|
|
|
|
|
|
Caractéristiques de l'e-mail
|
Description
|
|---|---|
|
Noms d'hôtes d'expéditeurs incohérents
|
Noms d'hôtes incohérents entre ID message (<domaine>) et De (<domaine>).
|
|
Itinéraire de routage de l'e-mail interrompu
|
Itinéraire de routage de l'e-mail interrompu entre les sauts (<adresse_IP>) et (<adresse_IP>).
|
|
L'itinéraire de routage de l'e-mail contient un serveur de messagerie dont la réputation
est mauvaise
|
L'itinéraire de routage de l'e-mail contient un serveur de messagerie dont la réputation
est mauvaise (<adresse_IP>).
|
|
Laps de temps important pendant le transit du message électronique
|
Laps de temps important (<durée>) détecté pendant le transit du message électronique
entre les sauts (<source> et <destination>) de (<date_heure>) à (<date_heure>).
|
|
Comptes de destinataires incohérents
|
Le destinataire de l'enveloppe (<adresse_e-mail>) est incohérent avec le destinataire
de l'en-tête (<adresse_e-mail>).
|
|
Compte d'expéditeur probablement falsifié ou relais/transfert inattendu
|
Un compte d'expéditeur probablement falsifié (<adresse_e-mail>) envoie des e-mails
via l'hôte/IP (<adresse_hôte>) dont les ASN (<liste_ASN>) sont incohérents avec ceux
de l'expéditeur (<liste_ASN>) ; ou relais/transfert inattendu côté serveur.
|
|
Le message électronique parcourt plusieurs fuseaux horaires
|
Le message électronique parcourt plusieurs fuseaux horaires (<liste_fuseaux_horaires>).
|
|
Possibles attaques d'ingénierie sociale caractérisées par des jeux de caractères suspects
dans des entités d'e-mail
|
Des jeux de caractères suspects (<liste_caractères_suspects>) sont identifiés dans
un e-mail message individuel, indiquant que l'e-mail provient d'une région étrangère.
Ce comportement est un indicateur d'attaque d'ingénierie sociale.
|
|
Violation des en-têtes d'heure
|
Un message comporte plusieurs en-têtes d'heure (<date_heure>, <date_heure>), ce qui
est en infraction avec RFC5322 section 3.6.
|
|
Expéditeur probablement falsifié (Yahoo)
|
L'e-mail annoncé comme émanant de Yahoo (<adresse_e-mail>) ne comporte pas les en-têtes
requis.
|
|
Fichiers exécutables comportant des noms d'extension altérés dans la pièce jointe
|
Des fichiers exécutables dans une pièce jointe compressée (<nom_fichier>) tentent
de se faire passer pour des fichiers ordinaires avec des noms d'extension altérés.
|
|
Relation anormale entre les en-têtes d'e-mail de l'expéditeur ou des destinataires
associés
|
Relation anormale entre les en-têtes d'e-mail de l'expéditeur ou des destinataires
associés (<adresse_e-mail>).
|
|
La pièce jointe chiffrée est destinée à contourner les moteurs de scan antivirus
|
Une pièce jointe chiffrée (<nom_fichier>) avec mot de passe (<mot_de_passe>) fournie
dans le contenu d'un e-mail tente probablement de contourner les moteurs de scan antivirus.
|
|
La pièce jointe à l'e-mail pourrait être exploitable
|
La pièce jointe à l'e-mail (<nom_fichier>) pourrait être exploitable.
|
|
Le message électronique est peut-être envoyé par un agent de messagerie qui le rédige
automatiquement en raison d'un chiffrement de transfert anormal dans les entités d'e-mail
|
Le champ Content-Transfer-Encoding (<type_encodage>) est anormal dans l'e-mail. Le
message électronique est peut-être envoyé par un agent de messagerie qui le rédige
automatiquement.
|
|
Peu de mots compréhensibles dans le message électronique
|
Le message électronique n'est pas assez compréhensible, ne contenant que quelques
caractères dans le corps du message en format texte/HTML (<nombre_caractères>).
|
|
Usurpation possible d'adresse e-mail
|
Le message électronique a été présenté comme un transfert ou une réponse avec un balisage
dans la ligne d'objet (<objet_message>), mais il ne contient pas d'en-têtes d'e-mail
correspondants (RFC 5322).
|
|
Le message électronique parcourt plusieurs APE
|
Le message électronique parcourt plusieurs ASN (<liste_ASN>).
|
|
Le message électronique parcourt plusieurs pays
|
Le message électronique parcourt plusieurs pays (<liste_codes_pays>).
|
|
Comportement anormal du type de contenu dans le message électronique
|
Le type de contenu dans le message électronique ne peut pas avoir d'attributs (<liste_attributs>).
|
|
Fichiers exécutables archivés dans la pièce jointe compressée
|
Fichiers exécutables archivés dans la pièce jointe compressée (<nom_fichier>).
|
|
Types de fichiers exploitables détectés dans la pièce jointe compressée
|
Types de fichiers exploitables détectés dans la pièce jointe compressée (<nom_fichier>).
|