Que pouvez-vous apprendre d'un en-tête d'e-mail (métadonnées)?

Avez-vous déjà reçu un email et vous vous êtes vraiment demandé d'où venait ce message? Qui l'a envoyé? Comment ont-ils pu savoir qui vous êtes? Étonnamment, beaucoup d'informations peuvent provenir de l'en-tête de l'e-mail ou en utilisant les informations de l'en-tête de l'e-mail pour effectuer un travail de détective..

L'en-tête est une partie du message que la plupart des gens ne voient même jamais. Il contient de nombreuses données qui semblent un peu encombrantes pour l’utilisateur informatique moyen. L’utilisation du courrier électronique étant devenue un outil quotidien dans la vie de tous, les clients de messagerie ont commencé à cacher ces informations pour des raisons pratiques. De nos jours, il peut même être un peu gênant de dévoiler l'en-tête, même pour ceux qui savent qu'il est là. Il existe tellement de clients de messagerie différents, qu’ils soient basés sur le Web ou sur le bureau, qu’expliquer comment afficher l’en-tête de la messagerie électronique pourrait devenir un petit livre. Aujourd'hui, nous allons simplement nous concentrer sur la manière de révéler l'en-tête dans Gmail, puis sur ce que nous pouvons extraire de l'en-tête..

Qu'est-ce qu'un en-tête de courrier électronique??

Un en-tête de courrier électronique est une collection d'informations qui décrit le chemin par lequel le courrier électronique vous a été envoyé. Il peut y avoir beaucoup d'informations dans l'en-tête ou juste les bases. Il existe une norme concernant les informations à inclure dans un en-tête, mais il n'y a pas vraiment de limite aux informations qu'un serveur de messagerie peut mettre dans l'en-tête. Si vous êtes curieux de savoir à quoi ressemble un protocole de messagerie standard, consultez le RFC 5321 - Simple Mail Transfer Protocol. C'est un peu dur sur la tête, surtout si vous n'avez pas besoin de savoir ce genre de choses.

Gmail - Afficher l'en-tête de l'e-mail

Une fois que vous avez ouvert un message électronique dans Gmail, cliquez sur la flèche orientée vers le bas située dans le coin supérieur droit du message. Un nouveau menu va se montrer. Cliquez sur Afficher l'original pour voir le message électronique brut avec son contenu complet et son en-tête révélé..

Une nouvelle fenêtre ou un nouvel onglet s'ouvrira et vous verrez une version texte de votre courriel avec l'en-tête en haut, bien sûr. Le contenu de l'en-tête ressemblera à ceci:

Livré à: [email protected]
Reçu: avant le 10.223.200.70 avec l'identifiant SMTP ev6csp162209fab;
Lun., 29 juil. 2013 14:15:09 -0700 (PDT)
X-Received: avant le 10.236.227.202 avec l’identifiant SMTP d70mr27737943yhq.86.1375132508769;
Lun., 29 juil. 2013 14:15:08 - 0700 (PDT)
Chemin de retour:
Reçu: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
par mx.google.com avec l'ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
pour
(version = chiffre TLSv1 = bits RC4-SHA = 128/128);
Lun., 29 juil. 2013 14:15:08 - 0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 n'est ni autorisé ni refusé par le meilleur enregistrement de supposition pour le domaine de [email protected]) client-ip = 205.206.208.34;
Résultats d'authentification: mx.google.com;
spf = neutral (google.com: 205.206.208.34 n'est ni autorisé ni refusé par l'enregistrement de meilleure estimation pour le domaine de [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-EP
X-IronPort-AV: E = Sophos; i =”4,889,772,1367992800 ";
d =”jpg'145? scan'145,208,217,145 "; a =”14712973 "
Reçu: de inconnu (HELO mail.exchange.telus.com) ([205.206.210.187])
par mx21.exchange.telus.com avec ESMTP / TLS / AES128-SHA; 29 juil 2013 15:15:07 -0600
Reçu: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) par
HEXHUB13.hostedmsx.local ([:: 1]) avec mapi; Lun., 29 juil. 2013 15:13:48 -0600
De: Guy McDowell
À: “[email protected]”
Date: lun. 29 juil. 2013 15:15:03 -0600
Objet: Qu'est-ce qu'un en-tête de courrier électronique??
Sujet de discussion: Qu'est-ce qu'un en-tête de courrier électronique??
Index de thread: Ac6MoKVNNmE / 49PeSfezKxVNOP2KEQ ==
ID du message: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>
Accept-Language: en-US
Content-Language: en-US
X-MS-Has-Attach: oui
Corrélateur X-MS-TNEF:
acceptlanguage: en-US
Type de contenu: multipart / related;
limite =”_004_5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2HEXMBVS12host_”;
type =”en plusieurs parties / alternative”
MIME-Version: 1.0

C'est bien. Qu'est-ce que ça veut dire?

Comment est créé l'en-tête de courrier électronique??

En sachant comment l'en-tête est créé le long du chemin emprunté par un courrier électronique, vous développerez un aperçu plus clair de la signification des données d'un en-tête. Regardons les parties au fur et à mesure qu'elles sont ajoutées et ce que signifient les parties les plus importantes.

Sur l'ordinateur de l'expéditeur

Une partie de l'en-tête est créée lorsque l'expéditeur crée le courrier électronique à envoyer au destinataire. Cela inclura des informations telles que la date de composition du courrier électronique, qui l'a composé, la ligne d'objet et à qui le courrier est envoyé. C’est la partie de l’en-tête que vous connaissez le mieux en tant que lignes Date:, De:, Vers: et Sujet: en haut de votre courrier électronique..

De: Guy McDowell
À: “[email protected]”
Date: lun. 29 juil. 2013 15:15:03 -0600
Objet: Qu'est-ce qu'un en-tête de courrier électronique??

Sur le service de messagerie de l'expéditeur

Plus d'informations sont ajoutées à l'en-tête une fois le courrier électronique envoyé. Ceci est fourni par le service de messagerie que l'expéditeur utilise. Dans ce cas, l'expéditeur utilise un service de messagerie hébergé. L'adresse IP indiquée est donc une adresse interne au réseau du fournisseur de service. Effectuer une recherche WHOIS sur celui-ci ne fournira aucune information utile. Ce que nous pouvons faire est d’effectuer une recherche Google sur le nom du serveur HEXMBVS12.hostedmsx.local et nous pouvons constater que le fournisseur de services est Telus. Si nous explorons le site Web de Telus, nous découvrirons qu’ils offrent un service Microsoft Exchange hébergé. Cela suggère que l'expéditeur utilise probablement Microsoft Outlook, Outlook Express ou Outlook Web Access. Les informations ajoutées ici incluent l'adresse IP de l'expéditeur ([10.9.6.115]), l'heure d'envoi par le service de messagerie de l'expéditeur (lun. 29 juil 2013 15:13:48 - 600) et l'ID de message correspondant. message ajouté par le service de messagerie.

(5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local).
Reçu: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) par HEXHUB13.hostedmsx.local ([:: 1]) avec mapi; Lun., 29 juil. 2013 15:13:48 -0600
ID du message: <5FE22E33565B894BBE2CB78DD0396DA01808A1B1B2@HEXMBVS12.hostedmsx.local>

En route vers le service de messagerie du destinataire

À partir de là, le courrier électronique peut prendre un certain nombre de routes pour aboutir au service de messagerie du destinataire. Cela peut être ajouté à l'en-tête pour montrer les "sauts" que l'email a dû faire pour vous parvenir. Ces sauts commencent sur le serveur qui a le plus récemment traité le courrier électronique et retournent au serveur qui l’a traité à l’origine, dans l’ordre chronologique inverse. Dans cet exemple, tous les sauts sont internes au service de messagerie de l'expéditeur..

Troisième et dernier saut

Reçu: de mx21.exchange.telus.com (MX21.exchange.telus.com. [205.206.208.34])
par mx.google.com avec l'ESMTPS id y27si28720489yhc.101.2013.07.29.14.15.08
pour
(version = chiffre TLSv1 = bits RC4-SHA = 128/128);
Lun., 29 juil. 2013 14:15:08 - 0700 (PDT)
Received-SPF: neutral (google.com: 205.206.208.34 n'est ni autorisé ni refusé par le meilleur enregistrement de supposition pour le domaine de [email protected]) client-ip = 205.206.208.34;
Résultats d'authentification: mx.google.com;
spf = neutral (google.com: 205.206.208.34 n'est ni autorisé ni refusé par l'enregistrement de meilleure estimation pour le domaine de [email protected]) [email protected]
X-IronPort-Anti-Spam-Filtered: true
X-IronPort-EP
X-IronPort-AV: E = Sophos; i =”4,889,772,1367992800 ";
d =”jpg'145? scan'145,208,217,145 "; a =”14712973 "

Explication du troisième saut
C’est le saut qui le conduit de Telus au serveur de messagerie des destinataires. Nous pouvons dire qu'il a été reçu par mx.google.com, le destinataire dispose donc de son service de messagerie avec Google. Ici, il est bon de noter la ligne Reçu-SPF: SPF, ou Sender Policy Framework, est une norme selon laquelle le serveur de messagerie d'un expéditeur peut se déclarer comme l'expéditeur légitime de l'e-mail. Dans ce cas, le qualificatif est neutre, ce qui signifie que rien ne peut être dit sur la validité de cet e-mail, bon ou mauvais. Avait-il enregistré comme échouer, il aurait été rejeté par les serveurs de Gmail. Si c'était softfail, Gmail l'aurait accepté, mais l'a signalé comme n'étant peut-être pas l'auteur du message..

Juste en dessous, vous verrez également trois lignes commençant par X-IronPort-Anti-Spam. La première, X-IronPort-Anti-Spam-Filtered: true, l’appliance anti-spam IronPort de Telus. IronPort fait partie de Cisco et est donc considéré comme assez fiable. le X-IronPort-Anti-Spam-Result Cette ligne est uniquement destinée aux appareils IronPort et ne peut pas être décodée à l’œil humain - sauf si vous travaillez pour Cisco et devez le décoder. Le troisième, X-IronPort-AV, montre que l'expéditeur dispose de sa propre appliance antispam de Sophos. Il aurait pu lire McAfee ou Norton, ou le filtre de votre courrier électronique. En tant que destinataire, cela peut vous donner un peu plus de confiance en la validité de l'e-mail..

Deuxième saut

Reçu: de inconnu (HELO mail.exchange.telus.com) ([205.206.210.187])
par mx21.exchange.telus.com avec ESMTP / TLS / AES128-SHA; 29 juil 2013 15:15:07 -0600

Explication du deuxième saut
Il devient évident ici que Telus est le fournisseur de services. En cas de doute, effectuez un contrôle WHOIS sur l'adresse IP indiquée: 205.206.210.187. Vous constaterez que l'adresse IP mène également à Telus. Cela vous donne un peu plus de confiance que le courrier électronique est légitime. Nous pouvons également dire que le message a pris un peu plus d'une minute pour aller du premier au deuxième saut. Cela ne nous en dit pas beaucoup, sauf si vous êtes un ingénieur réseau. En théorie, vous pourriez calculer à peu près à quelle distance se trouvent les deux serveurs.

Premier saut

Reçu: de HEXMBVS12.hostedmsx.local ([10.9.6.115]) par
HEXHUB13.hostedmsx.local ([:: 1]) avec mapi; Lun., 29 juil. 2013 15:13:48 -0600

Explication du premier saut
Le premier saut est le serveur de messagerie de l'expéditeur qui reçoit son message. À ce stade, le courrier électronique continue de se déplacer en interne sur le réseau du serveur de messagerie de l'expéditeur. Vous pouvez dire par le fait que l'adresse IP commence par dix. Les adresses IP commençant par 10 sont réservées à un usage interne.

Sur le serveur de messagerie du destinataire

Livré à: [email protected]
Reçu: avant le 10.223.200.70 avec l'identifiant SMTP ev6csp162209fab;
Lun., 29 juil. 2013 14:15:09 -0700 (PDT)
X-Received: avant le 10.236.227.202 avec l’identifiant SMTP d70mr27737943yhq.86.1375132508769;
Lun., 29 juil. 2013 14:15:08 - 0700 (PDT)
Chemin de retour:

Une fois qu’il parvient au service de messagerie du destinataire, des informations supplémentaires sont ajoutées à l’en-tête - quels serveurs de services de messagerie du destinataire l’ont reçu et quand, de quel serveur de messagerie le message a-t-il été reçu, de l’adresse électronique du destinataire et de la réponse indiquée de l’expéditeur à l'adresse e-mail. De retour dans le troisième saut, nous avons vu que le service de messagerie du destinataire était celui de Google. Nous pouvons dire que ce courrier électronique a été reçu par un serveur interne et transmis à un autre - 10.236.227.202 à 10.223.200.70. Plus important encore, nous pouvons dire par le Chemin de retour: que le courrier électronique auquel répondre et le courrier électronique de l'expéditeur sont les mêmes. Cela nous indique également qu'il y a de bonnes chances que ce courrier électronique soit légitime..

Autres éléments d'autres en-têtes

Les informations de cet en-tête de courrier électronique sont limitées car un service de courrier électronique hébergé est utilisé. Si l'expéditeur utilisait son propre serveur de messagerie, nous pourrions peut-être obtenir un peu plus d'informations. Nous pourrions être en mesure de déterminer exactement quel client de messagerie ils utilisent. Ou nous pourrions effectuer un WHOIS sur l'adresse IP de l'expéditeur et obtenir un emplacement approximatif de l'expéditeur. Nous pourrions également effectuer une simple recherche Web sur le domaine de l'expéditeur et voir s'il existe un site Web pour eux. Sur la base de ce site Web, nous pourrons peut-être trouver encore plus d'informations sur l'expéditeur. Vous pouvez effectuer une recherche Web sur l’adresse e-mail elle-même et commencer à regarder la personne. Si vous n'êtes pas familier avec le concept de «doxing», familiarisez-vous avec Qu'est-ce que Doxing et l'impact de Joel Lee sur votre vie privée? Qu'est-ce que Doxing et en quoi cela affecte-t-il votre vie privée? [MakeUseOf explique] Qu'est-ce que Doxing et en quoi cela affecte-t-il votre vie privée? [MakeUseOf explique] La confidentialité sur Internet est une affaire énorme. L'un des avantages déclarés d'Internet est que vous pouvez rester anonyme derrière votre moniteur lorsque vous naviguez sur Internet, discutez et faites tout ce que vous faites. Lisez aussi Lisez aussi l'article de Ryan Dube, 15 sites Web pour trouver des gens en ligne Internet 12 Sites Web pour rechercher des internautes 12 Sites Web pour rechercher des internautes Si vous recherchez un ami perdu depuis longtemps ou souhaitez peut-être vérifier l'historique de quelqu'un, considérez ces ressources gratuites pour rechercher des internautes sur Internet. . Lire la suite .

Le emporter

Toutes les communications électroniques laissent des traces. Certaines sont plus grandes et plus faciles à suivre. Certains sont masqués par les filtres Web et les serveurs proxy. Quoi qu'il en soit, ce qui reste nous dit quelque chose sur la personne qui les a créés. À partir de ces métadonnées, nous pourrions mener d'autres enquêtes pour en savoir plus sur les personnes impliquées. Est-ce qu'ils cachent quelque chose en utilisant un VPN? S'agit-il vraiment d'une entreprise légitime avec une présence légitime sur le Web? Est-ce que c'est quelqu'un avec qui je veux vraiment sortir? Que peuvent apprendre les gens ordinaires sur moi, sans parler de la NSA??

Jetez un coup d'œil aux en-têtes de vos emails et voyez ce qu'ils disent de vous. Si vous trouvez des lignes d'en-tête qui n'ont pas beaucoup de sens, mettez-les dans les commentaires et nous essaierons de les décoder. Avez-vous eu à faire des recherches en-tête d'email? Dis nous à propos de cela! C'est comme ça qu'on apprend tous.

Crédit image: Server Room de torkildr via Flickr.

Explorer plus sur: Email Tips, Metadata.