Considérez ceci comme une annonce d’intérêt public: les fraudeurs peuvent falsifier des adresses e-mail. Votre programme de messagerie peut indiquer qu’un message provient d’une certaine adresse e-mail, mais il peut provenir entièrement d’une autre adresse.
Les protocoles de messagerie ne vérifient pas que les adresses sont légitimes – les escrocs, les hameçonneurs et autres individus malveillants exploitent cette faiblesse du système. Vous pouvez examiner les en-têtes d’un e-mail suspect pour voir si son adresse a été falsifiée.
Fonctionnement du courrier électronique
Votre logiciel de messagerie affiche de qui provient un e-mail dans le champ «De». Cependant, aucune vérification n’est réellement effectuée – votre logiciel de messagerie n’a aucun moyen de savoir si un e-mail provient réellement de la personne dont il dit qu’il provient. Chaque e-mail comprend un en-tête «De», qui peut être falsifié – par exemple, tout fraudeur peut vous envoyer un e-mail qui semble provenir de bill@microsoft.com. Votre client de messagerie vous dirait qu’il s’agit d’un e-mail de Bill Gates, mais il n’a aucun moyen de vérifier.
Les e-mails avec des adresses falsifiées peuvent sembler provenir de votre banque ou d’une autre entreprise légitime. Ils vous demanderont souvent des informations sensibles telles que les informations de votre carte de crédit ou votre numéro de sécurité sociale, peut-être après avoir cliqué sur un lien menant à un site de phishing conçu pour ressembler à un site Web légitime.
Considérez le champ «De» d’un e-mail comme l’équivalent numérique de l’adresse de retour imprimée sur les enveloppes que vous recevez par la poste. Généralement, les gens mettent une adresse de retour précise sur le courrier. Cependant, n’importe qui peut écrire ce qu’il veut dans le champ de l’adresse de retour – le service postal ne vérifie pas qu’une lettre provient bien de l’adresse de retour qui y est imprimée.
Lorsque SMTP (protocole de transfert de courrier simple) a été conçu dans les années 1980 pour être utilisé par les universités et les agences gouvernementales, la vérification des expéditeurs n’était pas un problème.
Comment enquêter sur les en-têtes d’un e-mail
Vous pouvez voir plus de détails sur un e-mail en creusant dans les en-têtes de l’e-mail. Ces informations se trouvent dans différentes zones de différents clients de messagerie. Elles peuvent être appelées «source» ou «en-têtes» de l’e-mail.
(Bien sûr, c’est généralement une bonne idée de ne pas tenir compte des e-mails suspects – si vous n’êtes pas du tout sûr d’un e-mail, c’est probablement une arnaque.)
Dans Gmail, vous pouvez examiner ces informations en cliquant sur la flèche dans le coin supérieur droit d’un e-mail et en sélectionnant. Cela affiche le contenu brut de l’e-mail.
Vous trouverez ci-dessous le contenu d’un e-mail de spam réel avec une adresse e-mail falsifiée. Nous expliquerons comment décoder ces informations.
Livré à: [MY EMAIL ADDRESS]
Reçu: par 10.182.3.66 avec l’ID SMTP a2csp104490oba;
Sam, 11 août 2012 15:32:15 -0700 (PDT)
Reçu: par 10.14.212.72 avec l’ID SMTP x48mr8232338eeo.40.1344724334578;
Sam, 11 août 2012 15:32:14 -0700 (PDT)
Chemin de retour:
Reçu: de 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
par mx.google.com avec l’ID ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Sam, 11 août 2012 15:32:14 -0700 (PDT)
Reçu-SPF: neutre (google.com: 72.255.12.30 n’est ni autorisé ni refusé par le meilleur enregistrement de supposition pour le domaine de e.vwidxus@yahoo.com) client-ip = 72.255.12.30;
Résultats d’authentification: mx.google.com; spf = neutral (google.com: 72.255.12.30 n’est ni autorisé ni refusé par le meilleur enregistrement de supposition pour le domaine de e.vwidxus@yahoo.com) smtp.mail=e.vwidxus@yahoo.com
Reçu: par vwidxus.net id hnt67m0ce87b pour <[MY EMAIL ADDRESS]>; Dim 12 août 2012 10:01:06 -0500 (enveloppe-from
Reçu: de vwidxus.net par web.vwidxus.net avec local (Mailing Server 4.69)
identifiant 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
pour root@vwidxus.net; Dim. 12 août 2012 10:01:06 –0500
…
De: «Canadian Pharmacy» e.vwidxus@yahoo.com
Il y a plus d’en-têtes, mais ce sont les plus importants – ils apparaissent en haut du texte brut de l’e-mail. Pour comprendre ces en-têtes, commencez par le bas – ces en-têtes retracent l’itinéraire de l’e-mail depuis son expéditeur jusqu’à vous. Chaque serveur qui reçoit l’e-mail ajoute plus d’en-têtes en haut – les en-têtes les plus anciens des serveurs sur lesquels l’e-mail a commencé sont situés en bas.
L’en-tête «De» en bas affirme que l’e-mail provient d’une adresse @ yahoo.com – il ne s’agit que d’un élément d’information inclus avec l’e-mail; ça pourrait être n’importe quoi. Cependant, au-dessus, nous pouvons voir que l’e-mail a d’abord été reçu par «vwidxus.net» (ci-dessous) avant d’être reçu par les serveurs de messagerie de Google (ci-dessus). Il s’agit d’un drapeau rouge – nous nous attendons à ce que l’en-tête « Received: » le plus bas de la liste soit l’un des serveurs de messagerie de Yahoo !.
Les adresses IP impliquées peuvent également vous indiquer – si vous recevez un e-mail suspect d’une banque américaine mais que l’adresse IP qu’il a reçue de la part du Nigéria ou de la Russie est probablement une adresse e-mail falsifiée.
Dans ce cas, les spammeurs ont accès à l’adresse «e.vwidxus@yahoo.com», où ils veulent recevoir des réponses à leur spam, mais ils falsifient quand même le champ «De:». Pourquoi? Probablement parce qu’ils ne peuvent pas envoyer d’énormes quantités de spam via les serveurs de Yahoo !, ils seraient remarqués et fermés. Au lieu de cela, ils envoient du spam à partir de leurs propres serveurs et falsifient son adresse.
