Découvrir la Source d'un E-mail: Examen des différents champs "From"

L'analyse des en-têtes d'e-mail (e-mail headers) permet de déterminer l'origine d'un e-mail. Ces en-têtes révèlent les informations qui permettent d'attribuer l'origine d'un e-mail à une source.

Exemple :

broken image

Return path domain / SMTP.mailfrom / Enveloppe from

Ces termes se réfèrent à l'adresse e-mail qui recevra des notifications en cas d'échec de la livraison d'un e-mail pour diverses raisons, telles qu'une adresse de destinataire erronée ou un filtrage antispam :

Return-Path: sf174095-ovh@undelivered.ovh.com

smtp.mailfrom=undelivered.ovh.com;

Cette adresse e-mail est une adresse technique et, en tant que telle, n'est jamais affichée dans un client mail comme Outlook/Gmail/Yahoo/etc. Il ne faut donc pas la confondre avec le "header from” qui est visible dans un client Outlook ou avec l’adresse “reply to”.

Le domaine auquel appartient l'adresse e-mail "Return Path " (smtp.mailfrom) permet de réaliser la vérification SPF, qui prouve que l'adresse IP de l'expéditeur était autorisée par le domaine "undelivered.ovh.com" à envoyer des e-mails avec une adresse "Return Path " sf174095-ovh@undelivered.ovh.com :

Received-SPF: Pass (protection.outlook.com: domain of undelivered.ovh.com designates 178.32.228.195 as permitted sender)

Le domaine "undelivered.ovh.com" ci-dessus revendique la propriété de cet e-mail grâce à une réussite de la vérification SPF.

Le domaine de signature DKIM

Cette expression se rapporte au domaine de signature DKIM, qui indique que l'e-mail a été signé à l'aide d'une clé cryptographique contrôlée par le domaine ovh.com :

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=ovh.com; s=mailout;

Le domaine ovh.com revendique la propriété de cet e-mail grâce à une vérification DKIM. Cependant, celle-ci peut parfois échouer, comme lorsque Outlook ne prend pas la peine de vérifier la signature DKIM lorsque la vérification SPF est positive (dkim=fail (body hash did not verify)).

Le Header from

Ce terme fait référence à l’adresse e-mail de l’émetteur qui est affichée dans le client Outlook :

X-Ovh-Template: invoicing/fr/renewInvoice.model To: xxx@xxxx.com From: support@ovh.com Content-Type: text/plain; charset=ISO-8859-15 Content-Transfer-Encoding: 8bit Subject: [sf174095-ovh] Votre facture est disponible dans votre espace client Mime-Version: 1.0

Ce champ n'a qu'une valeur esthétique et ne garantit pas que l'e-mail a été effectivement envoyé par support@ovh.com. Pour être sûr de cela, il est nécessaire de s'assurer que la vérification DMARC a réussi pour le domaine ovh.com. C’est le cas de notre e-mail ci-dessous :

header.d=ovh.com;dmarc=pass action=none header.from=ovh.com;compauth=pass reason=100

Encore une fois, le domaine ovh.com revendique la paternité de cet e-mail

Le received from

Ce terme indique qu’un serveur “SMTP HE1EUR01FT028.mail.protection.outlook.com (10.152.0.157)” a reçu un e-mail de la part d’un autre serveur “SMTP mo195.mail-out.ovh.net (178.32.228.195)”:

Received: from mo195.mail-out.ovh.net (178.32.228.195) by HE1EUR01FT028.mail.protection.outlook.com (10.152.0.157)

Les en-têtes d'e-mail indiquent ainsi tous les serveurs SMTP qui ont reçu et transmis l'e-mail à sa destination finale.

Ce trajet doit se lire de bas en haut :

broken image

En conclusion, pour déterminer la source d'un e-mail, il est important de savoir examiner son en-tête. Une compréhension approfondie de ces en-têtes peut aider à prévenir les arnaques en ligne et les attaques de phishing.