raeda81/Phishing-emails-investigation-Automation
GitHub: raeda81/Phishing-emails-investigation-Automation
基于 n8n 的自动化工作流,帮助安全分析师通过信誉查询、邮件认证校验和 URL 沙箱分析快速判定可疑钓鱼邮件是否恶意。
Stars: 2 | Forks: 0
# 网络钓鱼邮件调查自动化
本项目使用 n8n 自动化处理已报告或可疑钓鱼邮件的调查。
该工作流执行多项威胁情报检查和邮件身份验证验证,以帮助安全分析师快速评估邮件是否为恶意邮件。
使用 n8n 自动化调查钓鱼邮件
项目描述
本项目使用 n8n 自动化处理已报告或可疑钓鱼邮件的调查。该工作流执行多项威胁情报检查和邮件身份验证验证,以帮助安全分析师快速评估邮件是否为恶意邮件。
前置条件
在运行工作流之前,请将可疑邮件下载为 .eml 文件(电子邮件消息格式),并将其作为输入提供给工作流。
一旦上传了 .eml 文件,工作流将自动执行以下调查:
1. 发件人域名分析
检索发件人的域名。
通过 API 使用 VirusTotal 检查域名信誉。
使用 RDAP (rdap.org) 检索域名创建日期。
注意:根据注册商或 TLD 的不同,某些域名可能不会返回 RDAP 信息。
2. 发件人 IP 分析
工作流提取发件人的 IP 地址并执行:
VirusTotal IP 信誉检查(API)。
AbuseIPDB 信誉检查(API)。
3. 邮件头验证
工作流对比以下邮件头,以识别可能的伪造尝试:
From
Return-Path
Reply-To
它会突出显示这些地址是否匹配或不同。
4. 邮件身份验证检查
工作流验证邮件是否成功通过:
SPF (Sender Policy Framework)
DKIM (DomainKeys Identified Mail)
DMARC (Domain-based Message Authentication, Reporting, and Conformance)
5. URL 提取与分析
工作流提取在邮件正文中找到的所有 URL,并执行两个级别的分析:
使用其 API 在 VirusTotal 中检查每个 URL。
将每个 URL 提交给 URLQuery.net 进行动态沙箱分析,并通过 URLQuery API 检索分析结果。
API 要求
要使用此项目,您必须为工作流使用的外部服务创建自己的 API 凭证。
所需服务包括:
VirusTotal
AbuseIPDB
URLQuery.net
获取 API 密钥后,请在执行前更新 n8n 工作流中的相应凭证。
结果
此自动化将邮件解析、信誉检查、邮件身份验证验证和 URL 沙箱分析整合到一个单一的自动化工作流中,从而显著减少了钓鱼调查期间所需的手动工作量。
标签:n8n, 威胁情报, 安全运营, 开发者工具, 扫描框架, 电子邮件安全, 自动化响应, 钓鱼邮件分析