Comment lire et déchiffrer les en-têtes (headers) et codes sources des emails et spams. L'adresse électronique et les renseignements fournis par les polluposteurs ne disent pas tout. La plupart des polluposteurs utilisent de fausses adresses électroniques auxquelles ils apposent des noms de domaine tels que aol.com ou msn.com, mais ils expédient leur pollupostage à partir de serveurs situés à Taiwan.Pour notre ami JO18 membre SoSWindows .
Introduction
Ce document a pour objectif d'être une aide à la compréhension du mode de
fonctionnement des en-têtes d'emails. Il est, dans un premier temps, destiné
aux victimes d'emails non-sollicités (spam) désireuses d'en déterminer la
provenance réelle (généralement falsifiée). Il devrait également aider ceux
qui essayent de comprendre les autres types de falsification d'en-têtes d'email.
Il devrait enfin être utile aux lecteurs intéressés par une introduction générale
aux transferts de mails par Internet.
Bien que ce document évite volontairement de donner des informations trop précises
sur les diverses façons de trafiquer un email, les éléments qu'il contient
peuvent être détournés à cette fin par toute personne suffisamment déterminée.
L'auteur n'approuve formellement aucune falsification malveillante d'email, et
toute utilisation à cette fin des informations contenues dans ce document est
contraire à ses objectifs.
A cause de la nature des exemples donnés dans ce document, plusieurs noms de
domaines fictifs sont associés à des adresses IP (Internet Protocol). Les
risques que ces noms de domaines soient un jour attribués sont fatalement non
nuls. De même, si toutes les adresses IP utilisées dans les exemples sont
libres à l'heure où ces lignes sont écrites, elles seront sans aucun doute
attribuées un jour ou l'autre. Naturellement, rien dans ce document, n'est fait
dans le but de présumer de l'identité des futurs utilisateurs de ces noms de
domaines ou d'adresses IP.
D'où viennent les emails
Cette section consiste en une brève analyse de la vie d'un email. Ce survol
global est important pour comprendre ce que les en-têtes vous révèlent.
Au premier regard, il apparaît que l'email est passé directement de la machine
de l'expéditeur à celle du destinataire. En principe, ce n'est pas vrai : un
email classique passe au moins par quatre ordinateurs pendant son parcours. Cela
parce que la plupart des sociétés ont dédié un ordinateur appelé
"serveur de mails" spécialement pour la gestion du courrier électronique;
en temps normal, ce n'est pas le même ordinateur que les utilisateurs
consultent quand ils lisent leur courrier.
Dans la plupart des cas, où un fournisseur d'accès (ISP) a des clients qui se
connectent par leur ordinateur familial, l'ordinateur client est celui de
l'utilisateur, et le serveur est un ordinateur appartenant au fournisseur d'accès.
Quand un utilisateur envoie un courrier, il rédige son message de son propre
ordinateur, puis l'envoie au serveur de mail de son ISP. A cette étape,
l'ordinateur de l'expéditeur a fini son travail, mais le serveur de mail doit
continuer à acheminer le message. Il s'appuie alors sur un second serveur de
mails et ainsi de suite jusqu'à ce que le destinataire soit en mesure de
rapatrier le message sur son ordinateur, en l'effaçant, normalement, du serveur
de mail.
Illustration
Imaginons une paire d'utilisateurs fictifs,
Si rth veux envoyer une lettre à tmh, il la rédige de son ordinateur de bureau
(qui s'appelle, disons, alpha.bieberdorf.edu); le texte composé part donc de là
pour arriver au serveur de mail, mail.bieberdorf.edu. (A cet instant, aucune
intervention de rth n'est plus nécessaire, les étapes suivantes du processus
étant gérées directement par les machines). Le serveur de mail, voyant qu'il
y a un message pour quelqu'un à immense-isp.com, contacte le serveur de mail du
destinataire --appelé, disons mailhost.immense-isp.com--- et lui délivre le
message. Maintenant, celui-ci est stocké sur mailhost.immense-isp.com jusqu'à
ce que tmh se connecte de son ordinateur familial et vérifie sa boîte aux
lettres. A cet instant, le serveur de mail lui délivre tous les messages en
attente, dont la lettre de rth.
Illustration
Pendant toutes ces étapes, les en-têtes sont ajoutés au message trois fois :
pendant la rédaction du message, quelque soit le logiciel de mail utilisé,
quand le logiciel délègue le contrôle des opérations à mail.bieberdorf.edu;
et pendant le transfert du message de mail.bieberdorf.edu vers Immense.
(Normalement, la communication qui rapatrie le message ne rajoute pas d'en-têtes).
Observons comment évoluent ces en-têtes.
Généré par le logiciel de mail de rth et délivré à mail.bieberdorf.edu:
From: rth@bieberdorf.edu (R.T. Hood)Son état quand mail.bieberdorf.edu remet le message à mailhost.immense-isp.com :
To: tmh@immense-isp.com
Date: Tue, Mar 18 1997 14:36:14 PST
X-Mailer: Loris v2.32
Subject: Lunch today?
Received: from alpha.bieberdorf.edu (alpha.bieberdorf.edu [124.211.3.11]) by mail.bieberdorf.edu (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17 -0800 (PST)Son état quand mailhost.immense-isp.com achève de traiter le message et le stocke pour que tmh puisse le rapatrier :
From: rth@bieberdorf.edu (R.T. Hood)
To: tmh@immense-isp.com
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id:
X-Mailer: Loris v2.32
Subject: Lunch today?
Received: from mail.bieberdorf.edu (mail.bieberdorf.edu [124.211.3.78]) by mailhost.immense-isp.com (8.8.5/8.7.2) with ESMTP id LAA20869 for ; Tue, 18 Mar 1997 14:39:24 -0800 (PST)Ce dernier ensemble d'en-têtes est celui que tmh voit dans la lettre quand il télécharge et lit son courrier. Voici une analyse ligne par ligne de ces en-têtes ainsi que le décryptage de chacun d'entre-eux.
Received: from alpha.bieberdorf.edu (alpha.bieberdorf.edu [124.211.3.11]) by mail.bieberdorf.edu (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17 -0800 (PST)
From: rth@bieberdorf.edu (R.T. Hood)
To: tmh@immense-isp.com
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id:
X-Mailer: Loris v2.32
Subject: Lunch today?
Received: from mail.bieberdorf.eduCet email a été reçu d'un ordinateur qui s'appelle mail.bieberdorf.edu...
(mail.bieberdorf.edu [124.211.3.78])... qui s'appelle vraiment mail.bieberdorf.edu (il s'identifie correctement----voir la section correspondante pour plus de détails) et a pour adresse IP 124.211.3.78.
by mailhost.immense-isp.com (8.8.5/8.7.2)L'ordinateur qui a assuré la réception du mail était mailhost.immense-isp.com; Il utilise un logiciel de mail appelé sendmail, version 8.8.5/8.7.2 (ne vous inquiétez pas pour la signification des numéros de version)
with ESMTP id LAA20869L'ordinateur de réception a attribué au message le numéro ID LAA20869 (ce numéro est utilisé en interne par l'ordinateur--- parfois par un administrateur voulant reconnaître un message dans les archives de l'ordinateur, mais cela n'a pas beaucoup de signification pour la plupart des gens)
forLe message est adressé à tmh@immense-isp.com. Remarquez que cet en-tête n'a pas de rapport avec la ligne To: (section correspondante.);
Tue, 18 Mar 1997 14:39:24 -0800 (PST)Ce transfert de mail a eu lieu le Mardi 18 Mars 1997 à 14h39'24 (2h39mn24 de l'après-midi) en temps PST, qui compte 8 heures de moins que le temps GMT; d'où le "-0800")
Received: from alpha.bieberdorf.edu (alpha.bieberdorf.edu [124.211.3.11]) by mail.bieberdorf.edu (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17 -0800 (PST)Cette ligne renseigne sur la remise du mail par alpha.bieberdorf.edu (l'ordinateur de bureau de rth) à mail.bieberdorf.edu; Cette remise a eu lieu à 14h36mn17 temps PST. L'ordinateur expéditeur s'appelle lui-même alpha.bieberdorf.edu; il s'appelle réellement alpha.bieberdorf.edu, et son adresse IP est 124.211.3.11. Le serveur de mail de Bieberdorf utilise sendmail version 8.8.5, et il a attribué à ce message le numéro ID 004A21 pour le traitement interne.
From: rth@bieberdorf.edu (R.T. Hood)Le message fut envoyé par rth@bieberdorf.edu, qui a décliné sa véritable identité (R.T. Hood)
To: tmh@immense-isp.comLa lettre est adressée à tmh@immense-isp.com.
Date: Tue, Mar 18 1997 14:36:14 PSTLe message a été rédigé à 14h36mn14 (temps PST) le Mardi 18 Mars 1997
Message-Id:Ce message s'est vu attribué ce numéro (par mail.bieberdorf.edu) à des fins d'identification. Cet ID est différent des numéros ID du SMTP et ESMTP de la ligne Received : de l'en-tête parce qu'il est définitivement relié à ce message. Les autres numéros ID sont uniquement associés à des échanges particuliers entre des machines spécifiques, de sorte que le numéro ID d'un ordinateur n'ait aucune signification précise pour une autre machine. Quelquefois (comme dans cet exemple l'ID du message contient l'adresse email de l'expéditeur; mais dans la plupart des cas, il n'a pas de réelle signification par lui-même).
X-Mailer: Loris v2.32Le message a été envoyé par un logiciel appelé Loris, version 2.32.
Subject: Lunch today?Ligne explicite par elle-même
220 mailhost.immense-isp.com ESMTP Sendmail 8.8.5/1.4/8.7.2/1.13; Tue, Mar 18 1997 14:38:58 -0800 (PST)Cet échange complet dépend de cinq commandes qui constituent le cœur du SMTP (il en existe quelques autres, mais ils sont en marge du processus réel engagé pendant le passage du mail d'un point à l'autre de l'Internet) : HELO, MAIL FROM, RCPT TO, DATA, et QUIT.
HELO mail.bieberdorf.edu
250 mailhost.immense-isp.com Hello mail.bieberdorf.edu [124.211.3.78], pleased to meet you
MAIL FROM: rth@bieberdorf.edu
250 rth@bieberdorf.edu... Sender ok
RCPT TO: tmh@immense-isp.com
250 tmh@immense-isp.com... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself
Received: from alpha.bieberdorf.edu (alpha.bieberdorf.edu [124.211.3.11]) by mail.bieberdorf.edu (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17 -0800 (PST)
From: rth@bieberdorf.edu (R.T. Hood)
To: tmh@immense-isp.com
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id:
X-Mailer: Loris v2.32
Subject: Lunch today?
Do you have time to meet for lunch?
--rth
.
250 LAA20869 Message accepted for delivery
QUIT
221 mailhost.immense-isp.com closing connection
Received: from firewall.immense-isp.com (firewall.immense-isp.com [121.214.13.129]) by mailhost.immense-isp.comDe façon similaire, si tout le courrier sortant de bieberdorf.edu était routé à travers un pare-feu, il y aurait une autre ligne "Received:" insérée par l'ordinateur pare-feu. De même, il est possible que soient impliqués des ordinateurs qui ne sont pas strictement des pare-feu, mais simplement des points de passage communs---peut-être immense-isp.com entretient il un parc d'ordinateurs disséminés en plusieurs endroits géographiques différents, avec plusieurs serveurs de mails distincts, et utilise une machine unique (appelée, disons, mailgate.immense-isp.com) pour déterminer vers quel serveur de mails le courrier doit être dirigé. Ainsi le groupe d'en-têtes suivant est un peu extrême mais pas impossible:
(8.8.5/8.7.2) with ESMTP id LAA20869 for; Tue, 18 Mar 1997 14:40:11 -0800 (PST)
Received: from mail.bieberdorf.edu (mail.bieberdorf.edu [124.211.3.78]) by firewall.immense-isp.com (8.8.3/8.7.1) with ESMTP id LAA20869 for ; Tue, 18 Mar 1997 14:39:24 -0800 (PST)
Received: from alpha.bieberdorf.edu (alpha.bieberdorf.edu [124.211.3.11]) by mail.bieberdorf.edu (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17 -0800 (PST)
From: rth@bieberdorf.edu (R.T. Hood)
To: tmh@immense-isp.com
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id:
X-Mailer: Loris v2.32
Subject: Lunch today?
Received: from mailgate.immense-isp.com (mailgate.immense-isp.com [121.214.11.102]) by mailhost3.immense-isp.com (8.8.5/8.7.2) with ESMTP id LAA30141 forL'histoire de l'email peut-être retracée en lisant l'en-tête Received: de bas en haut; ce message est parti de alpha.bieberdorf.edu vers mail.bieberdorf.edu, vers firewall.bieberdorf.edu vers firewall.immense-isp.com vers mailgate.immense-isp.com vers mailhost3.immense-isp.com, où il attend d'être récupéré par tmh pour être lu.; Tue, 18 Mar 1997 14:41:08 -0800 (PST)
Received: from firewall.immense-isp.com (firewall.immense-isp.com [121.214.13.129]) by mailgate.immense-isp.com (8.8.5/8.7.2) with ESMTP id LAA20869 for; Tue, 18 Mar 1997 14:40:11 -0800 (PST)
Received: from firewall.bieberdorf.edu (firewall.bieberdorf.edu [124.211.4.13]) by firewall.immense-isp.com (8.8.3/8.7.1) with ESMTP id LAA28874 for; Tue, 18 Mar 1997 14:39:34 -0800 (PST)
Received: from mail.bieberdorf.edu (mail.bieberdorf.edu [124.211.3.78]) by firewall.bieberdorf.edu (8.8.5) with ESMTP id LAA61271; Tue, 18 Mar 1997 14:39:08 -0800 (PST)
Received: from alpha.bieberdorf.edu (alpha.bieberdorf.edu [124.211.3.11]) by mail.bieberdorf.edu (8.8.5) id 004A21; Tue, Mar 18 1997 14:36:17 -0800 (PST)
From: rth@bieberdorf.edu (R.T. Hood)
To: tmh@immense-isp.com
Date: Tue, Mar 18 1997 14:36:14 PST
Message-Id:
X-Mailer: Loris v2.32
Subject: Lunch today?
Received: from unwilling.intermediary.com (unwilling.intermediary.com [98.134.11.32]) by mail.bieberdorf.edu (8.8.5) id 004B32 forDe nombreux détails, dans cet en-tête, devraient indiquer au lecteur que cet email est un spam, mais les éléments qu'il faut garder à l'esprit sont les lignes "Received:" Ce message, provenant de turmeric.com, a été dirigé vers unwilling.intermediary.com, puis vers sa destination finale, à mail.bieberdorf.edu. D'accord, mais que vient faire là unwilling.intermediary.com, puisqu'il n'a de rapport ni avec l'expéditeur ni avec le destinataire ?; Wed, Jul 30 1997 16:39:50 -0800 (PST)
Received: from turmeric.com ([104.128.23.115]) by unwilling.intermediary.com (8.6.5/8.5.8) with SMTP id LAA12741; Wed, Jul 30 1997 19:36:28 -0500 (EST)
From: Anonymous Spammer
To: (recipient list suppressed)
Message-Id:
X-Mailer: Massive Annoyance
Subject: WANT TO MAKE ALOT OF MONEY???
San Francisco, Sacramento, Reno, Salt Lake City, Rock Springs, Laramie, North Platte, Lincoln, Omaha, Des Moines, Cedar Rapids, Dubuque, Rockford, Chicago, Gary, Elkhart, Fort Wayne, Toledo, Cleveland, Erie, Elmira, Williamsport, Newark, New York City, Greenwich Village, #12 Desolation Row, Apt. #35, R.A. ZimmermannCela montre pourquoi ce modèle d'adressage est très utile si vous êtes employé des Postes --le bureau de Gary, Indiana, doit seulement être capable de communiquer avec les bureaux voisins de Chicago et Elkhart, plutôt que de consacrer ses ressources à acheminer quelque chose vers New York. (Cela montre aussi pourquoi ce n'est pas une bonne idée du point de vue du rédacteur de la lettre, et pourquoi les emails ne sont plus désormais acheminés de la sorte!) C'est exactement de cette façon que les emails étaient envoyés; aussi était-il important qu'un ordinateur soit à même de donner à un autre des instructions telles que "J'ai un courrier pour rth@bieberdorf.edu, qui doit être envoyé par toi vers turmeric.com vers galangal.org vers asafoetida.com vers bieberdorf.edu". D'où l'intérêt du relais.
>From ginger@turmeric.comNoter l'absence du signe ":".---On a "From" et non "From:". Souvent, les en-têtes d'enveloppe ne sont pas suivis du signe ":"; cette convention n'est pas universelle, mais s'en souvenir peut se révéler judicieux.
HELO galangal.orgVoici les en-têtes correspondants (extraits pour plus de clarté):
250 mail.bieberdorf.edu Hello turmeric.com [104.128.23.115], pleased to meet you
MAIL FROM: forged-address@galangal.org
250 forged-address@galangal.org... Sender ok
RCPT TO: tmh@bieberdorf.edu
250 tmh@bieberdorf.edu... Recipient OK
DATA
354 Enter mail, end with "." on a line by itself
From: another-forged-address@lemongrass.org
To: (your address suppressed for stealth mailing and annoyance)
.
250 OAA08757 Message accepted for delivery
>From forged-address@galangal.orgRemarquez que le contenu de l'envelope From, le message from:, et le message to: sont tous spécifiés par l'expéditeur, et l'exactitude de ces informations n'est pas garantie! Cet exemple illustre pourquoi les en-têtes From, From: et To: ne doivent jamais inspirer confiance dans un mail qui peut avoir été trafiqué; c'est simplement trop facile à falsifier.
Received: from galangal.org ([104.128.23.115]) by mail.bieberdorf.edu (8.8.5) for...
From: another-forged-address@lemongrass.org
To: (your address suppressed for stealth mailing and annoyance
Received: from galangal.org ([104.128.23.115]) by mail.bieberdorf.edu (8.8.5)...(Le reste de la ligne est omis pour plus de clarté). Remarquez que, même si l'ordinateur bieberdorf.edu n'annonce pas de façon explicite que galangal.org n'est pas le véritable expéditeur de ce message, il enregistre quand même la vraie adresse IP de l'expéditeur. Si une personne recevant ce mail avait des raisons de penser que galangal.org apparait dans l'en-tête à l'issue d'une manipulation, elle pourrait regarder du coté de l'adresse IP 104.128.23.115 (avec un utilitaire comme le programme UNIX nslookup) et voir que cette adresse appartient en fait à turmeric.com (et non galangal.org). En d'autres termes, enregistrer l'adresse IP de la machine expéditrice fournit assez d'information pour confirmer une suspicion de falsification.
Received: from galangal.org (turmeric.com [104.128.23.115]) by mail.bieberdorf.edu...Ici, la supercherie est claire comme du cristal; cette ligne dit effectivement "turmeric.com dont l'adresse 104.128.23.115 reporte le nom galangal.org". Inutile de dire qu'une information telle que celle-ci est extrêmement utile pour identifier et traquer les emails falsifiés! (Pour cette raison, les spammeurs essaient d'éviter d'utiliser des serveurs relais qui reportent les informations d'inversion DNS. Quelquefois ils trouvent même des ordinateurs qui n'assurent pas l'enregistrement des IP décrit dans le paragraphe précédent--- même si on n'en trouve plus beaucoup sur le réseau désormais.)
Received: from galangal.org ([104.128.23.115]) by mail.bieberdorf.edu (8.8.5)...Évidemment, les deux dernières lignes n'ont aucun sens, écrites par l'expéditeur et jointes au message avant son envoi.
Received: from nowhere by fictitious-site (8.8.3/8.7.2)...
Received: No Information Here, Go Away!
Received: from galangal.org ([104.128.23.115]) by mail.bieberdorf.edu (8.8.5)...Ici, la seule difficulté se trouve dans l'inexacte adresse IP pour galangal.org dans la toute première ligne Received: . La manipulation aurait été encore plus difficile à détecter si le falsificateur avait écrit la bonne adresse IP pour lemongrass.org et graprao.com, mais le fait que l'IP ne soit pas corrélée dans la première ligne révélerait quand même que le message a été trafiqué, et "injecté" à travers le réseau par le site 104.128.23.115 (c'est à dire turmeric.com). Cependant, la plupart des falsification d'en-têtes sont considérablement moins sophistiquées et les lignes Received: supplémentaires ajoutées à des fins malveillantes sont facilement repérables.
Received: from lemongrass.org by galangal.org (8.7.3/8.5.1)...
Received: from graprao.com by lemongrass.org (8.6.4)...
Apparently-To: Les messages à destinataires multiples contiennent quelquefois une longue liste d'en-tête au format "Apparently-To:rth@bieberdorf.edu" (une ligne par destinataire). Ces en-têtes ne sont pas courants dans les courriers légitimes; ils sont généralement l'apanage des mailing-lists, et aujourd'hui, les mailing-lists utilisent généralement des logiciels assez sophistiqués pour ne pas produire une pile énorme d'en-têtes.
Bcc : (Blind Carbon Copy). Si vous voyez cet en-tête dans un courrier entrant, c'est que quelque chose ne va pas. Il est utilisé comme Cc: (voir plus bas), mais n'apparaît pas dans les en-têtes. L'idée est de pouvoir envoyer des copies d'email à des personnes qui ne désirent pas recevoir des réponses, ou apparaître dans les en-têtes. Les Blind Carbon Copy sont appréciés des spammeurs, pour leurs capacités à embrouiller les utilisateurs inexpérimentés qui finissent par recevoir du courrier qui ne leur était apparemment pas destiné;
Cc: (Carbon Copy, très significatif si vous vous souvenez des machines à écrire). Cet en-tête est une sorte d'extension de "To:"; il précise les destinataires additionnels. La différence entre "To:" et "Cc:" dépend essentiellement du contexte; quelques logiciels de mails les gèrent aussi différemment en traitant les réponses.
Comments: C'est un champ d'en-tête non standard. Il est plus couramment rencontré sous la forme "Comments : l'expéditeur authentique est". Un en-tête de ce type est ajouté par certains logiciels de mails (notamment le populaire programme freeware Pegasus) pour identifier l'expéditeur; cependant, il est souvent ajouté manuellement (avec de fausses informations) par les spammeurs. A considérer avec précaution, donc.
Content-Transfer-Encoding: Cet en-tête concerne MIME, un moyen usuel de joindre un contenu non textuel dans un email. Il n'a pas de rapport direct avec la délivrance du courrier, mais il influence la façon dont les logiciels de mails compatibles interprètent le contenu du message.
Content-Type: Un autre type d'en-tête, qui renseigne les logiciels de mails compatibles sur le type de contenu du message.
Date: Cet en-tête fait exactement ce que l'on suppose: Il précise la date, normalement la date de rédaction et d'émission du message. Si cet en-tête est omis par l'ordinateur de l'expéditeur, il devrait probablement être ajouté par le serveur de mails ou même par un autre ordinateur durant le parcours. Il ne devrait pas pour autant être pris pour parole d'évangile; falsification mise à part, un nombre affolant d'ordinateurs, de par le monde, ont leur horloge mal réglée.
Errors-To: Spécifie l'adresse où doivent être dirigés les rapports d'erreurs du logiciel de mail, tel les messages d'échec du style "utilisateur inexistant", (au lieu de l'adresse de l'expéditeur). Ce n'est pas un en-tête courant dans la mesure l'expéditeur désire généralement recevoir les rapports d'erreurs à l'adresse d'expédition, ce que la plupart (pratiquement tous) des logiciels de serveurs de mail font par défaut.
From (sans le signe ":"). C'est l"envelope From" décrit plus haut.
From: (avec le signe ":") C'est l"envelope From:" décrit plus haut.
Message-Id: (ou Message-id: ou Message-ID:). Le Message-Id est plus ou moins l'unique identifiant assigné à chaque message, d'habitude par le premier serveur de mail rencontré. Par convention, il est au format "gibberish@bieberdorf.edu", ou la partie "gibberish" pourrait être absolument n'importe quoi, et la seconde partie est le nom de l'ordinateur ayant assigné l'ID. Quelquefois, mais pas souvent, la partie "gibberish" inclut le nom d'utilisateur de l'expéditeur. Tout email dans lequel le message ID est mal formé( ex: caractère absent ou pas de signe @) ou dans lequel le site du message ID n'est pas le véritable site d'origine, est probablement une falsification.
In-Reply-To: Un en-tête Usenet qui apparaît occasionnellement dans les mails, l'en-tête In-Reply-To: indique le message ID des messages précédents ayant suscité une réponse. Cet en-tête n'apparaît habituellement pas, sauf dans certains emails directement reliés à Usenet; les spammeurs sont réputés pour l'utilisation qu'ils en font, probablement dans le but d'échapper aux programmes de filtrage.
Mime-Version: (ou MIME-Version:) Encore un autre en-tête MIME, celui-là spécifiant juste la version du protocole MIME utilisée par l'expéditeur. Comme l'autre en-tête MIME, celui-ci peut-être ignoré; la plupart des logiciels de courrier électronique sauront ce qu'ils doivent en faire.
Newsgroups: Cet en-tête apparaît seulement dans les emails relatifs à Usenet.--- Soit des copies d'email postés sur Usenet, ou des réponses à ces emails. Dans le premier cas, il indique le groupe de discussions vers lequel le message a été posté; dans le second cas, il indique le groupe de discussion vers lequel la réponse fut dirigée. La syntaxe de ces en-têtes sont l'objet d'une petite guerre sainte, qui fait que deux types de syntaxes sont utilisés, sans discernement pour le futur proche.
Organization: Un en-tête au format libre qui contient le nom de la compagnie qui fournit l'accès au net à l'expéditeur. Celui-ci peut généralement y entrer ce qu'il veut.
Priority: Un en-tête essentiel au format libre qui attribue une priorité au mail. La plupart des logiciels de mail l'ignorent. Il est souvent utilisé par les spammeurs, d'habitude sous un format "Priority: urgent" ( ou quelque chose d'approchant) dans l'espoir que leur message sera bien lu.
Received: Vu dans les descriptions précédentes.
References: Les en-têtes References: sont rares dans les emails, sauf dans les copies de courrier Usenet. Il est utilisé sur Usenet pour identifier les courriers en amont pour lesquels un message est une réponse. Quand il apparaît dans un email, c'est habituellement une copie d'un en-tête Usenet. Il peut aussi apparaître dans un email en réponse à un message Usenet, afin qu'il soit répondu au message ID de ce mail aussi bien qu'aux références initiales du message.
Reply-To: Spécifie l'adresse où doivent être dirigées les réponses. Bien que de nombreuses façons d'utiliser légitimement cet en-tête existent (votre logiciel de mail fait peut-être passer à la trappe vos champs adress From: et vous souhaitez répondre à l'adresse exacte), il est également abondamment utilisé par les spammeurs pour dévier les plaintes. Occasionnellement, un spammeur naïf va réellement solliciter des réponses en utilisant un en-tête Reply-To: pour les collecter, mais le plus souvent cet en-tête envoie vers un email invalide ou vers celui d'une victime innocente.
Sender: Cet en-tête n'est pas courant dans un email (X-Sender est le plus souvent utilisé), mais il apparaît parfois, surtout dans les copies de messages Usenet. Il est censé identifier l'expéditeur; dans le cas de messages Usenet, c'est un élément plus fiable que la ligne From:
Subject: Un en-tête au format complètement libre, spécifié par l'expéditeur dans le but, bien sûr de décrire l'objet du message.
To: Le "message To:" décrit précédemment. Remarquez que l'en-tête To: n'est pas obligé de contenir l'adresse du destinataire!
X- est le terme générique des en-têtes commençant avec un X majuscule et un trait d'union. Par convention, les en-têtes X- ne sont pas standards et s'affichent à titre indicatif seulement. Inversement tout en-tête non standard fourni à titre indicatif devrait se voir doté d'un nom commençant par "X-". Cette convention est très peu respectée.
X-Confirm-Reading-To: Cet en-tête demande une confirmation de réception ou de lecture. Il est souvent ignoré, probablement perturbé par certains logiciels.
X-Distribution: En réponse aux spammeurs utilisant son logiciel, l'auteur de Pegasus Mail a ajouté cet en-tête. Tout message envoyé avec Pegasus vers un nombre suffisamment important de destinataires, contient un en-tête supplémentaire disant "X-Distribution: bulk". C'est assez explicite pour inciter les destinataires à filtrer ce type de courrier.
X-Errors-To: Like Errors-To:, Cet en-tête spécifie une adresse vers laquelle les erreurs doivent être envoyées. Il est probablement moins souvent respecté.
X-Mailer: (ou X-mailer:). Un en-tête de format libre ayant pour objectif que le logiciel de mail utilisé par l'expéditeur s'identifie de lui-même (comme publicité ou autre). Comme de nombreux spams sont envoyés par des logiciels créés dans ce but, ce champ peut se révéler être pour les filtres un utile fournisseur de matière première.
X-PMFLAGS: C'est un en-tête ajouté par Pegasus Mail; sa syntaxe n'est pas évidente. Il apparaît dans tous les messages envoyés avec Pegasus, et ne délivre au destinataire aucune information qui ne soit pas déjà fournie par l'en-tête X-Mailer: .
X-Priority: Un autre champ de priorité, utilisé notamment par Eudora pour attribuer une priorité (qui apparaît sous forme de notation graphique dans le message).
X-Sender: En tête courant, comparable à l'en-tête Sender: des groupes de discussions Usenet, cet en-tête prétend identifier l'expéditeur avec une plus grande fiabilité que l'en-tête From:. En fait, il est presque aussi facile à falsifier, et devrait être considéré avec la même circonspection.
X-UIDL: C'est un identifiant unique utilisé par le protocole POP pour retrouver le courrier sur un serveur. Il est habituellement ajouté entre le serveur de mails du destinataire et son logiciel de mail; si du courrier arrive sur le serveur de mail avec un en-tête X-UIDL, c'est probablement un spam (l'utilisation d'un tel en-tête est sans intérêt, mais pour des raisons inconnues, de nombreux spammeurs en ajoutent un).