Mes en-têtes de courriel collés sont-ils conservés quelque part ?

Non. Les en-têtes sont envoyés au serveur, analysés en mémoire pour produire la page de résultats, puis supprimés une fois la réponse renvoyée. Ils ne sont pas écrits sur disque, ni journalisés, ni associés à vous.

Puis-je faire confiance à l'IP d'origine dans les en-têtes d'un courriel ?

Vous pouvez faire confiance aux en-têtes Received ajoutés par des serveurs que vous contrôlez ou en qui vous avez confiance. Tout ce qui précède ce point peut être falsifié par un expéditeur malveillant. Pour du courrier authentique d'un fournisseur réputé, l'IP d'origine est fiable.

En-têtes Analyseur d'en-têtes courriel

Collez les en-têtes bruts d'un courriel pour tracer le chemin de livraison, mesurer les délais entre les sauts, et lire les résultats d'authentification.

Que sont les en-têtes d'un courriel ?

Chaque courriel porte un bloc d'en-têtes — des métadonnées qui consignent qui l'a envoyé, comment il a voyagé, et quelles vérifications d'authentification il a réussies. Votre logiciel de messagerie n'en montre que quelques-uns (De, Objet, Date), mais le bloc d'en-têtes complet contient tout l'historique de livraison.

Analyser les en-têtes est la façon la plus rapide de répondre à des questions comme « pourquoi est-ce arrivé dans les pourriels ? », « d'où provient réellement ce courriel d'hameçonnage ? » et « pourquoi la livraison a-t-elle pris 20 minutes ? ».

Comment obtenir les en-têtes bruts

Gmail : ouvrez le message → menu ⋮ → Afficher l'original. Copiez tout le contenu de la boîte.
Outlook (ordinateur) : ouvrez le message → Fichier → Propriétés → copiez la boîte En-têtes Internet.
Outlook.com / Microsoft 365 Web : ouvrez le message → ⋮ → Affichage → Afficher la source du message.
Apple Mail : sélectionnez le message → Présentation → E-mail → Tous les en-têtes (ou Source brute).
Yahoo Mail : ouvrez le message → ⋮ Plus → Afficher le message brut.

Ce que cet analyseur affiche

Chemin de livraison — la chaîne Received: reconstituée dans l'ordre, le plus ancien saut d'abord, pour voir chaque serveur traversé par le message.
Délai par saut — l'écart de temps entre les sauts consécutifs, qui repère où une livraison lente a calé.
IP d'origine — la première IP publique de la chaîne, c.-à-d. le serveur qui a réellement injecté le message.
Résultats d'authentification — les résultats SPF, DKIM et DMARC extraits de l'en-tête Authentication-Results ajouté par le serveur destinataire.
En-têtes clés — De, À, Return-Path, Message-ID et d'autres champs d'identification.

Lire la chaîne Received

Les serveurs de messagerie ajoutent un en-tête Received: en tête chaque fois qu'ils traitent un message ; dans le texte brut, le saut le plus récent est donc en haut. Cet outil inverse cela — le saut 1 est l'origine du message, et le dernier saut est la livraison finale. Chaque saut consigne l'hôte from (qui a transmis le message), l'hôte by (qui l'a reçu), le protocole utilisé et un horodatage.

Sachez que les en-têtes Received antérieurs à votre propre infrastructure peuvent être falsifiés par un expéditeur de pourriel — seuls les en-têtes ajoutés par des serveurs de confiance sont fiables. L'IP d'origine affichée ici est la première IP publique de la chaîne, mais dans une chaîne falsifiée, elle peut elle-même être fabriquée.

Foire aux questions

Mes en-têtes collés sont-ils conservés quelque part ?

Non. Les en-têtes sont envoyés au serveur, analysés en mémoire pour produire cette page, puis supprimés une fois la réponse renvoyée. Ils ne sont pas écrits sur disque, ni journalisés, ni associés à vous.

Pourquoi le temps de livraison est-il négatif ou nul entre certains sauts ?

Chaque serveur inscrit sa propre horloge dans l'en-tête Received, et les horloges des serveurs ne sont pas parfaitement synchronisées. Un petit écart négatif n'est qu'un décalage d'horloge — cet outil le ramène à zéro. Les grands écarts sont de vrais délais de mise en file d'attente.

Puis-je faire confiance à l'IP d'origine ?

Vous pouvez faire confiance aux en-têtes Received ajoutés par des serveurs que vous contrôlez ou en qui vous avez confiance (ceux de votre fournisseur de messagerie). Tout ce qui précède ce point peut être falsifié par un expéditeur malveillant. Pour un message authentique provenant d'un fournisseur réputé, l'IP d'origine est fiable ; en cas d'hameçonnage soupçonné, traitez les sauts inférieurs avec méfiance.

Que signifie « dkim=signed » par rapport à « dkim=pass » ?

dkim=pass provient de l'en-tête Authentication-Results du serveur destinataire — il a réellement vérifié la signature. dkim=signed est ce que cet outil indique lorsqu'il ne voit qu'un en-tête DKIM-Signature sans résultat de vérification — le message a été signé, mais nous ne pouvons pas confirmer que la signature est valide.

L'analyseur n'a trouvé aucun en-tête Received — qu'est-ce qui a mal tourné ?

Vous avez probablement collé seulement les en-têtes que votre logiciel de messagerie affiche (De, À, Objet) plutôt que les en-têtes bruts complets. Utilisez l'option « Afficher l'original » / « Afficher la source » décrite ci-dessus pour obtenir le bloc complet, y compris chaque ligne Received:.

Pourquoi SPF réussit-il mais DMARC échoue-t-il ?

DMARC exige que SPF ou DKIM réussisse et soit aligné — le domaine authentifié doit correspondre au domaine « De » visible. Un message peut réussir un SPF simple (le domaine de l'expéditeur d'enveloppe est autorisé) mais échouer à DMARC parce que ce domaine diffère du domaine de l'en-tête « De ». C'est courant avec les listes de diffusion et les redirecteurs.

Vous voulez le portrait complet ? Lancez une vérification de domaine complète →