Par défaut

Publié par

Publié le

30 octobre 2025

Publié sous

dkim, dmarc, messagerie, spf

commentaires

Poster un commentaire

Comprendre SPF, DKIM, DMARC (dans le détail) – Partie 2

un utilisateur frustré que son email ne sont pas délivré

Comprendre SPF, DKIM, DMARC (dans le détail) – Partie 2

Dans la Partie 1, nous avons commencé à parler des flux de messagerie. Ici, nous allons nous attarder sur les en-têtes que composent un message.

En-têtes de messages

Comme nous avons pu commencer à le voir précédemment, l’email contient de nombreux en-têtes qui seront utilisés ensuite pour déterminer l’expéditeur et évaluer la légitimité du message :

  • From ;
  • MAIL FROM / Return-Path ;

MAIL FROM / Return-Path

C’est en-tête un peu spécial car il n’est pas généré par le client de messagerie, ni le serveur de messagerie de l’expéditeur, mais par le serveur du destinataire en réponse à la commande “MAIL FROM”.
Il correspond à l’adresse email à laquelle devront être envoyés les NDR (Non-Delivery Reports – Rapport envoyé à l’expéditeur en cas d’échec de remise du message).

Lors de la transaction SMTP, le serveur expéditeur s’identifie avec la commande “MAIL FROM” suivie de l’adresse de l’utilisateur pour la transmission du NDR, le “Reverse Path”:

EHLO PA5P264CU001.outbound.protection.outlook.com
MAIL FROM:<me@sylvaincoudeville.fr>
DATA
From: Sylvain COUDEVILLE <me@sylvaincoudeville.fr>
To: sylvaincoudeville@hotmail.com
Subject : essai 1101
Blah
.

A la réception de cette commande, le serveur de messagerie de destination ajoute l’en-tête “Return-Path”:

Return-Path: me@sylvaincoudeville.fr

En général, l’adresse de retour est la même que l’adresse de l’expéditeur, mais le serveur de l’expéditeur peut être configuré différemment et envoyer par exemple tous les rapports à l’adresse d’un administrateur pour un traitement centralisé.

From

Cet en-tête correspond à l’adresse email de l’expéditeur.
C’est l’adresse qui sera vue par l’utilisateur.

Cet en-tête est un peu spécial car il peut aussi contenir un DisplayName (nom affiché), qui se substitue dans le client de messagerie de l’utilisateur :

From: "Sylvain COUDEVILLE" <me@sylvaincoudeville.fr>
identité usurpée en manipulant le champ From

C’est de cette manière que certains pirates usurpent l’identité d’un dirigeant, en trompant l’utilisateur.
Un exemple ci-dessous, où l’attaquant fait croire qu’il écrit de la part du président :

From: "Emmanuel MACRON <macron@elysee.fr>" <nobody@gmail.com>
adresse mail usurpée en manipulant le displayname du champ From

Le principe est détourner le DisplayName pour lui faire afficher quelque chose qui n’est pas vrai, puisque l’adresse réelle de l’expéditeur est “nobody@gmail.com” :

afficher la vraie adresse email pour se prémunir de l'usurpation d'identité

Reply-To

Cet en-tête correspond à l’adresse email à laquelle doivent être envoyées les réponses (à ne pas confondre avec Return-Path qui ne concerne que les NDR).

Ce champ est généralement utilisé par des systèmes automatisés ou des listes de diffusion, pour diriger les réponses vers une autre boîte ou un autre système.

Références : https://datatracker.ietf.org/doc/html/rfc7208

Dans la Partie 3, nous parlerons de SPF : un mécanisme permettant de s’assurer que le serveur ayant émit le message était bien autoriser à le faire…

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.