raeda81/Phishing-emails-investigation-Automation

GitHub: raeda81/Phishing-emails-investigation-Automation

基于 n8n 的自动化工作流,帮助安全分析师通过信誉查询、邮件认证校验和 URL 沙箱分析快速判定可疑钓鱼邮件是否恶意。

Stars: 2 | Forks: 0

# 网络钓鱼邮件调查自动化 本项目使用 n8n 自动化处理已报告或可疑钓鱼邮件的调查。 该工作流执行多项威胁情报检查和邮件身份验证验证,以帮助安全分析师快速评估邮件是否为恶意邮件。 使用 n8n 自动化调查钓鱼邮件 项目描述 本项目使用 n8n 自动化处理已报告或可疑钓鱼邮件的调查。该工作流执行多项威胁情报检查和邮件身份验证验证,以帮助安全分析师快速评估邮件是否为恶意邮件。 前置条件 在运行工作流之前,请将可疑邮件下载为 .eml 文件(电子邮件消息格式),并将其作为输入提供给工作流。 一旦上传了 .eml 文件,工作流将自动执行以下调查: 1. 发件人域名分析 检索发件人的域名。 通过 API 使用 VirusTotal 检查域名信誉。 使用 RDAP (rdap.org) 检索域名创建日期。 注意:根据注册商或 TLD 的不同,某些域名可能不会返回 RDAP 信息。 2. 发件人 IP 分析 工作流提取发件人的 IP 地址并执行: VirusTotal IP 信誉检查(API)。 AbuseIPDB 信誉检查(API)。 3. 邮件头验证 工作流对比以下邮件头,以识别可能的伪造尝试: From Return-Path Reply-To 它会突出显示这些地址是否匹配或不同。 4. 邮件身份验证检查 工作流验证邮件是否成功通过: SPF (Sender Policy Framework) DKIM (DomainKeys Identified Mail) DMARC (Domain-based Message Authentication, Reporting, and Conformance) 5. URL 提取与分析 工作流提取在邮件正文中找到的所有 URL,并执行两个级别的分析: 使用其 API 在 VirusTotal 中检查每个 URL。 将每个 URL 提交给 URLQuery.net 进行动态沙箱分析,并通过 URLQuery API 检索分析结果。 API 要求 要使用此项目,您必须为工作流使用的外部服务创建自己的 API 凭证。 所需服务包括: VirusTotal AbuseIPDB URLQuery.net 获取 API 密钥后,请在执行前更新 n8n 工作流中的相应凭证。 结果 此自动化将邮件解析、信誉检查、邮件身份验证验证和 URL 沙箱分析整合到一个单一的自动化工作流中,从而显著减少了钓鱼调查期间所需的手动工作量。
标签:n8n, 威胁情报, 安全运营, 开发者工具, 扫描框架, 电子邮件安全, 自动化响应, 钓鱼邮件分析