Comprendre les entêtes d’un mail

D’où venons-nous ? Que sommes-nous ? Où allons-nous ?

Ce n’est pas Gauguin qui est à l’étude aujourd’hui, mais son tableau permet d’introduire le sujet du jour, à savoir la compréhension des entêtes d’un mail, et de son cheminement.

Tout d’abord, petit rappel. Un mail se compose d’un corps, partie visible quand vous lisez le mail en question, mais aussi de pièces-jointes, et surtout d’entêtes.
Ces entêtes sont, entre autres, ce qui est affiché en dehors du mail, et qui vous permet d’y accéder dans un listing de mail sur votre client préféré.
Il comporte de manière visible le plus souvent, la date, le sujet, l’émetteur, et le destinataire. Les autres éléments sont variables.

 

Entêtes simples Cependant tous les autres éléments sont visibles dans une partie cachée de l’iceberg Email, et sont accessibles via divers mots clés qui peuvent être :
Source complète, Entêtes complètes, Entêtes Internet, Original, Source…
Propres à Outlook, certains Webmails, Thunderbird, il s’agit d’options avancées de la messagerie, et permettent d’accéder aux informations les plus importantes.

 

Sur Outlook, elles sont accessibles dans les propriétés d’un message en cours de lecture, dans un encart Entêtes Internet. Seules les entêtes sont visibles, et pas le corps du message.

 

Entêtes Internet Sur Thunderbird, c’est dans les options d’Affichage, que ceci est accessible

 

 

Code source Sur Hotmail, comme bon nombre de Webmail, les entêtes sont aussi disponibles.

 

 

Hotmail Header Vous avez perdu un mail? Vous avez reçu un mail en spam ? Vous avez reçu un mail de type phishing ? Toutes les informations importantes sont à l’intérieur.

 

Une entête, à quoi ça ressemble ?

Pour l’ensemble de l’explication, il est conseillé, afin de bien faire le lien, avec l’entête ci-dessus, de faire un « Rechercher » de la propriété en italique, afin de pouvoir la repérer facilement, ainsi que sa valeur.

En voici 2 exemples, et leur explication, notamment vers les termes clés.

Return-Path:
Delivered-To: denis.durand@alinto.biz
X-Spam-Flag: NO
X-Spam-Score: -1.175
X-Spam-Level:
X-Spam-Status: No, score=-1.175 required=5 tests=[BAYES_00=-1.9,
HTML_MESSAGE=0.001, MIME_HTML_ONLY=0.723, RCVD_IN_DNSWL_NONE=-0.0001,
SPF_FAIL=0.001] autolearn=no
Received: from psmtp2.alinto.net (psmtp2.alinto.net [78.153.243.89])
by smtp5alinto.alinto.net (Postfix) with ESMTP id
3FEEF11B0076
for ; Mon, 8 Oct 2012 07:25:35 +0200 (CEST)
Received: from localhost (release-protect.alinto.net [78.153.243.106])
by psmtp2.alinto.net (Postfix) with ESMTP id
3324925AE50
for ; Mon, 8 Oct 2012 07:25:35 +0200 (CEST)
X-Quarantine-ID: <00nXxn0ocQSK>
X-Virus-Scanned: amavisd-new at alinto.not
Received: from psmtp2.alinto.net ([127.0.0.1])
by localhost (psmtp2.alinto.net [127.0.0.1]) (amavisd-new, port 10027)
with ESMTP id
00nXxn0ocQSK for ;
Mon, 8 Oct 2012 07:25:33 +0200 (CEST)
Received: from mercure.benchmark.fr (mercure.benchmark.fr [195.248.250.96])
by psmtp2.alinto.net (Postfix) with ESMTP id
5D5F325ADDE
for ; Mon, 8 Oct 2012 07:25:32 +0200 (CEST)
From: "Journal du Net"
Subject: Le JDN change
To: denis.durand@alinto.biz
Content-Type: text/html;charset=iso-8859-1
Reply-To: webmaster@journaldunet.com
Date: Mon, 8 Oct 2012 07:25:32 +0000
Mime-Version: 1.0
X-Mailer: Benchmail Agent
List-Unsubscribe:
Message-Id: <20121008052533.5D5F325ADDE@psmtp2.alinto.net>
X-Alinto-Spam: NO (-1.175/5)

Petit lexique des entêtes

Dans l’ordre, le Return-Path, quelque soit le mail, indique l’adresse de retour lors d’une erreur de distribution et d’un message d’erreur. Si vous recevez un mail qui vous dit que vous ne pouvez pas répondre à ce mail, en général, l’adresse Return-path renseignée n’existe pas, ou alors il s’agit d’une boîte purgée automatiquement.
Par défaut, le Return-path indique aussi l’adresse de réponse lors d’un répondre A. Néanmoins, il peut être surchargé, et donc remplacé par un Reply-To, ici aussi présent. En cas d’erreur, un mailer est renvoyé actu@b.journaldunet.com, si vous tentez d’y répondre, c’est webmaster@journaldunet.com que vous contacterez
Le delivered-to confirme l’adresse à laquelle le mail a été déposé au final par le système de réception destinataire.
Les balises X-[caractéristiques] concernent les attributs non standards, qui ont été apposés durant le transit du mail, par les différents organismes. Dans le cas présent, on voit le traitement à l’antispam ( note appliquée, note de rejet, liste des critères ayant entraîné une classification en tant que spam)
On peut aussi repérer plus bas, un identifiant de traitement antivirus, le X-Mailer, qui est apposé par le logiciel d’envoi. On peut savoir si l’émetteur utilise un logiciel de mailing, un client Web, un logiciel de type Outlook/Thunderbird, qui seront représentés par leur numéro de version.

Le champ Received, la clé du transit

Un des éléments cruciaux des entêtes de mails, est contenu dans les champs Received, présent une ou plusieurs fois.
Ils indiquent la prise en compte par chaque serveur par lequel à transiter le mail, du mail en question. Il contient le nom d’hôte, l’IP, l’heure de prise en compte, et un identifiant de prise en compte.
C’est ce même identifiant qui permet de trouver un mail dans les logs par l’administrateur de votre fournisseur de messagerie, afin de savoir quel traitement a été appliqué par son serveur de messagerie.
En cas de problème de distribution d’un mail, l’administrateur vous demandera quoi qu’il en soit les entêtes. Afin de trouver les différents éléments, et surtout cet identifiant.
Précision: Les champs received se lisent de bas en haut, champ par champ

J’arrête cette explication pour ce premier mail. Passons à présent à la phase de traduction

Traduction en français

Le mail provient donc actu@b.journaldunet.com, et vous répondrez à webmaster@journaldunet.com si jamais la folie vous prenait de répondre à cette newsletter. Le mail n’a pas été considéré comme Spam ( -1,175/5 – il faut dépasser le seuil pour être considéré comme spam).
Le mail a été émis par un serveur du nom de mercure.benchmark.fr et à contacté le serveur psmtp2.alinto.net à 07h25 32′. L’identifiant unique précieux de prise en compte est 5D5F325ADDE. Il a été retourné à Benchmark, qui peut donc vous prouver via ses logs, que le mail est bien parti vers un SMTP. Le flux du message ne dépend plus de l’émetteur à présent.
Le mail a ensuite transité de psmtp2.alinto.net à psmtp2.alinto.net pour une action système qui vous est inconnue. Un nouvel identifiant à été généré. Il s’agit du 00nXxn0ocQSK
Une fois le transit interne effectué, il a été relâché par le serveur ( qui a changé de nom, du fait de l’action interne, pour s’appeler release.protect.alinto.net vers psmtp2.alinto.net
Il faut donc croire que le serveur en question a agit sur le net, avec un filtrage ou autre action dont nous n’avons pas connaissance.
Nous en sommes donc à l’identifiant 3324925AE50
psmtp2.alinto.net a finalement transmis le mail à smtp5alinto.alinto.net avec l’identifiant 3FEEF11B0076. C’est le dernier identifiant des entêtes, ce qui signifie qu’après cela, le mail a été distribué.
Nous avons la chaîne complète de distribution du mail, et le nom des divers serveurs l’ayant traité. En cas de problème, il suffit donc de contacter les contacts des IPs les gérant, afin de remonter jusqu’aux administrateurs de messagerie en question.

Attention! Le Message-Id ne représente rien dans les logs de messagerie d’un SMTP, il est apposé par l’outil d’émission, et n’est jamais modifié, mais jamais consulté non plus.
Certains logs le prennent en compte simplement pour aider le technicien qui vérifierait des logs, car selon le trafic d’une machine, il est parfois très difficile d’identifier un mail, quand les informations qui sont fournies au technicien pour identifier un mail, sont trop peu précises.

Puisque nous avons vu l’essentiel, en voici un deuxième exemple

Return-Path:
Delivered-To: finalmailbox@alinto.net
X-Virus-Scanned: amavisd-new at alinto.net
X-Spam-Flag: NO
X-Spam-Score: 3.267
X-Spam-Level: ***
X-Spam-Status: No, score=3.267 required=5 tests=[BAYES_00=-1.9, DCC_CHECK=3.5,
DKIM_SIGNED=0.1, DKIM_VALID=-0.1, FREEMAIL_FROM=0.001,
FREEMAIL_REPLYTO=1, FSL_FREEMAIL_1=0.001, RCVD_IN_DNSWL_NONE=-0.0001,
SPF_SOFTFAIL=0.665] autolearn=no
Received: from nm40-vm2.bullet.mail.sg3.yahoo.com (nm40-vm2.bullet.mail.sg3.yahoo.com [106.10.151.205])
by mx1-v2.alinto.net (Postfix) with SMTP id
C900E5801B1
for ; Mon, 23 Jul 2012 09:49:42 +0200 (CEST)
Received: from [106.10.166.114] by nm40.bullet.mail.sg3.yahoo.com with
NNFMP; 23 Jul 2012 07:49:40 -0000
Received: from [106.10.151.252] by tm3.bullet.mail.sg3.yahoo.com with
NNFMP; 23 Jul 2012 07:49:40 -0000
Received: from [127.0.0.1] by omp1001.mail.sg3.yahoo.com with
NNFMP; 23 Jul 2012 07:49:40 -0000
X-Yahoo-Newman-Property: ymail-3
X-Yahoo-Newman-Id: 355736.57561.bm@omp1001.mail.sg3.yahoo.com
Received: (qmail 5413 invoked by uid 60001); 23 Jul 2012 07:49:40 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.com; s=s1024; t=1343029780; bh=H5P4W/7kQwhIf9XzTviuLhXM49GUCI52tu68BuUqsGU=; h=X-YMail-OSG:Received:X-RocketYMMF:X-Mailer:Message-ID:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type:Content-Transfer-Encoding; b=Rs+R5b7ReTW3QeiHaA3wiIZJfvQsCzqEO64eqmvGrAbTMiWyN7j7ElrV7L
Yon5IGOWrX4r2hRuG+Xix40YAaBDAW76SLCGxcvyGGDWXh0bIMvZXPv1hRmP
3It7x9WTjHuWz0H9zArTi7v1+1SVGzXXTfAAJnbc7ULVqe/EyijLI=
X-YMail-OSG: roitwlAVM1nPHoV8Dv4bxDyXHY3DTmXs8GDrmQEP2gqnjYa
wCh0oBkt3eeBYYwVC25bKLWYCat44WAjp2ZohKJKG.OncraPpANbtY6pcPK2
L.Okuvk359bfcoE2DBe5X3TtgfM03AmYR2Ir4mfOfH10qphWceSbzXBMSXbG
Sk8DHqqy9nkoteiNg6e5HkXowRavq8FnfElE4lpfmIkYQnwMzQnEAnb5NhU4
1zGHCIH2MB_CEP89QGzpgC1aHdcmrb_z5k34wk4aQoHFV1FvmTbDnrIQvi8B
RIshtNarmPnDsCw94XSCwen3B6sxNloshJV4bWj7knBr8kCgpv3_MKiyILJP
V51_cyQe1YeLAa9W3idNo8fct13Dmzh97B_gliqqsLtfzeqFY9_SDKqJ_sS9
Ka6yTA8iUYbmDaoren4eYRWuKyV5XaRd6dl2LLAZ9rcHx.CiNLIBK_p0pDw2
Rr..vlnqGM9pZUJSS3OBqa_gjBVQzdI5fe1iNHxI_I5xfkr9T7.V6ICblwtm
WM5Fe88Zp62Kjph9Cd.x3nDMjZIxBZFpXMZPLw3z02B7LRFJDBAS7qYvP9uB
vFNPJE3d3S6mKpdVXcjFIP9KrHxhj
Received: from [196.47.152.102] by web193105.mail.sg3.yahoo.com via HTTP; Mon, 23 Jul 2012 15:49:40 SGT
X-RocketYMMF: pinkootynoor
X-Mailer: YahooMailClassic/15.0.8 YahooMailWebService/0.8.120.356233
Message-ID: <1343029780.53458.YahooMailClassic@web193105.mail.sg3.yahoo.com>
Date: Mon, 23 Jul 2012 15:49:40 +0800 (SGT)
From: Madam Tefeiao Caroline
Reply-To: tefeiao_caroline@yahoo.co.jp
Subject: Bonjour,
To: undisclosed recipients: ;
MIME-Version: 1.0
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: quoted-printable
X-Alinto-Spam: NO (3.267/5)

Traduction en langue française:

Le mail provient d’un compte tefeia_caroline@yahoo.co.jp et a été envoyé via le Webmail de Yahoo ( X-Mailer).
Yahoo disposant d’une clé d’identification de domaine ( DKIM), cette clé apparait intégralement dans les entêtes (DKIM-signature) et dans le traitement antispam qui vérifie la clé (DKIM_SIGNED, DKIM_VALID).
L’adresse cible du mail n’était pas explicitement la votre, puisqu’il est indiqué undisclosed recipients. Autrement dit, aucun destinataire. Mais les vraies adresses cibles étaient en copie cachée, et de ce fait, n’apparaissent pas dans les entêtes.
Donc le seul moyen de trouver l’adresse cible du mail, est dans le Delivered-to qui est le nom final de la boite aux lettres
A noter que dans le champ Received, le dernier du cheminement, il est indiqué que la livraison est faite pour une boite alias@spam.alinto.net.
Cela signifie que l’adresse en copie cachée était alias@spam.alinto.net.
Mais via une redirection, une copie, un transfert, le mail est arrivé sur la boîte finale indiquée dans le Delivered-To.
Ici, il y a seulement 2 identifiants en jeu. L’un est utilisé plusieurs fois au sein de l’infrastructure Yahoo, il s’agit de NNFMP
Ensuite, le mail est transmis à la plateforme finale mx1-v2.alinto.net, qui lui assigne l’ID C900E5801B1

Voila, vous pouvez donc à présent, comprendre et vérifier vos mails, si vous avez un doute sur un phishing par exemple, ou l’émetteur d’un spam … et de manière plus générale, transmettre les bonnes informations aux responsables des plateformes de messagerie, si vous avez besoin de savoir ce qui est arrivé à un mail durant son transit à travers la galaxie Internet.
Vous pouvez aussi regarder grâce aux entêtes, qui vous renvoie les mailer-daemon, ou mails d’erreurs systèmes, afin de savoir quel est l’opérateur qui génère le blocage lors de la livraison d’un mail vers une adresse cible.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *