eml_forensic_suiteEmail Forensics • IMAP • Scoring
Téléchargement
Téléchargement

Forensic e-mail • v1.0.1

Tout analyser. Ne rien modifier.

EML Forensic Suite vous aide à exporter une boîte IMAP en lecture seule, indexer des EML, explorer les e-mails, extraire des pièces jointes et produire des indicateurs forensic — avec une approche pensée pour la traçabilité.

TéléchargerLire la documentation
  • Lecture seule des EML avec hashing systématique
  • Recherche booléenne avancée (AND / OR / NOT / parenthèses) avec filtres dédiés
  • Extraction des pièces jointes avec rapports forensic individuels
IMAP → EML
Export en lecture seule
Index.csv
Indexation complète
Vérifier l’intégrité (SHA256)
Comparez l’empreinte du fichier téléchargé avec l’empreinte officielle avant toute exécution.
$actual = (Get-FileHash -Algorithm SHA256 -LiteralPath 'C:\\path\\tool.exe').Hash
$actual

Astuce : la commande complète est disponible sur la page Téléchargements.

Fonctionnalités principales

Un workflow complet, de l’export IMAP jusqu’à l’analyse globale, sans compromettre les exigences forensic.

Export IMAP (lecture seule)
Extraction d’une boîte mail en fichiers .eml avec génération de hashes et d’un rapport d’export, sans aucune écriture sur le serveur.
Indexation EML
Analyse d’un corpus EML et génération d’un index CSV incluant métadonnées, pièces jointes, authentifications DKIM/SPF/DMARC simplifiées, anomalies et indicateurs d’intégrité.
Viewer forensic
Inspection détaillée des e-mails : en-têtes complets, corps texte ou HTML neutralisé, pièces jointes et informations techniques.
Recherche avancée
Mini-langage dédié à l’investigation e-mail avec AND implicite, OR, NOT, parenthèses et filtres spécialisés (from, to, domain, folder, hash, pièces jointes…).
Pièces jointes & rapports
Extraction des pièces jointes en copie, de manière unitaire ou groupée, avec génération de rapports forensic individuels.
Dashboard forensic
Vue synthétique de l’ensemble du corpus : volumes, domaines, dossiers IMAP, périodes, authentification, intégrité et anomalies Received.
Forensic by design
Respect strict de la chaîne de conservation : lecture seule, hashing, rapports horodatés et séparation claire entre interface, moteur et données.
Sécurité
Affichage sécurisé des contenus, neutralisation du code actif, aucune communication externe durant l’analyse et traçabilité locale complète.

Workflow d’enquête recommandé

Vous pouvez suivre un chemin reproductible et structuré pour vos analyses forensic.

  1. 1) Export IMAP
    Ciblez les dossiers pertinents, appliquez un filtre de dates et produisez les fichiers EML, hashes.txt et le rapport d’export.
  2. 2) Indexation EML
    Analysez les fichiers EML, enrichissez les métadonnées et générez index.csv, exploitable par le Viewer et le Dashboard.
  3. 3) Analyse détaillée (Viewer)
    Effectuez des recherches avancées, inspectez les en-têtes et le corps des messages, et extrayez les pièces jointes.
  4. 4) Synthèse globale (Dashboard)
    Identifiez rapidement les tendances : domaines suspects, dossiers, périodes, anomalies et indicateurs de sécurité.
Consulter le workflow complet

Pourquoi ce workflow est efficace en investigation

  • Traçabilité assurée grâce aux hashes et rapports horodatés
  • Reproductibilité des analyses à partir des mêmes données sources
  • Lisibilité via un index CSV structuré et archivable
  • Orientation enquête grâce à un moteur de recherche dédié à l’e-mail

Conseil : utilisez un dossier distinct par affaire (export, index, pièces jointes et rapports).

Pensé pour la confiance et l’expertise

L’outil est conçu pour être utile sur le terrain et défendable dans un cadre d’audit ou d’expertise.

Aucune modification des données sources

Les fichiers EML sont toujours lus en lecture seule. Les extractions sont réalisées par copie avec production d’artefacts de preuve.

Intégrité vérifiable

Hash SHA256 par e-mail, hash global d’export et rapports textuels permettent de justifier l’intégrité du corpus analysé.

Architecture maîtrisée

Séparation claire entre interface, moteur et données, avec état partagé contrôlé et modules auditables.

Prêt à commencer ?
Téléchargez la version Windows portable, puis consultez la documentation pour mettre en œuvre un workflow complet.
Accéder aux téléchargementsOuvrir la documentation