[Tuto] Comprendre les emails et vérifier leur légitimité à partir des métadonnées

C’est facile et ça peut éviter de perdre gros !

[Tuto] Comprendre les emails et vérifier leur légitimité à partir des métadonnées

Saviez-vous qu’un email, c'est bien plus qu’un message ? C’est aussi tout un tas de métadonnées, header, etc. Avec deux exemples, on vous explique comment lire ses informations et vérifier au passage si les protocoles de sécurité sont bien validés.

Le 18 décembre 2025 à 10h48

Commentaires (20)

votre avatar
Super intéressant, merci !
votre avatar
Regarder les reply-to et from sont aussi intéressants, car parfois l'adresse est différente et peut permettre d'identifier un pattern derrière :D

(par contre il y a des cas de from et reply-to différents qui sont légitimes, par exemple un prestataire qui envoie un mail au nom de son client, auquel cas il a les entrées SPF et DKIM kivonbien)
votre avatar
Il m'arrive de temps à autre d'analyser le contenu de ces métadonnées avant de décider si j'ouvre ou pas le mail, ou avant de décider si je charge les images du mail ou pas (pixel tracking, etc.)

Néanmoins je trouve que les clients mails (tous confondus web/desktop !) devraient faire un peu plus d'efforts pour rendre ça plus digeste. Notamment avec la mise en lumière visuelle et évidente, quelque part dans l'interface graphique du statut de validation SPF/DKIM/DMARC/... et aussi la concordance des champs reply-to et from.

Ça serait bien plus utile au quotidien d'avoir des indicateurs visuels directement dans le GUI plutôt que de laisser à quelques gourous le choix d'aller parcourir ces lignes de textes imbitables.
votre avatar
En web, il y a une extension de roundcube qui te met une icône suivant le statut du check DKIM et/ou SPF.
votre avatar
Et y a quoi pour outlook ?
votre avatar
Outlook, question sécurité, c'est sans espoir.
votre avatar
Est ce qu'il existe un site ou une application pour parser tout ces en têtes et les "traduire/fludifier" ?
votre avatar
Cela serait sans doute intéressant mais très difficile, vu la variété des possibilités (déjà, la syntaxe de Received:…), les gens qui utilisent les vieux champs (Received-SPF: non mais allô, quoi), et la difficulté d'interprétation (il ne faut se fier qu'aux champs locaux, tous les autres peuvent être usurpés mais cela suppose de connaitre l'architecture du système de messagerie local - c'est pour cela que Gmail y arrive mais pas un client de messagerie généraliste).
votre avatar
Ça serait bien plus utile au quotidien d'avoir des indicateurs visuels directement dans le GUI plutôt que de laisser à quelques gourous le choix d'aller parcourir ces lignes de textes imbitables.
L'application FairEmail a des icônes pour dire si le mail a été transmis par un canal chiffré et a un DMARC correcte (coche verte, bouclier).
Je regrette que Thunderbird ne propose des choses similaires en natif.
votre avatar
Pour Thunderbird :
- DKIM Verifier
votre avatar
« Orpi.fr ne définit aucune politique de sécurité pour ses emails, sans SPF ni DKIM, comme vous pouvez le voir dans le résultat de la commande DIG ci-dessous. » Attention, la commande dig citée ne marche que pour SPF. Il n'y a pas de moyen simple et fiable de trouver dans le DNS si Orpi.fr signe avec DKIM ou pas, car on ne connait pas le sélecteur tant qu'on n'a pas reçu un message d'eux.
votre avatar
Qu'est-ce que ce sera quand il faudra vérifier l'authenticités des emails envoyés par les aliens ! https://datatracker.ietf.org/doc/draft-many-tiptop-email/
votre avatar
Deep space communications involve long delays (e.g. Earth to Mars is 4-22 minutes)
Mars, de l'espace lointain ? 🤣🤣🤣
votre avatar
« deep space », c'est tout ce qui n'est pas la banlieue de la Terre donc, oui, ça commence avec Mars.
votre avatar
À côté de SPF, ça serait bien d'introduire SRS, qui permet d'avoir des redirections d'emails à partir d'un domaine qui soient valides. Ça manque dans beaucoup de configurations, et ça rend difficile l'utilisation du -all pour le SPF.
votre avatar
Il y a une meilleure solution, réécrire l'enveloppe pour indiquer l'adresse du redirecteur (ce que ne fait pas le système d'alias traditionnel).
votre avatar
Bon sinon, pour des infos "relativement" claires et sous forme chapitrée on copie/colle les détails du message dans ChatGPT et on lui demande de : "Que peux-tu me donner comme information claire à propos de ce mail" et il sort qqe chose de sympa.
Après on est d'accord que point de vue confidentialité c'est pas top...(mais disons qu'à propos d'un mail douteux c'est moins problématique...)
votre avatar
Comme ça le mail analysé est utilisé dans les jeux de données des prochains modèles qui pourront servir à générer des mails douteux plus crédibles, et la boucle est bouclée.

L'analyse par LLM est peut-être une bonne idée, ChatGPT par contre non on matière de traitement et réutilisation de la donnée. Il vaut mieux faire ça avec des API de LLM hébergées auprès d'un prestataire qui ne fait pas d'entraînement, voire le faire tourner en local.
votre avatar
Je comprends pas, je lui fournis uniquement l'entête du mail, pas le contenu... En quoi cela peut-il servir à générer des mails plus crédibles ??

"LLM hébergées auprès d'un prestataire qui ne fait pas d'entraînement"
Ok, cela m'intéresse, as-tu une/des propositions ? Merci !
votre avatar
My bad, quand tu disais "le détail" j'ai cru que tu parlais de tout.

Pour l'hébergeur, perso j'utilise les API d'Infomaniak pour les gros modèles.

[Tuto] Comprendre les emails et vérifier leur légitimité à partir des métadonnées

  • Un email format brut regorge d’informations

  • « Received: » pour suivre à la trace le passage sur tous les serveurs

  • Validation DMARC, DKIM et SPF

  • SPF qui dit oui et SPF qui dit non, mais pas d’inquiétude

  • Un autre exemple, avec un email frauduleux

  • Encore des passages de relais, côté expéditeur cette fois…

  • … et enfin le message en lui-même

  • La prudence reste de mise sur le contenu des emails !

Fermer