Pourquoi s'embêter à regarder un en-tête d'e-mail?
C'est une très bonne question. Dans la plupart des cas, vous n’auriez vraiment jamais besoin de:
- Vous pensez qu'un courrier électronique est une tentative de phishing ou une usurpation d'identité
- Vous souhaitez afficher les informations de routage sur le chemin du courrier électronique
- Vous êtes un geek curieux
Quelles que soient vos raisons, la lecture des en-têtes de courrier électronique est en fait assez facile et peut être très révélatrice.
Remarque sur l'article: Nous allons utiliser Gmail pour nos captures d'écran et nos données, mais pratiquement tous les autres clients de messagerie devraient également fournir ces mêmes informations.
Affichage de l'en-tête de l'e-mail
Dans Gmail, affichez l'email. Pour cet exemple, nous allons utiliser l'email ci-dessous.
Remarque: dans toutes les données d'en-tête de l'e-mail indiquées ci-dessous, j'ai modifié mon adresse Gmail afin d'afficher le message. [email protected] et mon adresse électronique externe à afficher en tant que [email protected] et [email protected] ainsi que masqué l'adresse IP de mes serveurs de messagerie.
Livré à: [email protected] Reçu: avant le 10.60.14.3 avec l'identifiant SMTP l3csp18666oec; Mar., 6 mars 2012 08:30:51 -0800 (PST) Received: by 10.68.125.129 avec l'identifiant SMTP mq1mr1963003pbb.21.1331051451044; Mar., 06 mars 2012 08:30:51 -0800 (PST) Chemin de retour:
Lorsque vous lisez l'en-tête d'un e-mail, les données sont dans l'ordre chronologique inverse, ce qui signifie que les informations en haut constituent l'événement le plus récent. Par conséquent, si vous souhaitez suivre le courrier électronique de l'expéditeur au destinataire, commencez par le bas. En examinant les en-têtes de cet email, nous pouvons voir plusieurs choses.
Nous voyons ici les informations générées par le client expéditeur. Dans ce cas, l'e-mail a été envoyé à partir d'Outlook. Il s'agit donc des métadonnées ajoutées par Outlook.
From: Jason Faulkner To: “[email protected]” Date: Tue, 6 Mar 2012 11:30:48 -0500 Subject: This is a legit email Thread-Topic: This is a legit email Thread-Index: Acz7tnUyKZWWCcrUQ+++QVd6awhl+Q== Message-ID: <682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5@MYSERVER.myserver.local> Accept-Language: en-US Content-Language: en-US X-MS-Has-Attach: X-MS-TNEF-Correlator: acceptlanguage: en-US Content-Type: multipart/alternative; boundary=”_000_682A3A66C6EAC245B3B7B088EF360E15A2B30B10D5HARDHAT2hardh_” MIME-Version: 1.0
La partie suivante retrace le chemin emprunté par l'e-mail du serveur d'envoi au serveur de destination. N'oubliez pas que ces étapes (ou sauts) sont répertoriées dans l'ordre chronologique inverse. Nous avons placé le numéro respectif à côté de chaque saut pour illustrer la commande. Notez que chaque saut montre des détails sur l'adresse IP et le nom DNS inversé respectif.
Delivered-To: [email protected] [6] Received: by 10.60.14.3 with SMTP id l3csp18666oec; Tue, 6 Mar 2012 08:30:51 -0800 (PST) [5] Received: by 10.68.125.129 with SMTP id mq1mr1963003pbb.21.1331051451044; Tue, 06 Mar 2012 08:30:51 -0800 (PST) Return-Path: [4] Received: from exprod7og119.obsmtp.com (exprod7og119.obsmtp.com. [64.18.2.16]) by mx.google.com with SMTP id l7si25161491pbd.80.2012.03.06.08.30.49; Tue, 06 Mar 2012 08:30:50 -0800 (PST) [3] Received-SPF: neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=64.18.2.16; Authentication-Results: mx.google.com; spf=neutral (google.com: 64.18.2.16 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] [2] Received: from mail.externalemail.com ([XXX.XXX.XXX.XXX]) (using TLSv1) by exprod7ob119.postini.com ([64.18.6.12]) with SMTP ID DSNKT1Y7uSEvyrMLco/atcAoN+95PMku3Y/[email protected]; Tue, 06 Mar 2012 08:30:50 PST [1] Received: from MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3]) by MYSERVER.myserver.local ([fe80::a805:c335:8c71:cdb3%11]) with mapi; Tue, 6 Mar 2012 11:30:48 -0500
Bien que cela soit assez banal pour un courrier électronique légitime, cette information peut être assez révélatrice lorsqu'il s'agit d'examiner des courriers indésirables ou de phishing.
Examen d'un courrier électronique de phishing - Exemple 1
Pour notre premier exemple de phishing, nous examinerons un courrier électronique qui constitue une tentative de phishing évidente. Dans ce cas, nous pourrions identifier ce message comme une fraude simplement par les indicateurs visuels, mais pour la pratique, nous examinerons les signes d’avertissement dans les en-têtes.
Livré à: [email protected] Reçu: avant le 10.60.14.3 avec l'identifiant SMTP l3csp12958oec; Lun., 5 mars 2012 23:11:29 -0800 (PST) Received: by 10.236.46.164 avec l'identifiant SMTP r24mr7411623yhb.101.1331017888982; Lun., 05 mars 2012 23:11:28 -0800 (PST) Chemin de retour:
Le premier drapeau rouge est dans la zone d'informations du client. Notez ici que les métadonnées ajoutées font référence à Outlook Express. Il est peu probable que Visa soit aussi en retard sur le fait qu’une personne envoie manuellement des courriels à l’aide d’un client de messagerie âgé de 12 ans.
Reply-To: From: “[email protected]” Subject: Notice Date: Mon, 5 Mar 2012 21:20:57 +0800 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”--=_NextPart_000_0055_01C2A9A6.1C1757C0″ X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: Microsoft Outlook Express 6.00.2600.0000 X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000 X-ME-Bayesian: 0.000000
En examinant maintenant le premier saut dans l’acheminement du courrier électronique, il apparaît que l’expéditeur était situé à l’adresse IP 118.142.76.58 et que son courrier électronique était relayé par le serveur de messagerie mail.lovingtour.com.
Received: from User ([118.142.76.58]) by mail.lovingtour.com; Mon, 5 Mar 2012 21:38:11 +0800
En recherchant les informations IP à l'aide de l'utilitaire IPNetInfo de Nirsoft, nous pouvons voir que l'expéditeur était situé à Hong Kong et le serveur de messagerie en Chine.
Les autres sauts de courrier électronique ne sont pas vraiment pertinents dans ce cas car ils montrent le courrier rebondissant autour du trafic de serveur légitime avant d'être finalement remis.
Examen d'un courrier électronique de phishing - Exemple 2
Pour cet exemple, notre courrier électronique de phishing est beaucoup plus convaincant. Il y a quelques indicateurs visuels ici si vous regardez assez, mais encore une fois, pour les besoins de cet article, nous allons limiter notre enquête aux en-têtes de courrier électronique.
Livré à: [email protected] Reçu: avant le 10.60.14.3 avec l'identifiant SMTP l3csp15619oec; Mar., 6 mars 2012 04:27:20 -0800 (PST) Received: by 10.236.170.165 avec l'identifiant SMTP p25mr8672800yhl.123.1331036839870; Mar., 06 mars 2012 04:27:19 -0800 (PST) Chemin de retour:
Dans cet exemple, aucune application client de messagerie n'a été utilisée, mais un script PHP avec l'adresse IP source de 118.68.152.212.
To: Subject: Your Intuit.com invoice. X-PHP-Script: intuit.com/sendmail.php for 118.68.152.212 From: “INTUIT INC.” X-Sender: “INTUIT INC.” X-Mailer: PHP X-Priority: 1 MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=”----03060500702080404010506″ Message-Id: Date: Tue, 6 Mar 2012 19:27:05 +0700 X-ME-Bayesian: 0.000000
Cependant, lorsque nous examinons le premier saut de courrier électronique, il semble légitime que le nom de domaine du serveur expéditeur corresponde à l’adresse électronique. Cependant, méfiez-vous de ceci car un spammeur pourrait facilement nommer son serveur «intuit.com».
Received: from apache by intuit.com with local (Exim 4.67) (envelope-from ) id GJMV8N-8BERQW-93 for ; Tue, 6 Mar 2012 19:27:05 +0700
Examiner la prochaine étape détruit ce château de cartes. Vous pouvez voir que le deuxième saut (où il est reçu par un serveur de messagerie légitime) résout le serveur d'envoi en renvoyant le domaine «dynamic-pool-xxx.hcm.fpt.vn», et non «intuit.com» avec la même adresse IP. indiqué dans le script PHP.
Received: from dynamic-pool-xxx.hcm.fpt.vn ([118.68.152.212]) by ms.externalemail.com with MailEnable ESMTP; Tue, 6 Mar 2012 07:27:08 -0500
L’affichage des informations sur l’adresse IP confirme la suspicion de la localisation du serveur de messagerie au Viet Nam.
Conclusion
Bien que l’affichage des en-têtes d’e-mails ne fasse probablement pas partie de vos besoins quotidiens habituels, il existe des cas où les informations qu’ils contiennent peuvent être très utiles. Comme nous l'avons montré ci-dessus, vous pouvez facilement identifier les expéditeurs qui se font passer pour des masques. Pour une arnaque très bien exécutée où les repères visuels sont convaincants, il est extrêmement difficile (voire impossible) de se faire passer pour des serveurs de messagerie réels et une analyse des informations contenues dans les en-têtes de courrier électronique peut révéler rapidement tout stratagème.
Liens
Téléchargez IPNetInfo de Nirsoft
