Pages Menu
TwitterRssFacebook
Categories Menu

Savoir analyser les en-têtes d’un mail normal

Un « Header », qu’est-ce que c’est ?

Un header est l’en-tête électronique d’un message. Il permet de retrouver des informations sur l’expéditeur, le destinataire, la date, l’objet de l’e-mail, le nom des différents serveurs ayant délivré le message, l’heure de l’envoi, l’adresse IP de l’expéditeur. Toutes ces informations sont précieuses pour vous (ou pour votre fournisseur d’accès internet si vous souhaitez dénoncer un SPAM) si vous souhaitez effectuer des analyses approfondies sur l’origine d’un e-mail (en cas de spam surtout).

Voici donc quelques astuces qui vous permettront, je l’espère, de mieux vous y retrouver dans les glaciales en-têtes d’e-mail.

1er cas : les entêtes d’un message normal.
Voici un exemple de message reçu, envoyé de l’adresse pepbou@free.fr vers morglub@free.fr

Les entêtes du mail sont les suivantes :

Return-Path: <pepbou@free.fr>
Delivered-To: online.fr-morglub@free.fr
Received: (qmail 2599 invoked from network); 13 May 2009 14:40:07 -0000
Received: from 212.27.42.91 (HELO wmproxy1-g27.free.fr) (212.27.42.91)
  by mrelay8-g25.free.fr with SMTP; 13 May 2009 14:40:07 -0000
Received: from wmproxy1-g27.free.fr (localhost [127.0.0.1])
	by wmproxy1-g27.free.fr (Postfix) with ESMTP id 2B1E5634BC
	for <morglub@free.fr>; Wed, 13 May 2009 16:40:05 +0200 (CEST)
Received: from UNKNOWN (imp3-g19.priv.proxad.net [172.20.243.133])
	by wmproxy1-g27.free.fr (Postfix) with ESMTP id 468E763624
	for <morglub@free.fr>; Wed, 13 May 2009 16:40:04 +0200 (CEST)
Received: by UNKNOWN (Postfix, from userid 0)
	id 465006A6D7EA1; Wed, 13 May 2009 16:40:04 +0200 (CEST)
Received: from  ([82.235.12.159])
	by imp.free.fr (IMP) with HTTP
	for <pepbou@172.20.243.55>; Wed, 13 May 2009 16:40:04 +0200
Message-ID: <1242225604.4a0adbc442719@imp.free.fr>
Date: Wed, 13 May 2009 16:40:04 +0200
From: pepbou@free.fr
To: morglub@free.fr
Subject: test
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: 7bit
User-Agent: Internet Messaging Program (IMP) 3.2.8
X-Originating-IP: 82.235.12.159

Return-Path: pepbou@free.fr:  si le message ne peut être délivré à son destinataire, un message sera envoyé à cette adresse mail.

Delivered-To: le message a été distribué à l’adresse mail indiquée.

Les champs « Received » correspondent à la liste de tous les intermédiaires qui ont servis à transmettre le message au destinataire, soit le chemin emprunté depuis l’expéditeur au destinataire. On distingue aussi l’adresse IP de l’expéditeur et le nom de son PC. Attention: ici, l’IP correspond au serveur qui a permis d’envoyer le message. Lisez toutes les lignes de haut en bas.
Les lignes « Received« , qui sont rajoutées au fur et à mesure du cheminement du message, sont placées en début d’en-têtes. Cela indique que la plus récente est toujours la première. En lisant de haut en bas l’en-tête, on peut donc suivre le parcours complet jusq’à l’origine de l’envoi. 

Message-ID: 1242225604.4a0adbc442719@imp.free.fr : correspond au numéro d’identification du message 
Date: Wed, 13 May 2009 16:40:04 +0200: correspond à la date d’envoi et heure d’envoi du message, selon le fuseau horaire de l’expéditeur.
From: pepbou@free.fr : Le message a été envoyé par pepbou@free.fr
To: morglub@free.fr: Le message a été envoyé à morglub@free.fr
Cc: : une copie du message a aussi été envoyée à cette adresse mail. Ici, pas de présence de ce champ car il n’a pas été saisi.

Subject: test : indique le sujet du message.
MIME-Version: 1.0 : indique que le courrier envoyé est au format MIME. (format universel de codage des messages)
User-Agent: Internet Messaging Program (IMP) 3.2.8 : indique avec quel client de messagerie le message a été envoyé. Ici, c’est un webmail. 
 

Outils intéressants

Vous pouvez retrouver l’origine d’une adresse IP gràce à certains sites internet. Attention cependant, certains utilisateurs arrivent à tricher et à falsifier leur IP.
Liens

http://www.utrace.de/

Suite de l’article : Savoir analyser les en-têtes d’un mail de type SPAM

4 Comments

  1. Je trouve votre aide bien utile, bref ça ma beaucoup aidé, et encore merci pour vos explications précises.

  2. Perso, je trouve la dernière interface très laide. Sinon, oui il est facile de masquer l’adrese IP avec un proxy socks, un service vpn ou même des moyens illégaux d’usurper une identité sur internet. Dans tous les cas, il faut être prudent en analysant le header du mail.

  3. Bonjour,

    Vous les trouverez normalement dans l’onglet Message > Indicateurs > Propriétés > En-têtes Internet.
    Cordialement.

  4. Je vous remercie pour vos explications, mais avec Outlook 2013 je n’arrive pas à trouver les entêtes d’un message normal, ce que je faisais très facilement avec Outlook Express.

    Pouvez-vous me répondre s’il vous plaît ?

    Je vous en remercie par avance.

    C. DEBRABANT

Post a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *