Outil gratuit

Tracez l'origine d'un email suspect

Collez les en-têtes bruts d'un email pour identifier l'expéditeur réel, les résultats d'authentification et le chemin emprunté. Analyse 100 % côté client - rien ne quitte votre navigateur.

Chargement...

Comment ça marche

Comment lire les en-têtes d'un email ?

Les en-têtes email sont des métadonnées ajoutées par chaque serveur traversé. Ils révèlent le véritable expéditeur, les vérifications d'authentification et le chemin emprunté par le message.

Ouvrez l'email suspect dans votre client de messagerie et recherchez l'option « Afficher la source » ou « Afficher les en-têtes » (Gmail : menu ⋮ → Afficher l'original).

Copiez l'intégralité des en-têtes et collez-les dans le champ ci-dessus. Notre analyseur identifie automatiquement chaque serveur traversé (hop).

Examinez les résultats : l'IP d'origine, les résultats SPF/DKIM/DMARC, les délais suspects entre serveurs et tout signe de falsification.

Questions fréquentes

Que contiennent les en-têtes d'un email ?

Les en-têtes sont des métadonnées ajoutées par chaque serveur que l'email traverse. On y trouve l'adresse IP d'origine, les résultats d'authentification (SPF, DKIM, DMARC), les horodatages de chaque relais, l'identifiant du message et les éventuelles modifications en transit. Ces informations sont invisibles dans l'affichage normal d'un email.

Comment afficher les en-têtes dans Gmail ou Outlook ?

Dans Gmail : ouvrez l'email, cliquez sur le menu ⋮ en haut à droite, puis « Afficher l'original ». Dans Outlook desktop : ouvrez l'email, allez dans Fichier → Propriétés, les en-têtes sont dans le champ « En-têtes Internet ». Dans Outlook web : ouvrez l'email, cliquez sur ⋯ → « Afficher la source du message ».

Que signifient les résultats SPF, DKIM et DMARC dans les en-têtes ?

« pass » signifie que la vérification a réussi - le serveur expéditeur est autorisé et le message est authentique. « fail » signifie un échec - l'email pourrait être usurpé. « softfail » est un échec partiel (souvent toléré). « none » signifie qu'aucune politique n'est publiée pour ce domaine. Un email légitime devrait avoir SPF pass, DKIM pass et DMARC pass.

Est-ce que mes en-têtes sont envoyés à un serveur ?

Non. L'analyse est réalisée à 100 % dans votre navigateur grâce à du code JavaScript côté client. Aucune donnée ne quitte votre machine, rien n'est transmis à nos serveurs ni à un service tiers. Vous pouvez vérifier en inspectant les requêtes réseau dans les outils développeur de votre navigateur.

Comment repérer un email frauduleux avec les en-têtes ?

Cherchez ces signaux : échec SPF ou DKIM (authentication-results: fail), adresse « From » qui ne correspond pas au domaine dans « Return-Path », serveurs relais dans des pays inhabituels, délais anormalement longs entre deux sauts (peut indiquer une interception), et un « Reply-To » différent du « From ». Si plusieurs de ces signaux sont présents, l'email est probablement frauduleux.

Formez vos équipes à analyser les emails suspects

Savoir lire les en-têtes, c'est bien. Former toute votre équipe à repérer les signaux de phishing avant de cliquer, c'est mieux.

Démarrer gratuitement