Que pouvez-vous apprendre d’un en-tête d’e-mail (métadonnées) ?

email-international-geralt-via-pixabay

Avez-vous déjà reçu un e-mail et vous êtes-vous vraiment demandé d’où il venait ? Qui l’a envoyé ? Comment ont-ils pu savoir qui vous êtes ? Étonnamment, une grande partie de ces informations peuvent provenir de l’en-tête de l’e-mail ou en utilisant les informations de l’en-tête de l’e-mail pour effectuer un travail de détective.

L’en-tête est une partie du message électronique que la plupart des gens ne voient même jamais. Il contient beaucoup de données qui semblent être du charabia pour l’utilisateur moyen d’un ordinateur, alors que l’utilisation du courrier électronique est devenue un outil quotidien dans la vie de chacun, les clients de messagerie ont commencé à cacher ces informations pour votre commodité. De nos jours, il peut même être un peu gênant d’afficher l’en-tête, même pour ceux qui savent qu’il est là. Il existe tellement de clients de messagerie différents, à la fois sur le bureau et sur le Web, que pour expliquer comment afficher l’en-tête de l’e-mail, cela pourrait finir par être un petit livre. Aujourd’hui, nous allons simplement nous concentrer sur la façon d’afficher l’en-tête dans Gmail, puis regarder ce que nous pouvons glaner de l’en-tête.

Qu’est-ce qu’un en-tête d’e-mail ?

Un en-tête d’e-mail est une collection d’informations qui documente le chemin par lequel l’e-mail vous est parvenu. Il peut y avoir beaucoup d’informations dans l’en-tête ou juste les bases. Il existe une norme pour les informations à inclure dans un en-tête, mais pas vraiment de limite aux informations qu’un serveur de messagerie peut mettre dans l’en-tête. Si vous êtes curieux de savoir à quoi ressemble une norme pour un protocole de messagerie, consultez RFC 5321 – Simple Mail Transfer Protocol. C’est un peu dur pour la tête, surtout si vous n’avez pas besoin de connaître ce genre de choses.

Gmail – Afficher l’en-tête de l’e-mail

Une fois que vous avez un e-mail ouvert dans Gmail, cliquez sur la flèche orientée vers le bas près du coin supérieur droit du message. Un nouveau menu s’affichera. Cliquez sur Afficher l’original pour voir le message électronique brut avec son contenu complet et son en-tête révélés.

gmail-show-original

Une nouvelle fenêtre ou un nouvel onglet s’ouvrira et vous verrez une version en texte brut de votre e-mail avec l’en-tête en haut, bien sûr. Le contenu de l’en-tête ressemblera à ceci :

        

Delivered-To: [email protected]: by 10.223.200.70 with SMTP id ev6csp162209fab;Mon, 29 Jul 2013 14:15:09 -0700 (PDT)X-Received: by 10.236.227.202 with SMTP id d70mr27737943yhq.86.1375132508769;Mon, 29 Jul 2013 14:15:08 -0700 (PDT)Return-Path: <[email protected]>Received: from mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])by mx.google.com with ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08for <[email protected]>(version=TLSv1 cipher=RC4-SHA bits=128/128);Mon, 29 Jul 2013 14:15:08 -0700 (PDT)Received-SPF: neutral (google.com: 205.206.208.34 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=205.206.208.34;Authentication-Results: mx.google.com;spf=neutral (google.com: 205.206.208.34 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]: trueX-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTUX-IronPort-AV: E=Sophos;i="4.89,772,1367992800";d="jpg'145?scan'145,208,217,145";a="14712973"Received: from unknown (HELO mail.exchange.telus.com) ([205.206.210.187])by mx21.exchange.telus.com with ESMTP/TLS/AES128-SHA; 29 Jul 2013 15:15:07 -0600Received: from HEXMBVS12.hostedmsx.local ([10.9.6.115]) byHEXHUB13.hostedmsx.local ([::1]) with mapi; Mon, 29 Jul 2013 15:13:48 -0600From: Guy McDowell <[email protected]>To: "[email protected]" <[email protected]>Date: Mon, 29 Jul 2013 15:15:03 -0600Subject: What's an E-mail Header?Thread-Topic: What's an E-mail Header?Thread-Index: Ac6MoKVNNmE/49PeSfezKxVNOP2KEQ==Message-ID: <[email protected]ocal>Accept-Language: en-USContent-Language: en-USX-MS-Has-Attach: yesX-MS-TNEF-Correlator:acceptlanguage: en-USContent-Type: multipart/related;boundary="_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_";type="multipart/alternative"MIME-Version: 1.0

C’est zonte. Qu’est-ce que ça veut dire?

Comment l’en-tête de l’e-mail est-il créé ?

En sachant comment l’en-tête est créé le long du chemin parcouru par un e-mail, vous développerez une meilleure compréhension de la signification des données d’un en-tête. Examinons les parties au fur et à mesure qu’elles sont ajoutées et ce que signifient les parties les plus importantes.

Sur l’ordinateur de l’expéditeur

boîte d'envoi

Une partie de l’en-tête est créée lorsque l’expéditeur crée l’e-mail à envoyer au destinataire. Cela inclura des informations telles que le moment où l’e-mail a été composé, qui l’a composé, la ligne d’objet et à qui l’e-mail est envoyé. Il s’agit de la partie de l’en-tête que vous connaissez le mieux sous la forme des lignes Date :, De :, À : et Objet : en haut de votre e-mail.

De : Guy McDowell <[email protected]>À : “[email protected]” <[email protected]>Date : lundi 29 juillet 2013 15:15:03 -0600Objet : Qu’est-ce qu’un en-tête d’e-mail ?

Sur le service de messagerie de l’expéditeur

salle des serveurs

Plus d’informations sont ajoutées à l’en-tête une fois que l’e-mail est réellement envoyé. Ceci est fourni par le service de messagerie que l’expéditeur utilise. Dans ce cas, l’expéditeur utilise un service de messagerie hébergé, de sorte que l’adresse IP affichée est une adresse interne au réseau du fournisseur de services. Effectuer une recherche WHOIS sur celui-ci ne fournira aucune information utile. Ce que nous pouvons faire, c’est effectuer une recherche Google sur le nom de serveur HEXMBVS12.hostedmsx.local et nous pouvons constater que le fournisseur de services est Telus. Si nous faisons quelques recherches sur le site Web de Telus, nous découvrirons qu’ils offrent un service Microsoft Exchange hébergé. Cela suggère que l’expéditeur utilise probablement Microsoft Outlook, Outlook Express ou Outlook Web Access. Les informations ajoutées ici incluent l’adresse IP de l’expéditeur ([10.9.6.115]), l’heure d’envoi par le service de messagerie de l’expéditeur (lundi 29 juillet 2013 15:13:48 -0600) et l’ID de message pour ce message particulier tel qu’ajouté par le service de messagerie.

        

([email protected]ocal).Received: from HEXMBVS12.hostedmsx.local ([10.9.6.115]) by HEXHUB13.hostedmsx.local ([::1]) with mapi; Mon, 29 Jul 2013 15:13:48 -0600Message-ID: <[email protected]ocal>

En cours de route vers le service de messagerie du destinataire

À partir de là, l’e-mail peut emprunter un certain nombre de routes pour arriver au service de messagerie du destinataire. Cela peut être ajouté à l’en-tête pour montrer les “sauts” que l’e-mail a dû faire pour vous parvenir. Ces sauts commencent au serveur qui a traité le courrier électronique le plus récemment et remontent au serveur qui l’a traité à l’origine, dans l’ordre chronologique inverse. Dans cet exemple, tous les sauts sont internes au service de messagerie de l’expéditeur.

Troisième et dernier saut

        

Received: from mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])by mx.google.com with ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08for <[email protected]>(version=TLSv1 cipher=RC4-SHA bits=128/128);Mon, 29 Jul 2013 14:15:08 -0700 (PDT)Received-SPF: neutral (google.com: 205.206.208.34 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=205.206.208.34;Authentication-Results: mx.google.com;spf=neutral (google.com: 205.206.208.34 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]: trueX-IronPort-Anti-Spam-Result: AkYBAN3a9lHNztK7hGdsb2JhbABYA4JCebVsiEWBHBYOAQEBChZDgiQBAQEEBSAIARsoAhQEARUQAQEBCh4FEAEDCQIMJgEEEgEGAgaIAgyYE6BeBI5KfggOCyiDB28DiSqCBIYRAVmJM4JZjjkdgTUX-IronPort-AV: E=Sophos;i="4.89,772,1367992800";d="jpg'145?scan'145,208,217,145";a="14712973"

Explication du troisième saut

C’est le saut qui l’emmène de Telus au serveur de messagerie des destinataires. Nous pouvons dire qu’il a été reçu par mx.google.com, donc le destinataire a son service de messagerie avec Google. Ici, il est bon de noter la ligne Reçu-SPF : SPF, ou Sender Policy Framework, est une norme par laquelle le serveur de messagerie d’un expéditeur peut se déclarer l’expéditeur légitime de l’e-mail. Dans ce cas, le qualificatif est neutre, ce qui signifie que rien ne peut être dit sur la validité de cet e-mail, bon ou mauvais. L’avait-il enregistré comme échouer, il aurait été rejeté par les serveurs de Gmail. Si c’était softfailGmail l’aurait accepté, mais l’aurait signalé comme n’étant peut-être pas de qui il est censé provenir.

Juste en dessous, vous verrez également trois lignes commençant par X-IronPort-Anti-Spam. La première, X-IronPort-Anti-Spam-Filtered : vrai, est ajouté par l’appliance anti-spam IronPort de Telus. IronPort fait partie de Cisco, il est donc considéré comme assez fiable. le X-IronPort-Anti-Spam-Résultat est destinée uniquement aux appliances IronPort et ne peut pas être décodée à l’œil nu – sauf si vous travaillez pour Cisco et devez la décoder. Le troisième, X-IronPort-AV, indique que l’expéditeur dispose de sa propre appliance anti-spam de Sophos. Il aurait pu lire McAfee ou Norton, ou n’importe quel filtre par lequel passe votre e-mail. En tant que destinataire, cela peut vous donner un peu plus de confiance dans la validité de l’e-mail.

Deuxième saut

Reçu : de inconnu (HELO mail.exchange.telus.com) ([205.206.210.187])par mx21.exchange.telus.com avec ESMTP/TLS/AES128-SHA ; 29 juillet 2013 15:15:07 -0600

Explication du deuxième saut

Il devient évident ici que Telus est le fournisseur de services. En cas de doute à ce sujet, effectuez une vérification WHOIS sur l’adresse IP indiquée : 205.206.210.187. Vous constaterez que l’adresse IP mène également à Telus. Cela vous donne un peu plus confiance que l’e-mail est légitime. Nous pouvons également dire que le message a mis un peu plus d’une minute pour passer du premier saut au deuxième saut. Cela ne nous dit pas grand-chose à moins que vous ne soyez un ingénieur réseau. En théorie, vous pouvez calculer approximativement la distance qui sépare les deux serveurs.

Premier saut

Reçu : de HEXMBVS12.hostedmsx.local ([10.9.6.115]) parHEXHUB13.hostedmsx.local ([::1]) avec mapi ; Lundi 29 juillet 2013 15:13:48 -0600

Explication du premier saut

Le premier saut est le serveur de messagerie de l’expéditeur qui reçoit son message électronique. À ce stade, l’e-mail se déplace toujours en interne au sein du réseau du serveur de messagerie de l’expéditeur. Vous pouvez dire par le fait que l’adresse IP commence par dix. Les adresses IP commençant par 10 sont réservées à un usage interne uniquement.

Au niveau du serveur de messagerie du destinataire

Livré à : [email protected]: par 10.223.200.70 avec l’identifiant SMTP ev6csp162209fab ; lundi 29 juillet 2013 14:15:09 -0700 (PDT) X-reçu : par 10.236.227.202 avec l’identifiant SMTP d70mr27737943yhq.86.1375132508769 ; -0700 (PDT) Chemin de retour : <[email protected]>

boîte de réception

Une fois qu’il arrive au service de messagerie du destinataire, plus d’informations sont ajoutées à l’en-tête – lequel des serveurs de services de messagerie du destinataire l’a reçu et quand, de quel serveur de messagerie le message a été reçu, l’adresse e-mail du destinataire prévu et l’expéditeur a déclaré ‘ répondre à l’adresse e-mail. de retour dans le troisième saut, nous avons vu que le service de messagerie du destinataire était avec Google. Nous pouvons dire que cet e-mail a été reçu par un serveur interne et transmis à un autre – 10.236.227.202 à 10.223.200.70. Plus important encore, nous pouvons dire par le Chemin de retour : <[email protected]> que l’e-mail auquel répondre et l’e-mail de l’expéditeur sont identiques. Cela nous indique également qu’il y a de fortes chances que cet e-mail soit légitime.

Autres choses d’autres en-têtes

Cet en-tête de courrier électronique particulier est limité dans ses informations car un service de messagerie hébergé est utilisé. Si l’expéditeur utilisait son propre serveur de messagerie, nous pourrions peut-être obtenir un peu plus d’informations. Nous pourrons peut-être déterminer exactement quel client de messagerie ils utilisent. Ou nous pourrions effectuer un WHOIS sur l’adresse IP de l’expéditeur et obtenir un emplacement approximatif de l’expéditeur. Nous pourrions également effectuer une simple recherche Web sur le domaine de l’expéditeur et voir s’il existe un site Web pour lui. Sur la base de ce site Web, nous pourrons peut-être trouver encore plus d’informations sur l’expéditeur. Vous pouvez effectuer une recherche Web sur l’adresse e-mail elle-même et commencer à doxer la personne. Si vous n’êtes pas familier avec le concept de « doxing », familiarisez-vous avec Qu’est-ce que le doxing et comment cela affecte-t-il votre vie privée ? Lisez également l’article de Ryan Dube, 15 sites Web pour trouver des personnes sur Internet. Cet en-tête de courrier électronique particulier est limité dans ses informations car un service de messagerie hébergé est utilisé. Si l’expéditeur utilisait son propre serveur de messagerie, nous pourrions peut-être obtenir un peu plus d’informations. Nous pourrons peut-être déterminer exactement quel client de messagerie ils utilisent. Ou nous pourrions effectuer un WHOIS sur l’adresse IP de l’expéditeur et obtenir un emplacement approximatif de l’expéditeur. Nous pourrions également effectuer une simple recherche Web sur le domaine de l’expéditeur et voir s’il existe un site Web pour lui. Sur la base de ce site Web, nous pourrons peut-être trouver encore plus d’informations sur l’expéditeur. Vous pouvez effectuer une recherche Web sur l’adresse e-mail elle-même et commencer à doxer la personne. Si vous n’êtes pas familier avec le concept de « doxing », familiarisez-vous avec Qu’est-ce que le doxing et comment cela affecte-t-il votre vie privée ? Lisez également l’article de Ryan Dube, 15 sites Web pour trouver des personnes sur Internet.

Les plats à emporter

Toutes les communications électroniques laissent des empreintes. Certains sont plus grands et plus faciles à suivre. Certains sont masqués par des filtres Web et des serveurs proxy. Quoi qu’il en soit, ce qui reste nous dit quelque chose sur la personne qui les a créés. À partir de ces métadonnées, nous pourrions mener d’autres enquêtes pour en savoir plus sur les personnes impliquées. Cachent-ils quelque chose en utilisant un VPN ? Sont-ils vraiment d’une entreprise légitime avec une présence Web légitime ? Est-ce quelqu’un avec qui j’ai vraiment envie de sortir ? Qu’est-ce que les gens ordinaires peuvent apprendre sur moi, sans parler de la NSA ?

Jetez un œil aux en-têtes de vos e-mails et voyez ce qu’ils disent de vous. Si vous trouvez des lignes d’en-tête qui n’ont pas beaucoup de sens, mettez-les dans les commentaires et nous essaierons de les décoder. Avez-vous dû faire une enquête sur l’en-tête d’e-mail ? Dis nous à propos de cela! C’est ainsi que nous apprenons tous.

Crédit image : Salle des serveurs par torkildr via Flickr. Crédit image : Salle des serveurs par torkildr via Flickr.

Leave a Comment

Your email address will not be published. Required fields are marked *