Les protocoles de messagerie ne vérifient pas que les adresses sont légitimes - les fraudeurs, les phishers et d’autres personnes malveillantes exploitent cette faiblesse du système. Vous pouvez examiner les en-têtes d'un email suspect pour voir si son adresse a été falsifiée.
Comment fonctionne l'e-mail
Votre logiciel de messagerie affiche le destinataire de la messagerie dans le champ "De". Toutefois, aucune vérification n’est réellement effectuée - votre logiciel de messagerie n’a aucun moyen de savoir si un e-mail provient réellement de son destinataire. Chaque e-mail comporte un en-tête «De», qui peut être falsifié. Par exemple, tout fraudeur peut vous envoyer un e-mail qui semble provenir de [email protected]. Votre client de messagerie vous dirait qu'il s'agit d'un courriel de Bill Gates, mais il ne dispose d'aucun moyen de vérification.
Considérez le champ "De" d'un courrier électronique comme l'équivalent numérique de l'adresse de retour imprimée sur les enveloppes que vous recevez par la poste. Généralement, les gens mettent une adresse de retour exacte sur le courrier. Cependant, n'importe qui peut écrire ce qu'il veut dans le champ d'adresse de retour - le service postal ne vérifie pas qu'une lettre provient bien de l'adresse de retour imprimée.
Lorsque le protocole SMTP (protocole de transfert de courrier simple) a été conçu dans les années 1980 pour être utilisé par les universités et les organismes gouvernementaux, la vérification des expéditeurs n'était pas un sujet de préoccupation.
Comment enquêter sur les en-têtes d'un email
Vous pouvez voir plus de détails sur un email en fouillant dans les en-têtes de cet email. Ces informations se trouvent dans différentes zones de différents clients de messagerie. Elles peuvent être appelées «source» ou «en-têtes» de la messagerie.
(Bien sûr, c’est généralement une bonne idée de ne pas tenir compte des courriels suspects. Si vous n’êtes pas du tout sûr d’un courrier électronique, c’est probablement une arnaque.)
Dans Gmail, vous pouvez examiner ces informations en cliquant sur la flèche en haut à droite d'un e-mail et en sélectionnant Montrer l'original. Ceci affiche le contenu brut de l’email.
Delivered-To: [MY EMAIL ADDRESS] Received: by 10.182.3.66 with SMTP id a2csp104490oba; Sat, 11 Aug 2012 15:32:15 -0700 (PDT) Received: by 10.14.212.72 with SMTP id x48mr8232338eeo.40.1344724334578; Sat, 11 Aug 2012 15:32:14 -0700 (PDT) Return-Path: Received: from 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30]) by mx.google.com with ESMTP id c41si1698069eem.38.2012.08.11.15.32.13; Sat, 11 Aug 2012 15:32:14 -0700 (PDT) Received-SPF: neutral (google.com: 72.255.12.30 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=72.255.12.30; Authentication-Results: mx.google.com; spf=neutral (google.com: 72.255.12.30 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by vwidxus.net id hnt67m0ce87b for <[MY EMAIL ADDRESS]>; Sun, 12 Aug 2012 10:01:06 -0500 (envelope-from ) Received: from vwidxus.net by web.vwidxus.net with local (Mailing Server 4.69) id 34597139-886586-27/./PV3Xa/WiSKhnO+7kCTI+xNiKJsH/rC/ for [email protected]; Sun, 12 Aug 2012 10:01:06 –0500
From: “Canadian Pharmacy” [email protected]
Il y a plus d’en-têtes, mais ce sont les plus importants: ils apparaissent en haut du texte brut de l’e-mail. Pour comprendre ces en-têtes, commencez par le bas - ces en-têtes retracent le cheminement du courrier électronique de son expéditeur à vous. Chaque serveur recevant l'e-mail ajoute d'autres en-têtes en haut - les en-têtes les plus anciens des serveurs où le courrier a commencé sont situés en bas.
L'en-tête «De» au bas de l'écran indique que l'e-mail provient d'une adresse @ yahoo.com - il s'agit simplement d'un élément d'information inclus dans l'e-mail; ça pourrait être n'importe quoi. Cependant, au-dessus de celui-ci, nous pouvons voir que le courrier électronique a été reçu pour la première fois par «vwidxus.net» (ci-dessous) avant d’être reçu par les serveurs de messagerie de Google (ci-dessus). Il s’agit d’un drapeau rouge. Nous nous attendons à ce que l’en-tête «Reçus:» le plus bas de la liste soit l’un des serveurs de messagerie de Yahoo !.
Les adresses IP impliquées peuvent également vous indiquer si vous recevez un e-mail suspect d'une banque américaine, mais que l'adresse IP reçue provient du Nigeria ou de la Russie, il s'agit probablement d'une adresse e-mail falsifiée.
Dans ce cas, les spammeurs ont accès à l’adresse «[email protected]», où ils souhaitent recevoir les réponses à leurs spams, mais ils falsifient néanmoins le champ «De:». Pourquoi? Probablement parce qu’ils ne peuvent pas envoyer d’énormes quantités de spam via les serveurs de Yahoo!, Ils se feront remarquer et seront fermés. Au lieu de cela, ils envoient du spam à partir de leurs propres serveurs et falsifient leur adresse.