Identifier l’hébergeur du spammeur

Mis à jour le 26 septembre 2018 Laissez un commentaire

1. Identifier la messagerie du spammeur

C’est l’opération la plus simple. Le nom du FAE (fournisseur d’adresse) figure généralement en toutes lettres dans l’adresse e-mail utilisée ! C’est le cas pour les spams, envoyés depuis un service de mail gratuit comme Yahoo, Gmail ou Outlook.com, ou de fournisseurs d’accès.

Si la messagerie est Outlook.com, Gmail ou Yahoo : il y a de fortes chances qu’au moment où vous recevez le spam, la boîte soit déjà saturée de plaintes et abandonnée par son propriétaire. Oubliez.
Si la messagerie est celle d’un fournisseur d’accès (comme Orange, Free ou SFR) : votre démarche aura des chances d’aboutir. La plupart des FAI interdisent en effet le spam dans leurs conditions d’utilisation et ferment les comptes des spammeurs.
Si l’adresse utilisée est liée au nom de domaine du site promu ou si elle relève d’un nom de domaine personnel, c’est à l’hébergeur du site que vous allez devoir vous intéresser (voir ci-dessous).

2. Identifier l’hébergeur du spammeur

Le site dont on fait la promotion ou le nom de domaine utilisé par le spammeur est enregistré auprès des instances d’Internet. Vous pouvez retrouver très facilement le responsable du site et son hébergeur en utilisant le Whois, un annuaire permettant d’avoir les détails relatifs à un nom de domaine.

Pour les noms de domaine internationaux (.com, .org, etc.), utilisez le Whois de l’Internic.
Pour les noms de domaine en .fr, consultez le WHois du NIC France
Si vous ne voulez utiliser qu’un site, ICANN Whois vous permet d’avoir accès aux principaux noms de domaines (dont .com et .fr).

3. Identifier le FAI du spammeur

L’opération est plus délicate, puisqu’il faut aller examiner les en-têtes complètes du spam (voyez comment afficher celles-ci sur la page les entêtes des courriers électroniques). La trace du FAI utilisé par le spammeur figure dans la dernière ligne Received des en-têtes.

Prenons un exemple :

Received : from 161.58.192.40 [161.58.192.40] by th23.opsion.fr id 200301212029.13e4 ; Tue, 21 Jan 2003 20:29:19 GMT
Received : from 172.16.0.45 (ppp4639-cwdsl.fr.cw.net [195.154.30.132]) by webaxess.com (8.12.6/8.11.6) with ESMTP id h0LKUYTx076637 for <arobase@ifrance.com> ; Tue, 21 Jan 2003 21:30:35 +0100 (CET)
From : Tous_email_opus_david <info@diskprivacy.com>
To : arobase@ifrance.com Subject : gardez vos secrets avec Diskprivacy rs18 Date : 21 Jan 2003 20:30:35 UT
Priority : normal
X-Priority : 3 (Normal)
Importance : normal
X-Mailer : DvISE by Tobit Software, Germany (0193.414A4B44484A4A484C53)
X-David-Sym : 0
X-David-Flags : 0
Message-ID :
MIME-Version : 1.0 Content-Type : multipart/alternative ; boundary= »—-_=_NextPart_000_0000120D.3E2DBBF9″

Si vous n’arrivez pas à lire ce message, merci de cliquer…

Ici, la dernière ligne Received des en-têtes 🙁Received : from 172.16.0.45 (ppp4639-cwdsl.fr.cw.net [195.154.30.132]) by webaxess.com (8.12.6/8.11.6) with ESMTP id h0LKUYTx07663) nous livre une adresse IP : 172.16.0.45.

A quoi correspond cette adresse ? Vous pouvez par exemple utiliser le DNSFinder de DNSstuff pour le savoir. Ici la recherche n’aboutit à rien.

Les infos suivantes (l’URL ppp4639-cwdsl.fr.cw.net et l’adresse IP 195.154.30.132) nous délivrent plus d’information. Le domaine cw.net, nous apprend ICANN Whois, appartient à Cable & Wireless. L’adresse 195.154.30.132 est également chez ce même FAI selon le DNSFinder. Le FAI est donc Cable & Wireless.