation approximative de l'expéditeur. Nous pourrions également effectuer une simple recherche sur le Web sur le domaine de l'expéditeur et voir s'il existe un site Web pour eux. Basé sur ce site Web, nous pouvons être en mesure de trouver encore plus d'informations sur l'expéditeur. Vous pouvez effectuer une recherche sur le Web sur l'adresse e-mail elle-même et commencer à doxing la personne. Si vous n'êtes pas familier avec le concept de «doxing», familiarisez-vous avec Qu'est-ce que Doxing de Joel Lee et comment cela affecte-t-il votre vie privée? Qu'est-ce que Doxing et comment cela affecte-t-il votre vie privée? [MakeUseOf explique] Qu'est-ce que Doxing et comment cela affecte-t-il votre vie privée? [MakeUseOf explique] La confidentialité sur Internet est une affaire énorme. Un des avantages déclarés de l'Internet est que vous pouvez rester anonyme derrière votre moniteur pendant que vous naviguez, discutez, et faites tout ce que vous faites .... Lire la suite Lisez aussi l'article de Ryan Dube, 15 sites Web à trouver Personnes sur Internet 12 Sites Web pour trouver des personnes sur Internet 12 Sites Web pour trouver des personnes sur Internet Si vous cherchez un ami perdu depuis longtemps, ou peut-être voulez faire une vérification des antécédents sur quelqu'un, pensez à ces ressources gratuites pour trouver des gens sur Internet. Lire la suite .
Le Take Away
Toutes les communications électroniques laissent des empreintes. Certains sont plus grands et plus faciles à suivre. Certains sont masqués par des filtres Web et des serveurs proxy. Quoi qu'il en soit, ce qui reste nous dit quelque chose à propos de la personne qui les a créés. À partir de ces métadonnées, nous pourrions mener d'autres investigations pour en savoir plus sur les personnes impliquées. Est-ce qu'ils cachent quelque chose en utilisant un VPN? Sont-ils vraiment d'une entreprise légitime avec une présence web légitime? Est-ce quelqu'un avec qui je veux vraiment sortir? Que peuvent apprendre les gens ordinaires à propos de moi, sans parler de la NSA?
Jetez un oeil à vos en-têtes de messagerie et voyez ce qu'ils disent de vous. Si vous trouvez des lignes d'en-tête qui n'ont pas beaucoup de sens, placez-les dans les commentaires et nous essaierons de les décoder. Avez-vous dû faire un en-tête de courriel pour enquêter? Dis nous à propos de cela! C'est comme ça que nous apprenons tous.
Crédit d'image: Salle de serveur par torkildr via Flickr.