Blue Team Field NotesDFIR · SOC · Vulnerability Management
Analyse EML et phishing

SPF, DKIM et DMARC

Analyse d’en-têtes, SPF/DKIM/DMARC, URL, pièces jointes et réponse à une campagne de phishing.

SPF

SPF vérifie si l'IP d'enveloppe est autorisée pour le domaine du Return-Path. Il ne protège pas directement le From visible.

DKIM

DKIM signe des headers et le corps. Vérifie :

DMARC

DMARC exige l'alignement SPF ou DKIM avec le domaine du From et publie une politique none, quarantine ou reject.

Exemple

Authentication-Results: mx.example;
 spf=pass smtp.mailfrom=mailer.example.org;
 dkim=pass header.d=example.org;
 dmarc=pass header.from=example.org

Interprétation

Résultat Conclusion
pass authentification réussie, contenu pas forcément légitime
fail spoofing, mauvaise configuration ou modification
none mécanisme absent ou non applicable
softfail politique SPF faible, contexte requis

Pièges

À retenir

SPF/DKIM/DMARC authentifient un domaine et l'intégrité selon certaines conditions. Ils ne prouvent pas l'intention légitime de l'expéditeur.

Références officielles