Analyse EML et phishing
SPF, DKIM et DMARC
Analyse d’en-têtes, SPF/DKIM/DMARC, URL, pièces jointes et réponse à une campagne de phishing.
SPF
SPF vérifie si l'IP d'enveloppe est autorisée pour le domaine du Return-Path. Il ne protège pas directement le From visible.
DKIM
DKIM signe des headers et le corps. Vérifie :
d=domaine signataire ;s=sélecteur ;- résultat pass/fail ;
- alignement avec le domaine From pour DMARC.
DMARC
DMARC exige l'alignement SPF ou DKIM avec le domaine du From et publie une politique none, quarantine ou reject.
Exemple
Authentication-Results: mx.example;
spf=pass smtp.mailfrom=mailer.example.org;
dkim=pass header.d=example.org;
dmarc=pass header.from=example.org
Interprétation
| Résultat | Conclusion |
|---|---|
| pass | authentification réussie, contenu pas forcément légitime |
| fail | spoofing, mauvaise configuration ou modification |
| none | mécanisme absent ou non applicable |
| softfail | politique SPF faible, contexte requis |
Pièges
- services d'envoi tiers ;
- forwarding cassant SPF ;
- mailing lists modifiant le contenu ;
- domaine similaire légitime techniquement mais frauduleux ;
- compte réel compromis avec DMARC pass.
À retenir
SPF/DKIM/DMARC authentifient un domaine et l'intégrité selon certaines conditions. Ils ne prouvent pas l'intention légitime de l'expéditeur.