SankethSubhas/phishing-email-analyzer
GitHub: SankethSubhas/phishing-email-analyzer
一款零依赖的 Python 钓鱼邮件取证分析工具,通过多维度指标检测对 .eml 文件进行风险评分并生成详细报告。
Stars: 0 | Forks: 0
# 🎣 钓鱼邮件分析器
一个基于 Python 的安全工具,用于分析 `.eml` 邮件文件中的钓鱼指标,评估威胁等级,并生成包含证据的详细报告 —— 涵盖邮件头、内容、URL 和附件分析。
旨在展示可直接应用于 SOC 和 Incident Response 工作流的邮件安全与威胁分析技能。
## 🔍 分析模块
| 模块 | 检查内容 |
|---|---|
| **邮件头分析 (Header Analysis)** | SPF/DKIM/DMARC,From/Reply-To 不匹配,域名欺骗,邮件路由跳数 |
| **内容分析 (Content Analysis)** | 紧迫性关键词,凭证请求,可疑短语,通用问候语 |
| **URL 分析 (URL Analysis)** | 基于 IP 的 URL,短链接,可疑 TLD,Typosquatting(仿冒域名),编码 URL |
| **附件分析 (Attachment Analysis)** | 危险文件类型 (.exe, .ps1, .js),启用宏的文档,双扩展名 |
## 🚨 风险评分
| 分数 | 风险等级 | 判定结果 |
|---|---|---|
| 70–100 | CRITICAL | 🔴 高概率钓鱼邮件 |
| 45–69 | HIGH | 🟠 疑似钓鱼邮件 |
| 20–44 | MEDIUM | 🟡 可疑邮件 |
| 0–19 | LOW | 🟢 疑似合法邮件 |
## 🛠️ 技术栈
- **语言:** Python 3.x
- **库:** `email`, `re`, `json`, `urllib`, `argparse` (均为标准库 —— 无需安装)
- **输入:** 标准 `.eml` 邮件文件 (可从任何邮件客户端导出)
## 🚀 快速开始
### 1. 克隆仓库
```
git clone https://github.com/SankethSubhas/phishing-email-analyzer.git
cd phishing-email-analyzer
```
### 2. 分析邮件
```
python3 phishing_analyzer.py phishing.eml
python3 phishing_analyzer.py legitimate.eml
```
### 3. 导出 JSON 报告
```
python3 phishing_analyzer.py email.eml --output report.json
```
## 📊 示例输出
```
=================================================================
PHISHING EMAIL ANALYZER — REPORT
=================================================================
File : phishing.eml
From : security@paypa1-secure.com
Reply-To : support@paypa1-recovery.tk
SPF : Not present
DKIM : Not present
Risk Score : 100/100
Verdict : 🔴 HIGH PROBABILITY PHISHING
=================================================================
⚠️ INDICATORS FOUND (13)
[CRITICAL] Credential/sensitive data request
Email requests passwords, credentials, or sensitive information
[HIGH] From/Reply-To domain mismatch
From: paypa1-secure.com | Reply-To: paypa1-recovery.tk
[HIGH] High urgency language detected
Keywords: urgent, immediate, action required, unusual activity
...
```
## 📁 项目结构
```
phishing-email-analyzer/
│
├── phishing_analyzer.py # Main analysis engine
├── phishing.eml # Sample phishing email (score: 100/100)
├── legitimate.eml # Sample legitimate email (score: 0/100)
└── README.md
```
## 🔗 实际应用价值
该工具模拟了核心 SOC 和邮件安全任务:
- **邮件头取证** — SPF/DKIM/DMARC 验证反映了企业邮件网关分析
- **IOC 提取** — 提取 URL 和域名,用于威胁情报源
- **钓鱼分流** — 评分判定复制了 L1 SOC 分析师的决策过程
- **JSON 导出** — 输出结果可集成至 SIEM 平台或工单系统
## 👤 作者
**Sanketh Subhas** — Cybersecurity Analyst | SOC & Incident Response
🔗 [LinkedIn](https://linkedin.com/in/sanketh-subhas) | 🌐 [Portfolio](https://sankethsubhas.pages.dev)
## 📄 许可证
MIT License — 可随意使用、修改及基于此项目进行构建。
标签:EML文件解析, ESC8, Python, SPF/DKIM/DMARC, T1566, URL分析, 威胁情报, 库, 应急响应, 开发者工具, 开源安全工具, 无后门, 欺骗检测, 社会工程学, 网络安全, 逆向工具, 逆向工程平台, 邮件安全, 钓鱼检测, 钓鱼邮件分析, 附件分析, 隐私保护, 风险评分