Guide d'Analyse des En-têtes Email : Maîtrisez le Traçage des Received
Vous êtes-vous déjà demandé ce qui se passe dans les coulisses lorsque vous envoyez ou recevez un e-mail ? Alors que le corps de l'e-mail contient votre message, l'En-tête de l'E-mail (Email Header) contient les informations critiques de l'"enveloppe" qui racontent l'histoire du voyage de l'e-mail du serveur de l'expéditeur à votre boîte de réception. Maîtriser l'analyse des en-têtes d'e-mail est une compétence essentielle pour les professionnels de l'informatique, les développeurs et les analystes en sécurité.
Qu'est-ce qu'un En-tête d'E-mail ?
Un en-tête d'e-mail est un bloc de métadonnées qui accompagne chaque e-mail. Il contient des détails techniques sur l'expéditeur, le destinataire, l'itinéraire emprunté par l'e-mail et les résultats de divers contrôles de sécurité. Bien que la plupart des clients de messagerie masquent l'en-tête par défaut pour offrir une expérience de lecture fluide, il est toujours là, accessible via des options telles que "Voir la source" ou "Voir l'original".
Un e-mail se compose de trois parties :
- L'Enveloppe (Envelope) : Utilisée par les serveurs de messagerie pour acheminer l'e-mail (non visible dans le message final).
- L'En-tête (Header) : Les métadonnées que nous voyons (et analysons).
- Le Corps (Body) : Le contenu réel du message.
Principes Fondamentaux : Champs Clés de l'En-tête
Pour résoudre les problèmes de livraison ou identifier l'usurpation d'identité (spoofing), vous devez comprendre ces champs critiques :
1. Le Traçage "Received"
Le champ Received est la partie la plus importante de l'en-tête pour tracer le chemin d'un e-mail. Chaque serveur de messagerie qui traite l'e-mail ajoute sa propre ligne Received en haut de l'en-tête. Pour tracer un e-mail, vous devez lire ces lignes de bas en haut.
Exemple :
Received: from mail-ej1-x62c.google.com (mail-ej1-x62c.google.com. [209.85.218.44])
by mx.google.com with ESMTPS id ...
for <[email protected]>;
Fri, 12 Apr 2026 10:00:01 -0700 (PDT)
2. Return-Path vs. From
- From : L'adresse affichée dans le client de messagerie (l'expéditeur "amical").
- Return-Path : L'adresse réelle utilisée pour les messages de rebond (l'expéditeur de l'"enveloppe").
- Conseil de dépannage : Dans les e-mails de phishing, l'adresse
Fromindique souvent "[email protected]" alors que leReturn-Pathpeut être l'adresse aléatoire d'un pirate.
3. Authentication-Results
Ce champ affiche les résultats des contrôles SPF, DKIM et DMARC.
spf=pass: L'IP de l'expéditeur est autorisée.dkim=pass: La signature cryptographique est valide.dmarc=pass: L'e-mail est conforme à la politique de l'expéditeur.
Applications Réelles : Dépannage de la Livraison
Cas 1 : Pourquoi mon e-mail est-il retardé ?
En regardant les horodatages dans chaque en-tête Received, vous pouvez calculer le délai entre les sauts. Si le saut 1 est à 10h00 et le saut 2 à 10h15, vous savez que le retard s'est produit au niveau du deuxième serveur.
Cas 2 : Identification de l'Usurpation d'Identité
Si les Authentication-Results affichent spf=fail ou dkim=fail, c'est un indicateur fort que l'e-mail pourrait être frauduleux. Vérifiez toujours si le domaine From correspond au domaine dans les Authentication-Results.
Comparaison : Différences entre les Champs Clés
| Champ | Objectif | Peut-il être falsifié ? |
|---|---|---|
| From | Adresse de l'expéditeur affichée | Oui (Facilement) |
| Return-Path | Adresse de rebond | Oui (Mais révèle souvent la vraie source) |
| Received | Sauts de serveur et horodatages | Non (Seul le plus bas peut être falsifié par l'expéditeur) |
| Message-ID | ID unique du message | Oui |
FAQ : Questions Courantes sur les En-têtes
Q : Pourquoi est-ce que je vois plusieurs en-têtes "Received" ?
R : Parce que chaque serveur de messagerie (MTA) par lequel passe l'e-mail en ajoute un. Un voyage typique comprend le serveur de l'expéditeur, plusieurs filtres/relais intermédiaires et enfin le serveur du destinataire.
Q : Qu'est-ce qu'un fichier .eml ?
R : Un fichier .eml est un format de fichier standard pour un message e-mail. Il contient l'en-tête complet et le corps en texte brut. Vous pouvez les ouvrir dans n'importe quel éditeur de texte pour voir les en-têtes.
Q : Comment corriger "Authentication-Results: spf=softfail" ?
R : Cela signifie généralement que l'IP expéditrice n'est pas explicitement listée dans votre enregistrement SPF mais n'est pas strictement interdite non plus. Mettez à jour votre enregistrement TXT SPF chez votre fournisseur DNS pour inclure les bonnes adresses IP ou les instructions include.
Outils Associés
- Analyseur d'En-têtes Email : Collez vos en-têtes pour obtenir un tracé visuel (Prochainement).
- Générateur SPF/DKIM/DMARC : Créez les enregistrements DNS corrects pour sécuriser votre domaine.