Blue Team Field NotesDFIR · SOC · Vulnerability Management
Analyse EML et phishing

EML et en-têtes

Analyse d’en-têtes, SPF/DKIM/DMARC, URL, pièces jointes et réponse à une campagne de phishing.

Préserver le message

Demande l'e-mail en format .eml ou .msg avec en-têtes complets. Évite le simple transfert, qui peut modifier ou supprimer des informations.

sha256sum suspicious.eml
file suspicious.eml

Champs importants

Champ Analyse
From auteur affiché, spoofing possible
Reply-To destination des réponses
Return-Path adresse d'enveloppe
Received chemin des serveurs, lire de bas en haut avec prudence
Message-ID domaine et format
Date fuseau et cohérence
Authentication-Results SPF, DKIM, DMARC
Content-Type structure MIME et pièces jointes

Parser en Python

from email import policy
from email.parser import BytesParser

with open('suspicious.eml', 'rb') as f:
    msg = BytesParser(policy=policy.default).parse(f)

for key in ['From','Reply-To','Return-Path','Subject','Date','Message-ID']:
    print(key, ':', msg.get(key))

for part in msg.walk():
    print(part.get_content_type(), part.get_filename())

Received

Les lignes ajoutées par l'infrastructure de confiance sont plus fiables que les headers fournis par l'expéditeur. Identifie la frontière de confiance de ton organisation.

Références officielles