Analyse du parcours de l'email via les en-têtes d'enveloppe
P.Leclercq dans Sécurité 2024-03-06 technologie
Analyse du parcours de l’email via les en-têtes d’enveloppe
En-têtes Received:
Dans un précédent article, nous avons décrit les en-têtes d’enveloppe et d’email.
Parmi les en-têtes d’enveloppe, les en-têtes Received: sont très intéressants pour tracer le parcours de l’email.
Ils sont normalement ajoutés par chaque service de transport relayant l’email. Ces en-têtes mentionnent :
- le nom et l’adresse IP de la machine qui envoie le mail (la partie
from) ; - le nom de la machine qui reçoit le mail (la partie
by) ; - la date et l’heure auxquelles l’email a été reçu ;
- et l’adresse du destinataire.
Un exemple simple
Voici un simple email envoyé à partir d’une station de travail directement connectée au serveur de mail mailserver executant le logiciel Postfix (serveur de mail libre) pour un utilisateur ayant sa boîte aux lettres sur le serveur lui-même.
Return-Path: <Jean.Dupont@mydomain.com>
X-Original-To: pleclercq@mydomain.com
Delivered-To: pleclercq@mydomain.com
Received: from [192.168.50.31] (unknown [192.168.50.31])
by mailserver (Postfix) with ESMTP id AD50834DA
for <pleclercq@mydomain.com>; Sun, 25 Feb 2024 16:58:48 +0100 (CET)
Message-ID: <a5022c36-ee41-448a-9864-d13cfacc97bb@mydomain.com>
Date: Sun, 25 Feb 2024 16:58:48 +0100
MIME-Version: 1.0
User-Agent: Mozilla Thunderbird
Content-Language: fr-FR
To: pleclercq@mydomain.com
From: Jean Dupont <Jean.Dupont@mydomain.com>
Objet: Un autre test
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 7bit
Ceci est un autre email de test.
Dans cet exemple, il n’y a qu’un seul en-tête Received: car il n’y a qu’un seul saut entre la machine expéditrice à l’adresse 192.168.50.31 et mailserver. Dans la pratique, il y en a généralement plusieurs, répertoriés dans l’ordre inverse, c’est-à-dire que généralement le premier en-tête est en bas de la liste et le dernier est en haut.
Un exemple réel
Delivered-To: pltrash2@gmail.com
Received: by 2002:a17:907:1c89:b0:abb:947a:1ca0 with SMTP id nb9csp432650ejc;
Sun, 16 Feb 2025 15:54:49 -0800 (PST)
X-Google-Smtp-Source:
AGHT+IEhpElVI4KeOzWQlSKm0ZNRt+IuGlpcVBMBKvwPQw0f3nTqjr4QhjwPFes9iaRrIwbyoTmq
X-Received: by 2002:a17:90b:3ec5:b0:2ee:8008:b583 with SMTP id
98e67ed59e1d1-2fc40f22e02mr13126826a91.16.1739750088727;
Sun, 16 Feb 2025 15:54:48 -0800 (PST)
ARC-Seal: i=2; a=rsa-sha256; t=1739750088; cv=pass;
d=google.com; s=arc-20240605;
b=R6SOuNl3oMcbFJ0CZpRO10/Vn8kDFDpKAtfOQw3YLWTLDrTLA2SeAc3461gl07BEAz
Bt+O+Z4ZOip85lHbbdEHVPIxxxB3/Tj8P/Yrztgs/Qr6XDKFBzwISMZrRQmx4Rn0Hr/d
5GVgKh1Gi5vcxzPDo+49Cqi7XIaAoB6Y+2g4prJXN6KcHh5bvS48jexw4YbDiTcQnvBT
1molRGnqP+wlXYqa1hWkIiB8U19e9zBRv37BgBayte+4eJ4Iywap9By/2fmzLoNivjml
4I77pUcuWXWOJYYRMgucSjkur7uuErzJL1kIIIhxamWHmZLW+DKu3ZwiikjsMxyvQNeY
Rj8A==
ARC-Message-Signature: i=2; a=rsa-sha256; c=relaxed/relaxed; d=google.com;
s=arc-20240605;
h=mime-version:content-transfer-encoding:msip_labels:content-language
:accept-language:message-id:date:thread-index:thread-topic:subject
:to:from:dkim-signature;
bh=uF9TvlJ2ISW9NtLIRTMwbKGdraOmmerv3xlSda6wY3Y=;
fh=H8fS/F1Xi7k6c76u5mat11UzewD7stRXC+xTg8ayz9I=;
b=YKR/KyljhBToq8aZrziY5dPkKRYajniDLOKLQaIzkZosPLyiV0VeS1Sybrk4iWRFmt
AT6h7yrPjYeGnVf/51u46PbxycTdx9DdqteBwDKmYFEVsxfvCSWd3xeinzY2g/KYXSUo
x7KNIIZocbjrSKQNMooAWpByf4jlbcwHv+Ob15aW6PNbR6mlbR9MlSkjq6ePwdgK39po
M/i1JC5vXRiuIsdgnB5HmXO39y9Xb3a2UGz80zSsgD/9A04gqL+tPF7DKEVo7SWAIV91
/ylacc1WQ0C5A4vxE0K9D2ASr3SA0PMabmRx/zrNETt1GGq9DxrRVacJNe1du1IgYbBJ
+32Q==;
dara=google.com
ARC-Authentication-Results: i=2; mx.google.com;
dkim=pass header.i=@outlook.com header.s=selector1 header.b=UzKHCTRe;
arc=pass (i=1);
spf=pass (google.com: domain of pltrash2@outlook.com designates
2a01:111:f403:d20a::3 as permitted sender) smtp.mailfrom=pltrash2@outlook.com;
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) header.from=outlook.com
Return-Path: <pltrash2@outlook.com>
Received: from PA4PR04CU001.outbound.protection.outlook.com (mail-
francecentralazolkn190130003.outbound.protection.outlook.com. [2a01:111:f403:d20a::3])
by mx.google.com with ESMTPS id
98e67ed59e1d1-2fc13b8349asi10263557a91.103.2025.02.16.15.54.48
for <pltrash2@gmail.com>
(version=TLS1_3 cipher=TLS_AES_256_GCM_SHA384 bits=256/256);
Sun, 16 Feb 2025 15:54:48 -0800 (PST)
Received-SPF: pass (google.com: domain of pltrash2@outlook.com designates
2a01:111:f403:d20a::3 as permitted sender) client-ip=2a01:111:f403:d20a::3;
Authentication-Results: mx.google.com;
dkim=pass header.i=@outlook.com header.s=selector1 header.b=UzKHCTRe;
arc=pass (i=1);
spf=pass (google.com: domain of pltrash2@outlook.com designates
2a01:111:f403:d20a::3 as permitted sender) smtp.mailfrom=pltrash2@outlook.com;
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) header.from=outlook.com
ARC-Seal: i=1; a=rsa-sha256; s=arcselector10001; d=microsoft.com; cv=none;
b=FCewL4dcvXeZvbG0hx3eWM0Lz+lAoahBGS7BDZhyPxtqo62jrB2XYhMiyz449ST1jpI3QNh80DzPMEN4CDH1o/
64tAxvxJpBSHk9oZHVZvc38ygAaqTGP/lHz2ONiv2hi1iDZxjqoY4jDqaWdd8qW8R6etBRYMgwPcB2DWJJLgKeuDV9/
qLr952e1XRZt+Ib6fmHmxYsBUomBYyzZOEUW6HUO/hcpgpVzDDnVzhq7CoJ++OdKgJsYbBrzbOjwFoYxtPSg2HdXnOg2/
UK1apH9VLSicTAs2FX8fMjmGv/z7WXupKOi7Y6t27qG+Of8ThDlCIcDYHCF+xjX8CwkP9sRg==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=microsoft.com; s=arcselector10001;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-AntiSpam-MessageData-
ChunkCount:X-MS-Exchange-AntiSpam-MessageData-0:X-MS-Exchange-AntiSpam-MessageData-1;
bh=uF9TvlJ2ISW9NtLIRTMwbKGdraOmmerv3xlSda6wY3Y=;
b=TjRPODx0j8kk0NgNI45RJdr2pbNHctaNeq4ceOlewVCsPVKU9HWWjFYG58vEhh0hFNNSdjUfTwULnQteHm5LNAH4+5uPvPyGI
/5o5APhoxGB8FNYx94NiJB7Qo4sK5g7k3cbVPdEQZRj92F/Rz6wXB/
HBbCWHN8MmC50UEp8nmKH4PJZxvCMMsROWhtAhIpNN5XmJO0e+bRhs/
XYNFUJ41TCaJdGbXetKFcuVs1Z6dNPo8rHdRJuLapbXuUUwzaa7j/VawKLsX0C/
o5miNeedCpt1fn1W3QG4rXUOLzf9JXVf12VnHfWNfN1cUCQC8izxBd8yq6inMAoGZyq0OAHYw==
ARC-Authentication-Results: i=1; mx.microsoft.com 1; spf=none; dmarc=none; dkim=none; arc=none
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=outlook.com; s=selector1;
h=From:Date:Subject:Message-ID:Content-Type:MIME-Version:X-MS-Exchange-SenderADCheck;
bh=uF9TvlJ2ISW9NtLIRTMwbKGdraOmmerv3xlSda6wY3Y=;
b=UzKHCTRe+lfXNJGaUrVOv+UcZKglriMQ+APV3GPb33fZktpECtZ8vvIlN7bixm7bDPixTxlF1znwMcslEdBkpAlGaXnawDrrx
Q5F9dINGSjFxGoouBPN1NPuqQQbmnNP23iWNzJwjh0ViS/zSElo+ssWINKqFOfT69/Kr1K3wGoyJbAvOcgi4zOhrWd8kVs/
oi+gZt8rzluMHjF/
CVLB2MhrkHF6Af8FGpAyFbj3I5WJik51uv7hDRtCO5MzQTtmqDqxbxHeYP11Z4PyvLe7miEYmJRdYB4O2+kEWnBsWwECQpPxW9T
Tiz6UtN2Kn1fiN1UqZGzrwMdB7ICe62JGwg==
Received: from DB4PR08MB9213.eurprd08.prod.outlook.com (2603:10a6:10:3fb::19) by
AM9PR08MB6033.eurprd08.prod.outlook.com (2603:10a6:20b:286::19) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.8445.19; Sun, 16 Feb 2025
23:54:46 +0000
Received: from DB4PR08MB9213.eurprd08.prod.outlook.com ([fe80::ac51:2eaa:9bba:c20f]) by
DB4PR08MB9213.eurprd08.prod.outlook.com ([fe80::ac51:2eaa:9bba:c20f%3]) with mapi id
15.20.8445.017; Sun, 16 Feb 2025 23:54:46 +0000
From: PL Trash2 <pltrash2@outlook.com>
To: pl_trash <pltrash2@gmail.com>
Subject: Email de test
Thread-Topic: Email de test
Thread-Index: AQHbgM4RYfncTwzC1ES+EDSI1QGMCw==
Date: Sun, 16 Feb 2025 23:54:46 +0000
Message-ID: <DB4PR08MB9213D771AA7044DA2A569E408EF82@DB4PR08MB9213.eurprd08.prod.outlook.com>
Accept-Language: fr-BE, en-GB, en-US
Content-Language: en-US
X-MS-Has-Attach:
X-MS-TNEF-Correlator:
msip_labels:
x-ms-exchange-messagesentrepresentingtype: 1
x-ms-publictraffictype: Email
x-ms-traffictypediagnostic: DB4PR08MB9213:EE_|AM9PR08MB6033:EE_
x-ms-office365-filtering-correlation-id: 3691f07f-608d-4a86-fb7f-08dd4ee54aca
x-microsoft-antispam: BCL:0;ARA:14566002|19110799003|15030799003|8060799006|461199028|15080799006|
8062599003|440099028|3412199025|102099032;
x-microsoft-antispam-message-info: pW4pUBEycAMwMIjRYtK3TohYqSIzn4MTYW/
qUwVqSCO0lGKgoLRRvQzMWCWsuq28kT1c30Ru/
RAHZYV8YVHGHHMcmD7t3iB7xuy7vXl437T48eFti7C3t8OqmfeeAmUjPm0yfw1W08mCompxfGroVkM6DhzmMtDp5zCRLn15603l
M1MFIRxLBjE00dBWoA+0PX3KenC3oHGpcG9JvY+m0jKppHsGeaIiWYRbXduY0CvGy3KomQvWrOggBPX0ZyPSDZAAk2Z5m2AKrXI
lY95FjzPcrZzC5qX0zy5bbSECvqmuhJaqDzJU1EYhMb62xOTrCuY4woOoS7H5kSwsUDOw6Y02hE5ddjB/
TYiXkIaJJLYzqRAt1P859OG3V00CA6ePwC2cmrUxt6GPjA0TrP1Joqwcu/
tISGCyEKG+0VP6OTdVMRGa+W17NscGGc9meITI+YvPmMjik0z+8ZELKNWS/YWIEbIDWTfOMkq2SsUQ7uYZQR4G1jNCE/
1HraAWXFE67dqUB33tMrfUUJuhu6QQMqst/j8rwe5OYCPQ5cP9NAEPYdmvvqg3UY/
hkKrXsIKlnq2cK5OIFQ0FoJZE42cJB5031bDeJ7iR4jEp4SNEO9iWmxmcfd9qyAZFlLe52lcaHE91D4OxBxanNNsyvAbv2kJnS6
r0Zcl+NZpoOeJhcB8zDKvbJnukdfrhUH4jUpKtpzPv38ewbc91Cyd9ZkYwxJNR765P7FIHyDpkdoOzr2OCap//
SuH7vtXFxVaaj64vGhnylGPcp6oiHB6NS8IwvOp7g/kAfVbtIQQaYCZeS2rnJMkRt+fmXY0q0n3g3l2GV3eTy/
Xed0zAs3fGWju9y9D95DnRt6olC8FKyBHmxA5StyOQPsbsQqyDusn7i81yWnDMXUsLyzC7hp5Gfc6WQGA+WGNidW/QPwjdL/
OMvnE2GlJeV6VSbm9HwmWhJXovZTH36YIaTYPZIuMMMDKdg1RA34iuH/
SFcNle7feZcX2s7XGiqloITAKp0nAbO9n2ELMNB2PqwnyK+JtZjDQ/WKhRIVWa4ZK0OV5ds17rf8CmIUKDf/
N6KxVCZ+T1g7rf1HZo75+sPMiMpZUlgpxQug==
x-ms-exchange-antispam-messagedata-chunkcount: 1
x-ms-exchange-antispam-messagedata-0:
Pl7PtBnbmx2EbSedrpKKkT3lOxz6y53IwfqpbrL0WgBLBKb4o2aj8Cgqzmfa940AYU3mbYYJrc9WleSvKgN5OCfjGkmQbJ++9h/
LFIRdDkk9VKfNK+/3Ni9UYWbUElQSMAREM1xtorz3Mg3IOA0uj0+mFTphqfKViAwb8xElBUTQ/E681Na/
vicERg0xkvAklNNWbfkvVPp/gNtQDgIHtopsR5cPdybRNHKetsR/UlM2DlFh40V1yqamRjZwZ4eGBwVmonnfEPSu6wKf/X9jc/
fDKYSeSjR2HGQ0YcpKt4AykOzTH9M2b2suP83JDELpnNtotmCkk2ZpHpckBzqG0QBcU8DfwJu7p6zyhdp9GB8JcEDJwsSQ0Cnkb
5EyBGsxEgvzgbmtSZ/AboGC72fNmBOklK019cG0+ISudb4yFfhE5sqA3Bvmo5u6AFHjZ7iRKbQHi0t8MRW++grx3H1/
uIGnG13Okf1CO8ahWLEhbbMeAFxF/mxy6Gq6zLLuJJO26YKv0DFr5ZnEPY/S2Wip7W0qF+mgX6539XCxGFbPQZ20dx6/
KpOFg2MvUf7ryYW2rqLnScQ4A5m8lToFGAUOzvNsuBQXS/BhkAGsPQvj+/
CrrUgOBlQNXU8CH+3RFhNfwGPuVapI4ipJgMKCkhQqXrtsRH4V8X4w2LcPzXfKgVEU2QHx8i01HwCKbN+C+biPR+cPjdcB9Lrtl
QQ3To3zADzELathNr0IlUDls454L5CzG1V5il9Om6SyCV2IPKmZQInlN41rfiDiJuf3tdnwQdnyzMQ38hzQJNi4uyYgZK2fET/
5baFn94Sx35hiKPS9mi3ihbqWCLyxuhWFqIIkLdbmjH68DO4AgDvEJyyVql9hcL9uaSemdISD4VvGloFAUsF0Hp0qKeKjxSmCZg
dEY8OS7nO2SYiTEq9qyAm8wa7aNwhl14w3WnAk1sjotbWURFywUUcGx3ts0Z6yMXyn4WBdw8IiIgRDNLI+NRJrPjloIXJnDMZAV
tINzMwKfFzhRzazNmAEHZCvH/
CwfedSmbdTIa8SgRhTKvTTDQv3P9vLHlTWRpmR9J9m23vY7Xn7iOYIUeqA6QeHh2x4c4rNAOjzuYdsyRZ7OXzTP9YbiEW3vuc47
C8L4THeHQOcuXAQ0scl9jpO9qDE5KqaxePmw3J0ecVCnb+VSUPRiMCR5Hqv4bB22LPXRwJj30rgiIEr8kkH78h0XScJu5xUUDzO
UfntgVAq/8UlsgeiydOQv2PsVSaE+Wyj03VBG6NxTlLOXomTHOcD8qk6lh5vvWCi/Q==
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
MIME-Version: 1.0
X-OriginatorOrg: outlook.com
X-MS-Exchange-CrossTenant-AuthAs: Internal
X-MS-Exchange-CrossTenant-AuthSource: DB4PR08MB9213.eurprd08.prod.outlook.com
X-MS-Exchange-CrossTenant-RMS-PersistedConsumerOrg: 00000000-0000-0000-0000-000000000000
X-MS-Exchange-CrossTenant-Network-Message-Id: 3691f07f-608d-4a86-fb7f-08dd4ee54aca
X-MS-Exchange-CrossTenant-originalarrivaltime: 16 Feb 2025 23:54:46.5527 (UTC)
X-MS-Exchange-CrossTenant-fromentityheader: Hosted
X-MS-Exchange-CrossTenant-id: 84df9e7f-e9f6-40af-b435-aaaaaaaaaaaa
X-MS-Exchange-CrossTenant-rms-persistedconsumerorg: 00000000-0000-0000-0000-000000000000
X-MS-Exchange-Transport-CrossTenantHeadersStamped: AM9PR08MB6033
Ceci est un email de test.
Les en-têtes obligatoires From:, To:, Date: sont bien visibles.
Il n’y a aucune difficulté à voir qui l’a envoyé et à qui il était destiné.
Essayons de suivre le parcours de l’email.
Le premier saut est décrit par l’en-tête Received: le plus proche du bas :
Received: from DB4PR08MB9213.eurprd08.prod.outlook.com ([fe80::ac51:2eaa:9bba:c20f])
by DB4PR08MB9213.eurprd08.prod.outlook.com ([fe80::ac51:2eaa:9bba:c20f%3]) with mapi id
15.20.8445.017; Sun, 16 Feb 2025 23:54:46 +0000
La machine qui a envoyé l’email à l’origine (sur laquelle il a été créé) est DB4PR08MB9213.eurprd08.prod.outlook.com. Étant donné que l’adresse de l’expéditeur se termine par @outlook.com, ce n’est guère surprenant :-). Son adresse IP est [fe80::ac51:2eaa:9bba:c20f] ; c’est une adresse IPv6.
La première machine qui a reçu l’email est DB4PR08MB9213.eurprd08.prod.outlook.com. Mince, c’est la même que l’expéditeur ! Comment est-ce possible ?
Eh bien, il n’est pas rare qu’un serveur de messagerie dispose de plusieurs programmes gérant le transport du courrier, par exemple d’abord un Mail User Agent (l’interface avec l’utilisateur), puis un programme anti-malware examinant le contenu du courrier électronique. Ce deuxième programme peut s’exécuter sur la même machine, de sorte que le courrier électronique peut parcourir plusieurs trajets sur le même serveur.
Le deuxième saut est répertorié dans l’en-tête Received: juste au-dessus du premier :
Received: from DB4PR08MB9213.eurprd08.prod.outlook.com (2603:10a6:10:3fb::19) by
AM9PR08MB6033.eurprd08.prod.outlook.com (2603:10a6:20b:286::19) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.20.8445.19; Sun, 16 Feb 2025
23:54:46 +0000
Cette fois, l’email a été envoyé de DB4PR08MB9213.eurprd08.prod.outlook.com à AM9PR08MB6033.eurprd08.prod.outlook.com.
Le troisième saut est :
Received: from PA4PR04CU001.outbound.protection.outlook.com (mail-
francecentralazolkn190130003.outbound.protection.outlook.com. [2a01:111:f403:d20a::3])
by mx.google.com with ESMTPS id
Cette fois, l’email a été envoyé depuis PA4PR04CU001.outbound.protection.outlook.com vers mx.google.com.
Enfin, le dernier segment du trajet est décrit par l’en-tête Received: tout en haut du mail :
Received: by 2002:a17:907:1c89:b0:abb:947a:1ca0 with SMTP id nb9csp432650ejc;
Sun, 16 Feb 2025 15:54:49 -0800 (PST)
Nous pouvons maintenant retracer le parcours de l’email:
DB4PR08MB9213.eurprd08.prod.outlook.com -> DB4PR08MB9213.eurprd08.prod.outlook.com -> AM9PR08MB6033.eurprd08.prod.outlook.com -> ? -> PA4PR04CU001.outbound.protection.outlook.com -> mx.google.com -> 2002:a17:907:1c89:b0:abb:947a:1ca0
Nous avons un trou dans le chemin car nous ne voyons pas la transition entre AM9PR08MB6033.eurprd08.prod.outlook.com et PA4PR04CU001.outbound.protection.outlook.com. Mais nous pouvons voir d’après leurs noms de domaine qu’ils appartiennent tous les deux à outlook.com (càd Microsoft). Il arrive souvent que des serveurs internes à une organisation n’enregistrent pas leur transport, ou même qu’une même machine ait une double connectivité vers l’intérieur et l’extérieur d’une entreprise et porte des noms (et des adresses IP) différents selon le côté où l’on se trouve. Cela n’est pas suspect si le trou est à l’intérieur de la même entreprise.
Tous les autres en-têtes sont des en-têtes facultatifs ajoutés par les différents agents, utilisés par divers logiciels pour effectuer leurs fonctions (routage, validation, examen, analyse antivirus des emails…). Nous en décrirons quelques-uns dans quelques articles suivants.
Que peut-on déduire de cette première analyse ?
- l’adresse email de l’expéditeur est pltrash2@outlook.com, et son nom d’affichage est PL Trash2 ;
- l’email a été traité par les serveurs du domaine outlook.com, nous pouvons donc être raisonnablement sûrs que l’expéditeur n’a pas falsifié son adresse mail ;
- l’email est destiné à pltrash2@gmail.com. L’email a bien été reçu par cet utilisateur dans son GMail.
Outils d’analyse des en-têtes
Le tri de longues listes d’en-têtes est fastidieux, prend du temps et est sujet à des erreurs. Heureusement, certains outils en ligne peuvent rendre cette opération plus simple et plus rapide.
Microsoft Message Header Analyzer
Accédez à https://mha.azurewebsites.net/, collez les en-têtes dans la fenêtre supérieure, cliquez sur Analyze headers et regardez le résultat. Les différents en-têtes sont isolés et les en-têtes Received: sont affichés dans leur ordre chronologique «correct».
Comparez cette image avec le chemin que nous avons trouvé dans le deuxième exemple ci-dessus.
C’est l’analyseur le plus convivial pour une première expérience.
Mailheader.org
Accédez à https://mailheader.org/, collez votre en-tête dans la zone de texte et appuyez sur Submit.
Attendez un peu et vous obtiendrez une analyse très détaillée de vos en-têtes, y compris les détails des sauts (dans l’ordre chronologique INVERSE d’origine, cependant), et une analyse approfondie de divers scores de spam, de l’agent de transfert de courrier initial…
Il s’agit actuellement du meilleur analyseur de courrier en ligne avancé.
Outil d’en-tête de message de la boîte à outils d’administration Google
Pour les utilisateurs de Gmail : accédez à https://toolbox.googleapps.com/apps/messageheader, collez l’en-tête dans la fenêtre supérieure et cliquez sur ANALYZE THE HEADER ABOVE.
Cela permettra également de classer les sauts par ordre chronologique.
Notez que cet outil ne fonctionne généralement qu’avec les emails reçus par Gmail.
Conclusion
Le décodage des en-têtes, et notamment des en-têtes Received: permet de retracer le parcours d’un email et potentiellement de détecter une origine frauduleuse.