eml_forensic_suiteEmail Forensics • IMAP • Scoring
Téléchargement
Téléchargement

Workflow forensic recommandé

Flux de travail conseillé pour mener une analyse forensic d’e-mails avec EML Forensic Suite.

Vue d’ensemble

EML Forensic Suite est conçu autour d’un workflow clair et reproductible, adapté aux enquêtes de type BEC (Business Email Compromise) ou aux analyses de boîtes mail.

Le flux recommandé est le suivant :

EXPORT IMAP → INDEXATION EML → ANALYSE DÉTAILLÉE (VIEWER) → ANALYSE GLOBALE (DASHBOARD)

Étape 1 : Export IMAP

  • Connexion en lecture seule à la boîte mail IMAP.
  • Sélection des dossiers pertinents (INBOX, Sent, Archives, etc.).
  • Export de chaque message au format .eml.
  • Calcul du hash SHA256 pour chaque e-mail.

Les fichiers suivants sont générés :

  • Fichiers .eml
  • hashes.txt (hash par e-mail + hash global)
  • rapport_imap_export.txt (rapport forensic détaillé)

Étape 2 : Indexation EML

  • Analyse d’un dossier contenant des fichiers .eml.
  • Extraction des métadonnées (From, To, Subject, Date, Message-ID, etc.).
  • Analyse des pièces jointes et des anomalies.
  • Génération d’un fichier index.csv.

Les données sont également chargées en mémoire dans une structure interne (last_index_entries), utilisée par le Viewer et le Dashboard.

Étape 3 : Analyse détaillée (Viewer Forensic)

  • Chargement de l’index en mémoire ou depuis un fichier CSV.
  • Recherche avancée à l’aide d’un langage booléen (AND / OR / NOT / parenthèses).
  • Inspection détaillée des en-têtes, du corps des messages et des pièces jointes.
  • Extraction de pièces jointes avec génération de rapports individuels.

Étape 4 : Analyse globale (Dashboard Forensic)

  • Vue synthétique de l’ensemble de la boîte mail ou du corpus analysé.
  • Analyse des domaines expéditeurs.
  • Répartition par dossiers IMAP.
  • Détection d’anomalies (authentification, Received, intégrité).
  • Statistiques globales sur les pièces jointes.

Traçabilité et conservation des preuves

À chaque étape du workflow, EML Forensic Suite conserve les éléments nécessaires à la traçabilité et à la reproductibilité de l’analyse.

  • Lecture seule des données sources.
  • Hashing systématique.
  • Rapports textuels horodatés.
  • Séparation claire des dossiers par enquête.
Chaîne de conservation
Le respect strict de ce workflow permet de préserver la chaîne de conservation (chain of custody) et de garantir la valeur probante des analyses.

Perspectives d’évolution

Les versions futures intégreront des fonctionnalités complémentaires, telles que la génération de rapports PDF, des timelines d’événements et des outils de gestion d’enquête.