**Outlook sur Windows** : ouvrez le message dans une fenêtre séparée → onglet Fichier → Propriétés → le champ **"En-têtes Internet"** en bas. **Outlook 365 / web** : ouvrez le message → menu trois-points en haut à droite → "Afficher" → "Afficher les détails du message". **Nouveau Outlook** : malheureusement Microsoft cache l'option à des endroits différents - le plus simple c'est clic droit sur le message dans la boîte → "Afficher la source".

**Ouvrez le message → menu Présentation → Message → Tous les en-têtes** (raccourci `Maj+Cmd+H`). Les en-têtes apparaissent au-dessus du corps dans la fenêtre du message. Sélectionnez tout depuis `Delivered-To:` jusqu'à la fin et copiez. Alternative : **Présentation → Message → Source brute** (`Cmd+Option+U`) montre l'EML brut complet.

Que montre exactement la chaîne Received ?

**Chaque serveur mail qui touche le message préfixe un en-tête `Received:`**. L'ordre dans le fichier est donc **inverse** de l'ordre chronologique - le hop le plus récent est en haut. On le retourne dans l'UI pour qu'il se lise naturellement : #1 = le premier serveur (généralement l'expéditeur), le dernier hop = votre boîte. Chaque hop montre : **qui s'est connecté** (from), **qui a accepté** (by), **quel protocole** (with, par exemple ESMTPS / SMTP), **quand** (timestamp à la fin) et **combien de temps depuis le hop précédent** (delta).

Que veulent dire SPF / DKIM / DMARC dans Authentication-Results ?

**Authentication-Results** est ajouté par le **dernier serveur de confiance dans la chaîne** (généralement votre prestataire mail). Il enregistre trois vérifications : **SPF pass** = le serveur émetteur est dans la liste d'autorisation du domaine From, **DKIM pass** = la signature cryptographique du message se vérifie, **DMARC pass** = les résultats SPF et DKIM s'alignent avec la politique du domaine. Un rouge seul signifie rarement phishing en soi ; **deux ou trois échecs ensemble est un signal très fort de spoofing**.

Comment repérer un email forgé depuis les en-têtes seuls ?

**Cinq classiques** : (1) **From diffère de Return-Path** ou Reply-To - le message prétend venir de la banque mais les réponses vont ailleurs. (2) **SPF / DKIM / DMARC = fail** dans Authentication-Results. (3) **Message-ID manquant** ou un format inhabituel pour l'expéditeur prétendu. (4) **Premier hop depuis un serveur sans rapport** avec le domaine From (un email "Crédit Agricole" envoyé depuis un VPS Hetzner). (5) **Date bien plus ancienne que le premier timestamp dans Received** - l'attaquant a manuellement antidaté.

Que me dit le delta de hop ?

**Combien de temps le message est resté à chaque relais**. Chaque hop prend normalement des millisecondes à des secondes. **Des deltas de minutes à heures** signifient que le message a été **mis en file** quelque part - généralement greylisting (délai délibéré au premier essai depuis un expéditeur inconnu) ou pic de charge. **Des deltas très longs sur des hops près de la fin** sont typiquement du scan antivirus / antispam.

Comment marche votre score spam ?

**Somme d'heuristiques simples** : SPF fail = +3, DKIM fail = +2, DMARC fail = +2, plus de 7 hops = +1, mismatch DNS inverse (l'host entre parenthèses ne matche pas le from-host) = +1, Message-ID manquant = +1, Date manquante = +1. Plafonné à 10. **Ce n'est PAS un moteur anti-spam complet** (comme SpamAssassin), juste un signal rapide depuis les en-têtes seuls. **3-5 = mérite un regard plus attentif**, **6-10 = probablement spam ou phishing**.

Pourquoi certains hops ont des IPs bizarres ou pas de hostname ?

Deux raisons courantes : (1) **hops internes** à l'intérieur de l'infra du prestataire - un message passe par 3-4 serveurs internes Gmail qui n'ont pas de noms DNS publics. (2) **Le DNS inverse manque ou ne matche pas** - l'admin n'a jamais mis en place d'enregistrement PTR. À lui seul ça ne signifie pas phishing, mais **combiné à SPF fail** c'est un signal fort. **Cliquez sur l'IP pour ouvrir whois-lookup** et voir à qui appartient le bloc d'adresses.

Cet analyseur stocke-t-il quoi que ce soit de votre côté ?

**Non. Toute l'analyse tourne dans votre navigateur**. On n'envoie pas les en-têtes nulle part, il n'y a aucun appel API serveur pendant le parsing. Vous pouvez vérifier dans les DevTools (onglet Network - rien ne se passe quand vous collez). **Vous pouvez coller en toute sécurité même des messages confidentiels** - tout reste sur votre appareil.

Analyseur headers email - gratuit

Ce que fait un analyseur d'en-têtes mail

Un analyseur d'en-têtes mail prend le texte brut des en-têtes d'un email (tout ce qui est au-dessus de la ligne blanche qui sépare les en-têtes du corps) et vous montre quels serveurs ont géré le message, qui l'a signé, et si les vérifications d'authentification passent. Tout tourne dans votre navigateur - aucune donnée ne quitte votre appareil.

En un écran vous obtenez quatre choses : le bloc identité basique (From, To, Subject, Message-ID, Date), les verdicts SPF / DKIM / DMARC depuis l'en-tête Authentication-Results, une timeline chronologique des hops Received (du plus ancien d'abord, avec le délai entre hops), et un score spam heuristique 0-10 avec des raisons concrètes.

Pour chaque IP qui apparaît dans la chaîne Received vous obtenez un lien cliquable vers l'outil whois-lookup - un clic et vous pouvez voir qui possède le serveur de relais.

Mode d'emploi

Copiez les en-têtes bruts depuis votre client mail. Gmail : ouvrez le message → menu trois-points → "Afficher l'original" → copiez tout le texte. Outlook : ouvrez le message → Fichier → Propriétés → champ "En-têtes Internet". Apple Mail : ouvrez le message → Présentation → Message → Tous les en-têtes.
Collez dans la textarea au-dessus. Vous pouvez coller juste les en-têtes ou le message entier - l'outil découpe le corps à la première ligne blanche.
Vérifiez le score spam en haut. Vert 0-2 = a l'air sain, jaune 3-5 = signaux d'alerte, rouge 6-10 = très probablement phishing ou spam.
Dans la section Authentication-Results vérifiez que SPF / DKIM / DMARC affichent tous pass. Un verdict rouge signifie souvent que le message n'est pas vraiment venu de l'expéditeur prétendu.
Scrollez vers la chaîne Received. Le hop du haut (#1) est le serveur le plus ancien - le premier qui a accepté le message. Le hop du bas est le serveur qui l'a remis à votre boîte.
Cliquez n'importe quelle IP dans la chaîne pour ouvrir whois-lookup dans un nouvel onglet et voir à qui appartient cette adresse.
Si vous voyez un premier hop bizarre (une "notification bancaire" dont le premier hop est une boîte d'hébergement dans un pays aléatoire), vous avez une preuve forte d'usurpation d'expéditeur.

Quand cet outil est utile

Cinq situations du quotidien où une analyse d'en-têtes tranche la question :

Cet email est-il du phishing ?. Vous avez reçu un message "banque" avec un lien pour "vérifier votre compte". Comparez From vs Return-Path vs le premier hop dans la chaîne Received. Si le premier serveur n'a rien à voir avec la banque, c'est du phishing typique.
Mon email critique n'est jamais arrivé, le destinataire dit qu'il a envoyé la réponse. Demandez-lui les en-têtes complets du message qu'il pense avoir reçu. Vous pouvez tracer le chemin exact, voir où ça a calé, et combien de temps chaque hop a pris.
Plainte client : "Votre email a atterri en spam". Regardez les en-têtes de la copie qu'il a transférée. La plupart du temps vous trouverez SPF fail ou DKIM fail dans Authentication-Results - c'est une cause concrète, pas une supposition.
Audit post-incident. Un attaquant a envoyé des emails depuis votre domaine d'entreprise. Depuis les en-têtes des messages suspects vous pouvez dire s'ils sont passés par votre vrai serveur mail (compte compromis) ou par un serveur étranger avec un From forgé (spoofing, votre domaine n'a pas de DMARC).
Email étrange d'un collègue. Le DAF envoie un mail à l'équipe finance demandant un virement urgent. Vérifiez Reply-To et Return-Path - dans les attaques BEC (Business Email Compromise) ils diffèrent du champ From, votre réponse atterrit donc chez l'attaquant.

Outils liés : vérificateur DNS email (audit du SPF/DKIM/DMARC de votre domaine), whois-lookup (propriétaire d'une IP dans la chaîne Received), consultation DNS.

Questions fréquentes

Ouvrez le message → menu trois-points à côté de "Répondre" → "Afficher l'original". Un nouvel onglet s'ouvre avec deux sections : un bloc méta en haut (SPF/DKIM/DMARC sous forme de résumé) et le message brut complet avec en-têtes dessous. Copiez tout du début jusqu'à la première ligne blanche (à peu près jusqu'à `Content-Type:`). Raccourci : cliquez sur "Télécharger l'original" et collez le contenu du fichier - l'outil découpe le corps de toute façon.

Ce que fait un analyseur d'en-têtes mail

Pour chaque IP qui apparaît dans la chaîne Received vous obtenez un lien cliquable vers l'outil whois-lookup - un clic et vous pouvez voir qui possède le serveur de relais.

Mode d'emploi

Copiez les en-têtes bruts depuis votre client mail. Gmail : ouvrez le message → menu trois-points → "Afficher l'original" → copiez tout le texte. Outlook : ouvrez le message → Fichier → Propriétés → champ "En-têtes Internet". Apple Mail : ouvrez le message → Présentation → Message → Tous les en-têtes.

Collez dans la textarea au-dessus. Vous pouvez coller juste les en-têtes ou le message entier - l'outil découpe le corps à la première ligne blanche.

Vérifiez le score spam en haut. Vert 0-2 = a l'air sain, jaune 3-5 = signaux d'alerte, rouge 6-10 = très probablement phishing ou spam.

Dans la section Authentication-Results vérifiez que SPF / DKIM / DMARC affichent tous pass. Un verdict rouge signifie souvent que le message n'est pas vraiment venu de l'expéditeur prétendu.

Scrollez vers la chaîne Received. Le hop du haut (#1) est le serveur le plus ancien - le premier qui a accepté le message. Le hop du bas est le serveur qui l'a remis à votre boîte.

Cliquez n'importe quelle IP dans la chaîne pour ouvrir whois-lookup dans un nouvel onglet et voir à qui appartient cette adresse.

Si vous voyez un premier hop bizarre (une "notification bancaire" dont le premier hop est une boîte d'hébergement dans un pays aléatoire), vous avez une preuve forte d'usurpation d'expéditeur.

Quand cet outil est utile

Cinq situations du quotidien où une analyse d'en-têtes tranche la question :

Cet email est-il du phishing ?. Vous avez reçu un message "banque" avec un lien pour "vérifier votre compte". Comparez From vs Return-Path vs le premier hop dans la chaîne Received. Si le premier serveur n'a rien à voir avec la banque, c'est du phishing typique.
Mon email critique n'est jamais arrivé, le destinataire dit qu'il a envoyé la réponse. Demandez-lui les en-têtes complets du message qu'il pense avoir reçu. Vous pouvez tracer le chemin exact, voir où ça a calé, et combien de temps chaque hop a pris.
Plainte client : "Votre email a atterri en spam". Regardez les en-têtes de la copie qu'il a transférée. La plupart du temps vous trouverez SPF fail ou DKIM fail dans Authentication-Results - c'est une cause concrète, pas une supposition.
Audit post-incident. Un attaquant a envoyé des emails depuis votre domaine d'entreprise. Depuis les en-têtes des messages suspects vous pouvez dire s'ils sont passés par votre vrai serveur mail (compte compromis) ou par un serveur étranger avec un From forgé (spoofing, votre domaine n'a pas de DMARC).
Email étrange d'un collègue. Le DAF envoie un mail à l'équipe finance demandant un virement urgent. Vérifiez Reply-To et Return-Path - dans les attaques BEC (Business Email Compromise) ils diffèrent du champ From, votre réponse atterrit donc chez l'attaquant.

Outils liés : vérificateur DNS email (audit du SPF/DKIM/DMARC de votre domaine), whois-lookup (propriétaire d'une IP dans la chaîne Received), consultation DNS.

Questions fréquentes

Analyseur headers email

Ce que fait un analyseur d'en-têtes mail

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Vérificateur DNS email

Lookup WHOIS

Lookup DNS

Lookup IP / ASN

Analyseur headers email

Ce que fait un analyseur d'en-têtes mail

Mode d'emploi

Quand cet outil est utile

Questions fréquentes

Outils similaires

Vérificateur DNS email

Lookup WHOIS

Lookup DNS

Lookup IP / ASN