Analyse EML et phishing
EML et en-têtes
Analyse d’en-têtes, SPF/DKIM/DMARC, URL, pièces jointes et réponse à une campagne de phishing.
Préserver le message
Demande l'e-mail en format .eml ou .msg avec en-têtes complets. Évite le simple transfert, qui peut modifier ou supprimer des informations.
sha256sum suspicious.eml
file suspicious.eml
Champs importants
| Champ | Analyse |
|---|---|
| From | auteur affiché, spoofing possible |
| Reply-To | destination des réponses |
| Return-Path | adresse d'enveloppe |
| Received | chemin des serveurs, lire de bas en haut avec prudence |
| Message-ID | domaine et format |
| Date | fuseau et cohérence |
| Authentication-Results | SPF, DKIM, DMARC |
| Content-Type | structure MIME et pièces jointes |
Parser en Python
from email import policy
from email.parser import BytesParser
with open('suspicious.eml', 'rb') as f:
msg = BytesParser(policy=policy.default).parse(f)
for key in ['From','Reply-To','Return-Path','Subject','Date','Message-ID']:
print(key, ':', msg.get(key))
for part in msg.walk():
print(part.get_content_type(), part.get_filename())
Received
Les lignes ajoutées par l'infrastructure de confiance sont plus fiables que les headers fournis par l'expéditeur. Identifie la frontière de confiance de ton organisation.