S3 1 Tio
S3 1 Tio
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

[Tuto] Comprendre les emails et vérifier leur légitimité à partir des métadonnées

C’est facile et ça peut éviter de perdre gros !

[Tuto] Comprendre les emails et vérifier leur légitimité à partir des métadonnées

Saviez-vous qu’un email, c’est bien plus qu’un message ? C’est aussi tout un tas de métadonnées, header, etc. Avec deux exemples, on vous explique comment lire ses informations et vérifier au passage si les protocoles de sécurité sont bien validés.

Un email, tout le monde voit à quoi cela ressemble : un expéditeur, un destinataire, une date et heure, un sujet et un contenu du message (avec éventuellement des pièces jointes). On le répète régulièrement, mais il faut être prudent face aux nombreuses tentatives de phishing et au spam.

Un email format brut regorge d’informations

Aujourd’hui, on vous explique comment lire non pas le contenu d’un email, mais les métadonnées ou détails du message. Certaines messageries parlent aussi de message texte. Bref, l’email en version brut, qui regorge d’informations intéressantes.

Dans notre cas, nous avons un nom de domaine personnel (gavois.fr) avec un webmail chez OVHcloud. Dans le cadre de ce tuto, nous avons envoyé un email de l’adresse sebastien@next.ink vers sebastien@gavois.fr.

Dans notre boîte de réception (webmail Outlook chez OVHcloud), une option permet d’« Afficher les détails du message ». D’un clic, une fenêtre s’ouvre avec de longues lignes de textes. Ne prenons pas peur face à la quantité d’informations ; allons-y étape par étape.

Il reste 91% de l'article à découvrir.

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Commentaires (20)

votre avatar
Super intéressant, merci !
votre avatar
Regarder les reply-to et from sont aussi intéressants, car parfois l'adresse est différente et peut permettre d'identifier un pattern derrière :D

(par contre il y a des cas de from et reply-to différents qui sont légitimes, par exemple un prestataire qui envoie un mail au nom de son client, auquel cas il a les entrées SPF et DKIM kivonbien)
votre avatar
Il m'arrive de temps à autre d'analyser le contenu de ces métadonnées avant de décider si j'ouvre ou pas le mail, ou avant de décider si je charge les images du mail ou pas (pixel tracking, etc.)

Néanmoins je trouve que les clients mails (tous confondus web/desktop !) devraient faire un peu plus d'efforts pour rendre ça plus digeste. Notamment avec la mise en lumière visuelle et évidente, quelque part dans l'interface graphique du statut de validation SPF/DKIM/DMARC/... et aussi la concordance des champs reply-to et from.

Ça serait bien plus utile au quotidien d'avoir des indicateurs visuels directement dans le GUI plutôt que de laisser à quelques gourous le choix d'aller parcourir ces lignes de textes imbitables.
votre avatar
En web, il y a une extension de roundcube qui te met une icône suivant le statut du check DKIM et/ou SPF.
votre avatar
Et y a quoi pour outlook ?
votre avatar
Outlook, question sécurité, c'est sans espoir.
votre avatar
Est ce qu'il existe un site ou une application pour parser tout ces en têtes et les "traduire/fludifier" ?
votre avatar
Cela serait sans doute intéressant mais très difficile, vu la variété des possibilités (déjà, la syntaxe de Received:…), les gens qui utilisent les vieux champs (Received-SPF: non mais allô, quoi), et la difficulté d'interprétation (il ne faut se fier qu'aux champs locaux, tous les autres peuvent être usurpés mais cela suppose de connaitre l'architecture du système de messagerie local - c'est pour cela que Gmail y arrive mais pas un client de messagerie généraliste).
votre avatar
Ça serait bien plus utile au quotidien d'avoir des indicateurs visuels directement dans le GUI plutôt que de laisser à quelques gourous le choix d'aller parcourir ces lignes de textes imbitables.
L'application FairEmail a des icônes pour dire si le mail a été transmis par un canal chiffré et a un DMARC correcte (coche verte, bouclier).
Je regrette que Thunderbird ne propose des choses similaires en natif.
votre avatar
Pour Thunderbird :
- DKIM Verifier
votre avatar
« Orpi.fr ne définit aucune politique de sécurité pour ses emails, sans SPF ni DKIM, comme vous pouvez le voir dans le résultat de la commande DIG ci-dessous. » Attention, la commande dig citée ne marche que pour SPF. Il n'y a pas de moyen simple et fiable de trouver dans le DNS si Orpi.fr signe avec DKIM ou pas, car on ne connait pas le sélecteur tant qu'on n'a pas reçu un message d'eux.
votre avatar
Qu'est-ce que ce sera quand il faudra vérifier l'authenticités des emails envoyés par les aliens ! https://datatracker.ietf.org/doc/draft-many-tiptop-email/
votre avatar
Deep space communications involve long delays (e.g. Earth to Mars is 4-22 minutes)
Mars, de l'espace lointain ? 🤣🤣🤣
votre avatar
« deep space », c'est tout ce qui n'est pas la banlieue de la Terre donc, oui, ça commence avec Mars.
votre avatar
À côté de SPF, ça serait bien d'introduire SRS, qui permet d'avoir des redirections d'emails à partir d'un domaine qui soient valides. Ça manque dans beaucoup de configurations, et ça rend difficile l'utilisation du -all pour le SPF.
votre avatar
Il y a une meilleure solution, réécrire l'enveloppe pour indiquer l'adresse du redirecteur (ce que ne fait pas le système d'alias traditionnel).
votre avatar
Bon sinon, pour des infos "relativement" claires et sous forme chapitrée on copie/colle les détails du message dans ChatGPT et on lui demande de : "Que peux-tu me donner comme information claire à propos de ce mail" et il sort qqe chose de sympa.
Après on est d'accord que point de vue confidentialité c'est pas top...(mais disons qu'à propos d'un mail douteux c'est moins problématique...)
votre avatar
Comme ça le mail analysé est utilisé dans les jeux de données des prochains modèles qui pourront servir à générer des mails douteux plus crédibles, et la boucle est bouclée.

L'analyse par LLM est peut-être une bonne idée, ChatGPT par contre non on matière de traitement et réutilisation de la donnée. Il vaut mieux faire ça avec des API de LLM hébergées auprès d'un prestataire qui ne fait pas d'entraînement, voire le faire tourner en local.
votre avatar
Je comprends pas, je lui fournis uniquement l'entête du mail, pas le contenu... En quoi cela peut-il servir à générer des mails plus crédibles ??

"LLM hébergées auprès d'un prestataire qui ne fait pas d'entraînement"
Ok, cela m'intéresse, as-tu une/des propositions ? Merci !
votre avatar
My bad, quand tu disais "le détail" j'ai cru que tu parlais de tout.

Pour l'hébergeur, perso j'utilise les API d'Infomaniak pour les gros modèles.