Outils
Outils en Ligne pour Analyser les En-têtes d'E-mail :
Extraire des URLS
Extracteur d'URL : Lien vers l'outil
Permet d'extraire les URL à partir de l'en-tête brut de l'e-mail.
CyberChef : Lien vers l'outil
Peut être utilisé pour extraire des URL avec la recette "Extract URLs".
Commandes Terminal
Les commandes telles que dig, nslookup, traceroute et telnet peuvent être utilisées pour effectuer des vérifications manuelles sur les en-têtes des e-mails.
Réputation des Adresses E-mail :
EmailRep.io : Évalue la réputation des adresses e-mail en analysant la fréquence des envois, les signalements de spam, les antécédents de phishing, etc.
BriteVerify : Propose des services de vérification d'e-mails en temps réel pour détecter les adresses e-mail invalides, les fraudes et les risques de spam.
Hunter : Offre un service de vérification d'e-mails pour valider les adresses e-mail et fournir des informations sur le domaine associé.
ZeroBounce : Fournit des services de validation d'e-mails pour éliminer les adresses e-mail invalides et améliorer la délivrabilité des e-mails.
Kickbox : Propose une solution de vérification d'e-mails en temps réel pour détecter les risques de spam, les abus et les adresses jetables.
NeverBounce : Offre des services de validation d'e-mails pour nettoyer les listes d'adresses e-mail et réduire les taux de rebond.
Proofy : Propose une solution de validation d'e-mails pour détecter et supprimer les adresses e-mail invalides, les abus et les risques de spam.
Phishtank est une plateforme collaborative qui recueille et partage des informations sur les sites de phishing.
MXTollBox : MXToolbox est un ensemble d'outils en ligne gratuits et payants qui permettent de diagnostiquer et de résoudre les problèmes liés à la messagerie électronique et aux serveurs DNS
Évaluation des Adresses E-mail
OpenPhish : Projet open source qui collecte et partage des données sur les sites web de phishing pour aider à détecter et à bloquer les attaques de phishing.
SpamTitan : Solution open source de filtrage des e-mails qui détecte et bloque les e-mails indésirables, y compris les tentatives de phishing et les logiciels malveillants.
Pyzor : Système de détection de pourriels open source utilisant des empreintes cryptographiques pour identifier les e-mails de spam.
Rspamd : Plateforme open source de filtrage de courrier utilisant diverses techniques pour détecter et bloquer les e-mails indésirables.
Apache SpamAssassin : Version open source de SpamAssassin pour filtrer les e-mails indésirables et détecter les tentatives de spam, de phishing et de fraude.
Outils et Ressources Supplémentaires :
MailTester : Permet de vérifier la validité d'une adresse e-mail en envoyant un e-mail de test.
SpamCop : Service gratuit pour signaler les e-mails de spam et contribuer à bloquer les adresses IP et les domaines associés.
SpamHaus : Spamhaus est une organisation internationale de lutte contre le spam qui fournit des listes noires d'adresses IP et de domaines associés à des activités de spam, de phishing et de cybercriminalité.
Info sur SPF, DMARC et DKIM
SPF (Sender Policy Framework) 📩
"all" : Cette option spécifie la politique par défaut pour les adresses IP qui ne sont pas explicitement répertoriées dans l'enregistrement SPF. Par exemple, "all" peut être défini sur "–all" pour indiquer que toutes les autres adresses IP sont considérées comme des échecs (fail) lors de la vérification SPF.
"ip4" et "ip6" : Ces options permettent de spécifier des adresses IPv4 et IPv6 autorisées à envoyer des e-mails au nom du domaine. Par exemple, "ip4:192.0.2.0/24" autorise les adresses IPv4 du réseau 192.0.2.0/24.
"include" : Cette option permet d'inclure d'autres enregistrements SPF autorisés. Par exemple, "include:example.com" inclut les règles SPF de l'enregistrement SPF pour example.com.
"redirect" : Cette option permet de rediriger la politique SPF vers un autre domaine. Par exemple, "redirect=example.com" redirige la politique SPF vers l'enregistrement SPF pour example.com.
"a" et "mx" : Ces options autorisent les adresses IP associées aux enregistrements "A" (adresse IPv4) et "MX" (serveurs de messagerie) du domaine à envoyer des e-mails.
DKIM (DomainKeys Identified Mail) 🔏
"selector" : Il s'agit du sélecteur DKIM, qui est un sous-domaine spécifié dans l'en-tête DKIM de l'e-mail et utilisé pour récupérer la clé publique DKIM à partir du DNS.
"key" : C'est le chemin vers la clé publique DKIM dans le DNS. Il est généralement sous la forme de "selector._domainkey.example.com".
"policy" : Cette option spécifie la politique de signature DKIM pour les messages sortants. Elle peut être définie sur "relaxed" pour permettre des modifications mineures dans le corps du message ou "strict" pour exiger que le message soit exactement identique.
DMARC (Domain-based Message Authentication, Reporting, and Conformance) 🛡️
"p" : C'est la politique de traitement des e-mails non authentifiés. Elle peut être définie sur "none" pour ne rien faire, "quarantine" pour mettre en quarantaine les e-mails non authentifiés, ou "reject" pour les rejeter.
"sp" : C'est la politique de traitement des e-mails non authentifiés pour les sous-domaines. Elle fonctionne de la même manière que la politique principale mais peut être spécifiée séparément pour les sous-domaines.
"pct" : C'est le pourcentage d'e-mails non authentifiés à traiter conformément à la politique DMARC. Par exemple, "pct=50" indique que 50 % des e-mails non authentifiés doivent être traités conformément à la politique DMARC.
"rua" et "ruf" : Ce sont les adresses e-mail où les rapports d'agrégation et les rapports d'échec doivent être envoyés. Les rapports d'agrégation fournissent des statistiques sur l'utilisation du domaine, tandis que les rapports d'échec fournissent des informations sur les échecs DMARC.
Sandbox
Voici quelques-uns de ces services de sandbox de logiciels malveillants :
Any.Run : Lien vers le service
Selon le site, "Analysez une activité réseau, de fichiers, de modules et de registres. Interagissez directement avec le système d'exploitation depuis un navigateur. Voyez immédiatement les retours de vos actions".
Hybrid Analysis : Lien vers le service
C'est un service d'analyse de logiciels malveillants gratuit pour la communauté qui détecte et analyse les menaces inconnues à l'aide d'une technologie d'analyse hybride unique.
Joe Sandbox : Lien vers le service
Selon le site, "Joe Sandbox offre aux analystes un large éventail de fonctionnalités produit. Parmi elles : Interaction en direct, Analyse des URLs & Détection de Phishing basée sur l'IA, Support des règles Yara et Sigma, Matrice MITRE ATT&CK, Détection de logiciels malveillants basée sur l'IA, Surveillance des e-mails, Chasse aux menaces & Intelligence, Comportement utilisateur automatisé, Instrumentation dynamique VBA/JS/JAR, Graphiques d'exécution, Anonymisation d'Internet localisé et bien d'autres".
SquareX
C'est une extension de navigateur gratuite qui protège les utilisateurs contre les activités malveillantes en ligne. Elle est capable de détecter et de bloquer les menaces telles que les sites web malveillants, les fichiers dangereux et les réseaux compromis. De plus, SquareX utilise une technologie d'isolation pour permettre aux utilisateurs d'explorer en toute sécurité des ressources en ligne potentiellement dangereuses, tout en préservant la sécurité de leur appareil.
Conseils pour l'Analyse :
Croisement des Données : Utilisez plusieurs sources et outils pour obtenir une vue d'ensemble des informations associées à une adresse IP donnée.
Vérification des Alertes : Soyez attentif aux alertes et aux indicateurs de risque associés à une adresse IP, tels que les signalements d'abus ou les comportements suspects.
Analyse Contextuelle : Tenez compte du contexte dans lequel une adresse IP est utilisée, notamment le type de communication, le contenu associé et le comportement en ligne global.
Last updated