Aller au contenu principal
Retour aux blog
Comment lire les en-têtes d'un email comme un expert
BlogDanger faible

Comment lire les en-têtes d'un email comme un expert

Les en-têtes d'un email contiennent des informations précieuses pour détecter une fraude. Guide complet pour les décrypter.

Partager

Qu'est-ce que les en-têtes d'un email ?

Chaque email transporte des métadonnées invisibles : les en-têtes (headers). Ces informations techniques révèlent le véritable parcours de l'email, de son expéditeur réel aux serveurs traversés.

Comment accéder aux en-têtes ?

Gmail

  1. Ouvrez l'email
  2. Cliquez sur les trois points verticaux (⋮)
  3. Sélectionnez "Afficher l'original"

Outlook

  1. Ouvrez l'email
  2. Fichier > Propriétés
  3. La section "En-têtes Internet" contient les informations

Apple Mail

  1. Ouvrez l'email
  2. Présentation > Message > En-têtes par défaut

Yahoo Mail

  1. Ouvrez l'email
  2. Cliquez sur les trois points
  3. "Afficher le message brut"

Les en-têtes essentiels à analyser

1. From (De)

From: "Netflix Support" <support@netflix-secure.com>

Ce qu'il révèle : L'adresse d'expédition déclarée.

Attention : Ce champ peut être falsifié ! C'est le plus simple à manipuler.

2. Return-Path

Return-Path: <bounce@marketing-spam.net>

Ce qu'il révèle : L'adresse réelle où les erreurs sont envoyées.

Signal d'alerte : Si différent du "From", c'est suspect.

3. Received

Received: from mail.phishing-server.ru (192.168.1.1)
        by mx.google.com with SMTP
        for <victime@gmail.com>
        Fri, 24 Jan 2025 10:30:00 -0000

Ce qu'il révèle : Le parcours réel de l'email.

Comment lire : Les lignes "Received" se lisent de bas en haut. La dernière ajoutée (en haut) est la plus récente.

Signal d'alerte : Un email "de Netflix" qui vient d'un serveur russe ou chinois est frauduleux.

4. Authentication-Results

Authentication-Results: mx.google.com;
       dkim=fail
       spf=softfail
       dmarc=fail

Ce qu'il révèle : Si l'email a passé les vérifications d'authenticité.

| Résultat | Signification | |----------|---------------| | pass | L'email est authentifié | | fail | Échec de l'authentification | | softfail | Échec partiel (suspect) | | none | Pas de vérification possible |

Un email légitime de Netflix, Amazon ou une banque aura DKIM=pass, SPF=pass, DMARC=pass.

5. X-Originating-IP

X-Originating-IP: [185.234.72.11]

Ce qu'il révèle : L'adresse IP de l'expéditeur original.

Utilisation : Vous pouvez vérifier la géolocalisation de cette IP. Un email de "La Banque Postale" envoyé depuis le Nigeria est frauduleux.

Analyser un exemple réel

Email suspect reçu :

From: "Ameli - Assurance Maladie" <remboursement@ameli-sante.com>
Subject: Vous avez un remboursement en attente

Ses en-têtes révèlent :

Return-Path: <bounce@mail-marketing.xyz>
Received: from server42.cheap-hosting.ru (37.48.89.12)
Authentication-Results:
       dkim=none
       spf=fail (domain ameli-sante.com)
       dmarc=fail
X-Originating-IP: [37.48.89.12]

Analyse :

| En-tête | Valeur | Verdict | |---------|--------|---------| | From | ameli-sante.com | ❌ Faux domaine (le vrai est ameli.fr) | | Return-Path | mail-marketing.xyz | ❌ Domaine différent, suspect | | Received | cheap-hosting.ru | ❌ Serveur russe | | SPF | fail | ❌ Non autorisé à envoyer | | DMARC | fail | ❌ Non authentifié | | IP | 37.48.89.12 | ❌ IP russe |

Verdict : 100% phishing.

Les outils pour analyser les en-têtes

MXToolbox Header Analyzer

  • mxtoolbox.com/EmailHeaders.aspx
  • Analyse visuelle complète

Google Admin Toolbox

  • toolbox.googleapps.com/apps/messageheader
  • Analyse détaillée avec timeline

Notre analyseur mailarnaque.fr

  • Détection automatique des patterns frauduleux
  • Comparaison avec notre base de domaines légitimes

Ce que SPF, DKIM et DMARC signifient

SPF (Sender Policy Framework)

Vérifie si le serveur d'envoi est autorisé par le domaine.

Exemple : netflix.com autorise uniquement certains serveurs à envoyer en son nom. Un email "de Netflix" depuis un autre serveur échoue au SPF.

DKIM (DomainKeys Identified Mail)

Signature cryptographique qui prouve que l'email n'a pas été modifié.

Exemple : Si quelqu'un intercepte et modifie un email, la signature DKIM devient invalide.

DMARC (Domain-based Message Authentication)

Politique définie par le domaine pour traiter les échecs SPF/DKIM.

Exemple : ameli.fr peut dire "rejetez tout email qui échoue au SPF et DKIM".

En résumé

Les en-têtes d'un email sont sa carte d'identité technique. Un email de phishing peut falsifier le "From" visible, mais les en-têtes révèlent toujours la vérité. Apprenez à les lire, ou utilisez notre analyseur qui le fait automatiquement.

Articles similaires

Anatomie d'un email de phishing : 7 éléments à analyser

Apprenez à décortiquer un email suspect comme un expert. Nous analysons les 7 éléments clés qui trahissent toujours un email de phishing.

Lire

Les domaines frauduleux les plus utilisés en France

Analyse des techniques de création de domaines frauduleux : typosquatting, sous-domaines trompeurs, TLD exotiques. Comment les reconnaître.

Lire

Décrypter les liens masqués : l'art de voir où mène vraiment un lien

Les liens dans les emails sont souvent masqués. Apprenez à révéler leur vraie destination avant de cliquer.

Lire