Les en-têtes d'e-mail : l'ADN de chaque message
Chaque e-mail contient deux parties : le corps visible (le texte que vous lisez) et les en-têtes cachés (les métadonnées techniques). Les en-têtes d'e-mail sont comme le cachet postal d'une lettre traditionnelle, mais bien plus détaillés : ils enregistrent chaque serveur par lequel le message est passé, les horodatages de chaque étape, les résultats des vérifications d'authentification, le logiciel du serveur, et des dizaines d'autres informations techniques. Savoir lire les en-têtes est une compétence fondamentale pour diagnostiquer les problèmes d'e-mail et identifier les messages frauduleux.
Notre Analyseur d'en-têtes d'e-mail simplifie cette analyse : il suffit de coller les en-têtes bruts et l'outil les analyse automatiquement, affichant le parcours du message dans l'ordre chronologique, les retards entre chaque saut, les résultats de l'authentification et les éventuelles anomalies. Mais pour tirer le meilleur parti de l'outil, il est utile de comprendre ce que signifient les principaux en-têtes.
Les champs d'en-tête fondamentaux
Les champs Received sont les plus informatifs : chaque serveur qui traite l'e-mail ajoute le sien, dans l'ordre inverse (le plus récent en haut). En lisant de bas en haut, on reconstitue le parcours chronologique du message. Chaque champ Received contient l'IP du serveur, son nom d'hôte et un horodatage. En comparant les horodatages entre des entrées Received consécutives, on identifie les retards : un écart de 30 secondes entre deux sauts est normal, 30 minutes pourrait indiquer un problème.
Identifier les e-mails de phishing à partir des en-têtes
Les en-têtes sont l'outil le plus fiable pour démasquer les e-mails de phishing. Les principaux signaux d'alerte : le champ From et le Return-Path ont des domaines différents (l'expéditeur visible ne correspond pas à l'expéditeur technique), l'Authentication-Results affiche spf=fail ou dkim=fail, les IP dans les champs Received proviennent de pays inattendus, le Message-ID a un domaine différent de l'expéditeur, et les en-têtes X-Mailer ou User-Agent révèlent un logiciel inhabituel.
Pour une vérification complète, comparez le domaine du From avec les résultats d'authentification. Utilisez SPF Lookup pour vérifier si l'IP du serveur expéditeur est autorisée par l'enregistrement SPF du domaine déclaré. Si le champ Authentication-Results affiche dmarc=fail, le domaine dispose d'une politique DMARC active et l'e-mail ne l'a pas passée — un indicateur fort d'usurpation. Le DMARC Lookup vous montre quelle politique est configurée.
Diagnostiquer les retards de livraison
Lorsque les e-mails arrivent en retard, les en-têtes révèlent exactement où le ralentissement s'est produit. Notre Analyseur d'en-têtes d'e-mail calcule automatiquement le temps écoulé entre chaque saut et met en évidence les retards anormaux. Les causes les plus courantes de retard sont : le greylisting actif sur le serveur destinataire (retard intentionnel de 5 à 15 minutes pour filtrer le spam), des files d'attente de messages pleines sur le serveur, des problèmes DNS qui ralentissent la résolution, et des filtres antispam qui prennent trop de temps pour analyser le contenu.
Si les retards se situent du côté du serveur expéditeur, il peut y avoir un problème de performance ou de configuration. Utilisez SMTP Diagnostics pour mesurer les temps de réponse du serveur et vérifier que la connexion est stable. Si les retards surviennent au premier saut (du client au premier serveur), le problème se situe probablement dans la connexion réseau locale ou dans le client de messagerie.
Un cas particulier est le greylisting : le serveur destinataire rejette temporairement l'e-mail (code 4xx) et ne l'accepte qu'à la deuxième tentative, généralement après 5 à 15 minutes. Dans les en-têtes, cela se manifeste par un retard significatif entre le premier Received (envoi) et le deuxième (acceptation après nouvelle tentative). Le greylisting est efficace contre le spam mais provoque des retards perceptibles dans la livraison des messages légitimes.