Passer au contenu

Cas d’utilisation

Il y a beaucoup plus de choses dans les e-mails qu’il n’y paraît. Le sous-thème vous apprendra comment analyser les métadonnées détaillées qui documentent l’origine d’un e-mail, les serveurs qu’il a parcourus, les informations sur les contrôles de spam possibles et bien plus encore. Ces métadonnées peuvent constituer un élément crucial de toute enquête approfondie sur les e-mails potentiellement malveillants.

Utilisez cette compétence après ou en parallèle au sous-thème.

Triage dans ce parcours d’apprentissage. Certaines de ces compétences peuvent être nécessaires dans le cadre du processus de triage afin de décider si un message est suspect.

Étant donné que les en-têtes d’e-mails peuvent contenir des références à d’autres domaines et infrastructures, les participants doivent d’abord se familiariser avec le sous-thème 4, qui examine l’analyse du domaine et des informations IP, avant de s’attaquer à celui-ci.

Objectifs

Après avoir terminé ce sous-thème, les participants devraient être en mesure de faire ce qui suit :

  • Extraire les en-têtes complets d’un e-mail reçu ou qu’ils analysent ;
  • Analyser les en-têtes extraits, en accordant une attention particulière à :
    • L’identité du ou des serveurs qui ont envoyé l’e-mail ;
    • Toute information sur les données SPF ou DKIM que ces en-têtes contiennent ;
    • La possibilité que l’une des informations de l’en-tête ait été usurpée

Chaque e-mail a des en-têtes, qui contiennent des métadonnées cruciales concernant l’expéditeur, le destinataire et l’e-mail en lui-même. Dans cette section, nous examinerons les en-têtes d’e-mails, la façon dont vous pouvez les analyser et la façon dont les e-mails peuvent être usurpés. Cela nécessite des connaissances de base

Connaissances de base

Lisez les ressources et documents ci-dessous pour vous familiariser avec (ou récapituler vos connaissances sur) les en-têtes d’e-mails, SPF et DKIM.

  • Comprendre ce que sont les en-têtes d’e-mails et comment nous pouvons les consulter dans plusieurs systèmes
  • Comprendre les bases de l’usurpation d’adresse e-mail et utiliser SPF et DKIM pour la combattre
    • En savoir plus sur l’usurpation d’adresse e-mail/apprendre à identifier les e-mails usurpés
    • En savoir plus sur le cadre de la politique de l’expéditeur et sur la façon dont il vise à empêcher la falsification de l’adresse de l’expéditeur.
      • Utilisez dig/doggo pour rechercher un enregistrement SPF valide (vous pouvez le faire en exécutant la commande dig avec l’argument txt), analyser son contenu (vous pouvez consulter un guide ici) et répondre aux questions suivantes.
        • Quelle est la version SPF utilisée?
        • Quels domaines sont des expéditeurs autorisés pour le domaine?
        • Quel mécanisme (ou politique) a été utilisé pour tous les « autres » expéditeurs?
        • Y a-t-il d’autres mécanismes (ou politiques) définis dans l’enregistrement?
      • Utilisez https://mxtoolbox.com/spf.aspx pour effectuer une recherche et un test sur un domaine protégé SPF. Vous pouvez rechercher les enregistrements de votre propre organisation, par exemple, en vérifiant son domaine principal.
    • Découvrez DomainKeys Identified Mail (DKIM) et comment, en tant que norme d’authentification, elle est utilisée pour empêcher l’usurpation d’adresses e-mail.
  • (Avancé) Familiarisez-vous avec les diverses techniques et mécanismes que les filtres antispam utilisent pour repérer les courriers indésirables et les adresses e-mail falsifiées.

Section Principale

Analyse des en-têtes

L’équipe GenCyber du Nebraska a créé un cours rapide et relativement complet sur les en-têtes d’e-mails : nous le recommandons à tous ceux qui veulent en savoir plus sur le sujet.

En analysant les en-têtes, vous en apprendrez beaucoup sur les différents domaines impliqués dans la configuration de l’e-mail. Une fois que vous avez une liste de ces domaines, vous pouvez utiliser les mêmes outils que nous avons utilisés dans la section précédente (dig, whois, geoIP et autres) pour en savoir plus à leur sujet.

Les administrateurs de systèmes qui utilisent des domaines de travail tels que Google Workspace et Microsoft 365 ont souvent accès à de puissants outils de journalisation et de recherche de journaux : ils peuvent les utiliser pour rechercher dans leurs systèmes des identifiants trouvés dans les en-têtes d’e-mails (tels que des domaines suspects), ce qui peut les aider à déterminer qui, le cas échéant, a été ciblé au sein de leur organisation. Consultez la documentation de Google et de Microsoft sur la recherche dans les journaux. Notez que ces fonctionnalités de recherche sont généralement limitées aux comptes professionnels ou d’entreprise.

Pratique

Après avoir lu tous les documents du cours d’analyse des en-têtes d’e-mails de l’équipe GenCyber du Nebraska, faites les exercices qui y sont liés. Le site a un problème de lien, les exercices étant souvent indisponibles directement, mais ils peuvent également être téléchargés ici.

Contrôle de compétence

Cherchez un e-mail dans votre boîte de réception ou dossier spam. Vous pouvez également demander à un pair ou à un mentor de vous envoyer les en-têtes d’e-mails qu’il a récemment reçus. Analysez les en-têtes de l’e-mail en utilisant les mêmes techniques que celles décrites dans l’exercice pratique, y compris en les chargeant dans l’outil d’en-tête d’e-mail Google Admin Toolbox. Ensuite, répondez aux questions 1, 2, 3 et 5 décrites dans la section d’enquête du cours d’analyse des en-têtes d’e-mails de l’équipe GenCyber du Nebraska, cette fois en utilisant les en-têtes de l’e-mail que vous avez trouvé, plutôt que l’e-mail joint au cours.

Ressources d’apprentissage

Que sont les en-têtes d'e-mails ?

Gratuit

Une bonne introduction aux en-têtes d’e-mails. Met en évidence trois groupes importants d’en-têtes d’e-mails. Comprend une liste de guides étape par étape pour différents MUA (agent utilisateur de messagerie)

Langues: Anglais
Visitez le site

Affichage des en-têtes d'e-mails complets

Gratuit

Comment afficher les en-têtes d’e-mails dans plusieurs systèmes de messagerie (Gmail, Outlook, Apple Mail, Thunderbird, etc.)

Langues: Multiple
Visitez le site

Vérification des en-têtes SPF à l'aide de l'outil dig

Gratuit

Cet article offre un guide rapide sur la façon de vérifier les en-têtes SPF à l’aide de dig, un outil installé sur la plupart des systèmes de type Unix.

Langues: Anglais
Visitez le site

Comment consulter et lire un enregistrement Sender Policy Framework pour un domaine

Gratuit

Cet article montre comment consulter les en-têtes SPF en utilisant nslookup, un outil alternatif à dig, et décrit comment interpréter les résultats.

Langues: Anglais
Visitez le site

Cours de l'équipe GenCyber du Nebraska sur les en-têtes d'e-mails

Gratuit

Un cours complet sur la façon d’analyser les en-têtes d’e-mails lors des enquêtes sur les cas potentiels d’hameçonnage

Langues: Anglais
Visitez le site

Cours de l'équipe GenCyber du Nebraska sur les en-têtes d'e-mails

Gratuit

Des exemples d’exercices sont également présentés ici

Langues: Anglais
Visitez le site

Vérification des en-têtes d'e-mails dans Proton Mail

Gratuit

Anglais

Langues: Anglais
Visitez le site

Affichage des en-têtes d'e-mails sur Zoho

Gratuit

Anglais

Langues: Anglais
Visitez le site

Outils pour analyser les en-têtes d'e-mails, partie 1

Gratuit

Nous établissons des liens vers quelques outils qui peuvent extraire et disséquer les en-têtes d’e-mails, ce qui s’avère essentiel pour toute analyse des e-mails potentiellement malveillants.

Langues: Anglais
Visitez le site

Outils pour analyser les en-têtes d'e-mails, partie 2

Gratuit

Nous établissons des liens vers quelques outils qui peuvent extraire et disséquer les en-têtes d’e-mails, ce qui s’avère essentiel pour toute analyse des e-mails potentiellement malveillants.

Langues: Anglais
Visitez le site

Outils pour analyser les en-têtes d'e-mails, partie 3

Gratuit

Nous établissons des liens vers quelques outils qui peuvent extraire et disséquer les en-têtes d’e-mails, ce qui s’avère essentiel pour toute analyse des e-mails potentiellement malveillants.

Langues: Anglais
Visitez le site

Outils pour analyser les en-têtes d'e-mails, partie 4

Gratuit

Nous établissons des liens vers quelques outils qui peuvent extraire et disséquer les en-têtes d’e-mails, ce qui s’avère essentiel pour toute analyse des e-mails potentiellement malveillants.

Langues: Anglais
Visitez le site

Introduction à l'usurpation d'adresses e-mail, ressource 1

Gratuit

Plusieurs articles décrivant les bases de l’usurpation d’adresses e-mail

Langues: Multiple
Visitez le site

Introduction à l'usurpation d'adresses e-mail, ressource 2

Gratuit

Plusieurs articles décrivant les bases de l’usurpation d’adresses e-mail

Langues: Multiple
Visitez le site

Introduction à l'usurpation d'adresses e-mail, ressource 3

Gratuit

Plusieurs articles décrivant les bases de l’usurpation d’adresses e-mail

Langues: Multiple
Visitez le site

Évaluation des en-têtes « reçus »

Gratuit

Comment utiliser les en-têtes d’e-mails pour trouver le serveur qui a envoyé l’e-mail

Langues: Anglais
Visitez le site

Analyse des en-têtes « reçus » potentiellement falsifiés

Gratuit

Comment repérer les faux en-têtes « reçus »

Langues: Anglais
Visitez le site

Examen des en-têtes d'un e-mail de phishing potentiel

Gratuit

Comment repérer les faux en-têtes « reçus »

Langues: Anglais
Visitez le site

Trouver des messages avec Email Log Search

Documentation gratuite, outils uniquement disponibles pour les utilisateurs professionnels et d'entreprise

Décrit comment les administrateurs de comptes d’entreprise et d’entreprise Google peuvent surveiller les journaux de messagerie

Langues: Anglais
Visitez le site

Surveillance, rapports et suivi des messages dans Exchange Online

Documentation gratuite, outils uniquement disponibles pour les utilisateurs professionnels

Décrit comment les administrateurs de comptes d’entreprise Microsoft peuvent surveiller les journaux de messagerie

Langues: Anglais
Visitez le site