Phenquestions
Si vous souhaitez devenir plus professionnel, vous pouvez consulter certains des outils décrits sur Outils de criminalistique en direct.
Lire et comprendre un en-tête d'email (Gmail) :
Le texte étrange suivant est l'en-tête d'un e-mail envoyé depuis le compte éditeur[at~]linuxhint.com à ivan[à~]linux.latitude. Certaines pièces non pertinentes ont été supprimées mais elles sont complètement fidèles à l'en-tête d'origine.
Ci-dessous, chaque partie de l'en-tête de l'e-mail sera expliquée :
Le premier segment isolé ci-dessous est très intuitif et révèle que l'e-mail a été envoyé à ivan[à~]smartlation.com et reçu par un serveur identifié par son adresse IP (IPv6) et un identifiant SMTP, précisant la date et l'heure de la livraison :
Livré à : ivana[at~]smartlation.com Reçu : par 2002:a05:620a:1461:0:0:0:0 avec l'identifiant SMTP j1csp966363qkl ; mer. 3 avril 2019 19:50:15 -0700 (PDT)
Le fragment suivant montre que l'e-mail est traité via le SMTP de Gmail.
X-Google-Smtp-Source : APXvYqxLebBy88ASD/5vqLYdg+NGLv+sNymPjuOU6aQy3H1LyRbx4 8E4I9ojHNsM4Bvpa2lApZKJ
le X-Reçu l'en-tête est appliqué par certains fournisseurs de messagerie, dans ce cas, il est ajouté par le SMTP de Gmail.
X-Reçu : par 2002 : a62 : 52c3 : : avec l'identifiant SMTP g186mr3128011pfb.173.1554346215815; mer. 03 avr. 2019 19:50:15 -0700 (PDT)
Le segment suivant montre l'ARC (Authentification Received Chain). Ce protocole assure la validité de l'authentification lors du passage à travers différents dispositifs intermédiaires. Dans ce cas, l'e-mail est envoyé par l'éditeur [~at]linuxhint.com à ivan[~à]linux.lat qui transmet l'e-mail à ivan[~at]smartlation.com.
ARC-Seal : i=1 ; a=rsa-sha256; t=1554346215; cv=aucun ; d=google.com; s=arc-20160816; XqUX87SmR3Jca4GHtIdCAxrd8eJ67gNu6n uxeDPBzWo1i5j+vITRp+1f6CgJTUZANERNNh8zd9UedBhGk11dYTHzmsx9J+iJJLvcZn 0m1A==
Et voici la première apparition du DKIM (Courrier identifié par DomainKeys), une méthode d'authentification qui empêche la falsification de courrier en validant le nom de domaine de l'expéditeur. Le protocole précédemment détaillé ARC aide à la fois DKIM et SPF (qui sera montré ci-dessous) à rester valides malgré la route. Cet extrait montre les informations d'identification données.
ARC-Message-Signature : i=1 ; a=rsa-sha256; c=détendu/détendu ; d=google.com; s=arc-20160816; h=to:subject:message-id:date:from:mime-version:dkim-signature :dkim-signature:dkim-filter; bh=SGSL8wJRA7+YflVA67ETqxpMCMuzIg+Fe1LKVzldnbA=; b=1HC5cATj9nR43hdZxt0DMGHRgMALSB k2DlfvqlLlfDB02pCvTZTDCWIBYhudlurDwsyhj+OQC/YxOaGu7OsD06nnzhEFtlEYgN ibTg==
Ici vous pouvez voir le résultat de l'authentification, comme vous le voyez réussi, en plus du DKIM que vous pouvez voir SPF (Sender Policy Framework), une autre méthode d'authentification pour informer le destinataire que l'expéditeur est autorisé à utiliser le nom de domaine indiqué dans la section « FROM ».
Dans ce cas DKIM et SPF ont passé la phase d'authentification.
ARC-Authentification-Résultats : i=1 ; mx.Google.com;
dkim=passer l'en-tête [protégé par e-mail].s=en-tête par défaut.b=oY3SGJai; dkim=passer l'en-tête [protégé par e-mail].s=20150623 en-tête.b=udLEKRXT; spf=passer (google.com : domaine des serveurs [protégés par e-mail].com désigne 162.255.118.246 comme expéditeur autorisé) smtp.mailfrom="SRS0+GMs5=SG=linuxhint.com=éditeur @eforward1e.registraire-serveurs.com"
Ci-dessous, il y a une section appelée "Return-Path" et ici est définie l'adresse e-mail de rebond, qui est différente de la section "De" pour les messages de rebond à traiter par l'administrateur du serveur de messagerie.
Chemin de retour: <[email protected]om>
Enfin ci-dessous, les informations sur le serveur de messagerie, (Postfix), la version DKIM et la force de cryptage sont affichées,
Reçu : de se17.registraire-serveurs.com (se17.registraire-serveurs.com [198.54.122.197]) par eforward1e.registraire-serveurs.com (Postfix) avec l'identifiant ESMTP 9060A4207A2 pour <[email protected]>; Mer. 3 avril 2019 22:50:14 -0400 (EDT) DKIM-Filter : OpenDKIM Filter v2.11.0 eforward1e.registraire-serveurs.com 9060A4207A2 Signature DKIM : v=1 ; a=rsa-sha256; c=détendu/détendu ; d=registraire-serveurs.com; s=par défaut ; t=1554346214; bh=SGSL8wJRA7+YflVA67ETqxpMCMuzIg+Fe1LKVzldnbA=; h=De : Date : Sujet : À ; b=oY3SGJaiN0EVVIZGe4qRW387o3JTI2hMavvK/6RsTToszEuR9J4tVB3CUCeubu9S+
X-Google-DKIM-Signature : v=1 ; a=rsa-sha256; c=détendu/détendu ; d=1e100.rapporter; s=20161025 ; h=x-gm-message-state:mime-version:from:date:message-id:subject:to; bh=SGSL8wJRA7+YflVA67ETqxpMCMuzIg+Fe1LKVzldnbA=; b=YaWzCdnw7XFUn6N6Ceok2a
La section X-Gm-Message-State affiche une chaîne unique pour deux états possibles : rebondi et envoyé.
État du message X-Gm : APjAAAUDZt8fdxWPtMkMW5tr36yJEQsL/6qVDvoZPRyyFl0LjcTE1wtK t6HvCiRDpuHHwPQyP
La valeur X-Received appartient spécifiquement à gmail.
X-Received: par 2002:a50:89fb :: avec l'identifiant SMTP h56mr1932247edh.176.1554346208456 ; mer. 03 avr. 2019 19:50:08 -0700 (PDT)
Vous trouverez ci-dessous la version MIME (Multipurpose Internet Mail Extensions) et les informations régulières affichées aux utilisateurs :
Version MIME : 1.0 De : Éditeur LinuxHint <[email protected]> Date : 3 avril 2019 19:50:27 -0700 ID du message : <[email protected]om> Objet : paiement envoyé 150 $ À : Ivan <[email protected]> Type de contenu : multipart/alternatif ; bound="0000000000009d08b80585ab6de6" Authentification-Résultats : serveurs d'enregistrement.com; dkim=passer l'en-tête.i= linuxhint-com.20150623.gappssmtp.com X-SpamExperts-Class : incertain X-SpamExperts-Evidence : combiné (0.50) X-Recommended-Action: accepter X-Filter-ID: PqwsvolAWURa0gwxuN3S5aX1D1WTqZz4ZUVZsEKIAZmQZhrrHO4tCCdd7Glc / hE6Ad92F9LvLiZB UmTDs6LztDdIhjKJtmyqxGggHTBQkRv3cFX8llim30hS81NKz3IPKJfBc4dflnSXjyC + hcWqo8T7 edt47wTUEZSG1pLBlhmyXn4nYf
J'espère que vous avez trouvé ce tutoriel sur l'analyse des en-têtes d'e-mails utile. Continuez à suivre LinuxHint pour plus de conseils et de tutoriels sur Linux et la mise en réseau.
