eml_forensic_suiteEmail Forensics • IMAP • Scoring
Téléchargement
Téléchargement

Guide rapide

Prise en main rapide de EML Forensic Suite (v1.0.1) : installation, workflow forensic, recherche et bonnes pratiques.

Démarrage rapide

Lancer le logiciel

  • Exécuter eml_forensic_suite.exe (version portable Windows)
  • OU installer en mode développeur Python
Mode développeur (Python)
pip install -e .
python -m eml_forensic_suite

Configurer l'application

Depuis le menu Fichier → Paramètres :

  • Langue de l’interface (Français, Anglais, Arabe, Allemand, Espagnol, Hindi, Italien, Japonais, Coréen, Néerlandais, Portugais, Russe, Turc, Ukrainien, Chinois)
  • Thème clair ou sombre
  • Dossier forensic par défaut (rapports et pièces jointes)

Workflow forensic (résumé)

Le workflow recommandé suit la chaîne suivante :

EXPORT IMAP → INDEXATION EML → VIEWER → DASHBOARD

1) Export IMAP

  • Connexion à un serveur IMAP via login et mot de passe
  • OAuth non supporté (Gmail, Outlook, Yahoo, M365)
  • Cliquer sur « Inspecter les dossiers… »
  • Sélectionner les dossiers puis cliquer sur « Exporter »

Fichiers générés :

  • Fichiers .eml
  • hashes.txt
  • rapport_imap_export.txt

2) Indexation EML

  • Choisir un dossier contenant des fichiers .eml
  • OU cliquer sur « Utiliser le dernier export IMAP »
  • Lancer l’indexation

Fichiers et données produits :

  • index.csv
  • Index chargé automatiquement en mémoire (last_index_entries)

3) Viewer forensic

  • Lecture, filtrage et analyse des e-mails
  • Affichage des headers, corps et pièces jointes
  • Extraction des pièces jointes avec rapport forensic individuel

4) Dashboard forensic

  • Vue globale : domaines, dossiers IMAP, périodes, anomalies, pièces jointes
  • Utilisation de index.csv ou des données last_index_entries

Recherche forensic (syntaxe rapide)

Logique supportée

  • AND (implicite ou explicite)
  • OR
  • NOT
  • Parenthèses ( )

Exemples de requêtes

fraude facture
from:arnaqueur or subject:"virement urgent"
not domain:gmail.com
(from:banque and attachment:true) or pdf

Filtres disponibles

  • from:paypal → expéditeur
  • to:direction@entreprise.com → destinataire
  • cc:compta → CC / BCC
  • subject:facture → sujet
  • domain:gmail.com → domaine expéditeur
  • folder:"INBOX/Factures" → dossier IMAP
  • attachment:true / attachment:false → présence de pièce jointe
  • hash:3f79 → hash SHA256
  • date:2024-01 → recherche textuelle dans la date

Sans préfixe, la recherche plein texte s’effectue sur : sujet, from, to, cc, bcc, noms de pièces jointes et hash.

Extraction des pièces jointes

  • Extraction unitaire via le bouton « Extraire la pièce jointe »
  • Extraction multiple via « Extraire toutes les pièces jointes »

Pour chaque pièce jointe extraite, un rapport forensic individuel est généré automatiquement :

forensic_attachments/<id_email>/nom_fichier_report.txt
  • Hash SHA256
  • Taille du fichier
  • Flags de suspicion
  • Date d’extraction
  • Version de l’outil

Bonnes pratiques forensic

  • Toujours travailler en lecture seule (ne pas modifier les fichiers .eml)
  • Conserver l’export IMAP brut (dossiers, hashes, rapports)
  • Utiliser un dossier distinct par affaire
  • Documenter la date, la boîte mail et l’opérateur lors de l’export
  • Ne jamais ouvrir les .eml dans Outlook ou des clients non forensic

Limitations (v1.0.1)

  • OAuth non supporté (Gmail, Outlook, Yahoo, M365)
  • Pas de score de suspicion dans l’interface
  • Pas encore de rapport PDF intégré
  • Analyse Received avancée (géolocalisation, IP) non incluse
  • Pas de mode enquête / case management (prévu)

Fichiers importants générés

  • hashes.txt : hash SHA256 par e-mail et hash global
  • rapport_imap_export.txt : rapport forensic d’export IMAP
  • index.csv : index analysé de la boîte mail
  • forensic_attachments/ : pièces jointes et rapports individuels

Support rapide

  • Menu Aide → À propos
  • Logs détaillés disponibles dans les onglets Export IMAP et Indexation
  • Messages d’erreur affichés sous forme de popups