|
|
|
|
|
|
Caractéristiques de l'e-mail
|
Description
|
|---|---|
|
Noms d'hôtes d'expéditeurs incohérents
|
Noms d'hôtes incohérents entre l'ID du message (<domain>) et l'expéditeur (<domain>).
|
|
Itinéraire de routage de l'e-mail interrompu
|
Itinéraire de routage de l'e-mail interrompu entre le tronçon (<IP_address>) et le
tronçon (<IP_address>).
|
|
L'itinéraire de routage de l'e-mail contient un serveur de messagerie dont la réputation
est mauvaise
|
L'itinéraire de routage de l'e-mail contient un serveur de messagerie (<IP_address>)
dont la réputation est mauvaise.
|
|
Laps de temps important pendant le transit du message électronique
|
Laps de temps important (<duration>) détecté pendant le transit du message électronique
entre des tronçons (<source> & <destination>) de l'heure (<date_time>) à l'heure (<date_time>).
|
|
Comptes de destinataires incohérents
|
Incohérence entre les destinataires de l'enveloppe (<email_address>) et de l'en-tête
(<email_address>).
|
|
Compte d'expéditeur probablement falsifié ou relais/transfert inattendu
|
Un compte d'expéditeur probablement falsifié (<email_address>) envoie des messages
électroniques via l'hôte/l'adresse IP (<host_address>) dont les APE (<ASN_list>) ne
sont pas cohérents avec les APE de l'expéditeur (<ASN_list>) ; ou relais/transfert
inattendu côté serveur.
|
|
Le message électronique parcourt plusieurs fuseaux horaires
|
Le message électronique parcourt plusieurs fuseaux horaires (<time_zone_list>).
|
|
Possibles attaques d'ingénierie sociale caractérisées par des jeux de caractères suspects
dans des entités d'e-mail
|
Des jeux de caractères suspects (<character_set_list>) sont repérés dans un message
électronique unique, ce qui signifie que le message électronique suspect provient
d'une région étrangère. Ce comportement est un indicateur d'attaque d'ingénierie sociale.
|
|
Violation des en-têtes d'heure
|
Il existe plusieurs en-têtes d'heure (<date_time>, <date_time>) dans un message unique,
ce qui enfreint la section 3.6 de la RFC 5322.
|
|
Expéditeur probablement falsifié (Yahoo)
|
Le message électronique supposé émaner de Yahoo (<email_address>) a perdu les en-têtes
requis.
|
|
Fichiers exécutables comportant des noms d'extension altérés dans la pièce jointe
|
Les fichiers exécutables contenus dans la pièce jointe compressée (<file_name>) sont
destinés à se dissimuler sous la forme de fichiers ordinaires avec des noms d'extension
altérés.
|
|
Relation anormale entre les en-têtes d'e-mail de l'expéditeur ou des destinataires
associés
|
Relation anormale entre les en-têtes d'e-mail de l'expéditeur ou des destinataires
associés (<email_address>).
|
|
La pièce jointe chiffrée est destinée à contourner les moteurs de scan antivirus
|
La pièce jointe chiffrée (<file_name>) avec le mot de passe (<password>) fourni dans
le contenu de l'e-mail est probablement destinée à ignorer les moteurs de scan antivirus.
|
|
La pièce jointe à l'e-mail pourrait être exploitable
|
La pièce jointe à l'e-mail (<file_name>) pourrait être exploitable.
|
|
Le message électronique est peut-être envoyé par un agent de messagerie qui le rédige
automatiquement en raison d'un chiffrement de transfert anormal dans les entités d'e-mail
|
L'ensemble contenu-transfert-chiffrement (<encoding_type>) est anormal dans le message
électronique. Le message électronique est peut-être envoyé par un agent de messagerie
qui le rédige automatiquement.
|
|
Peu de mots compréhensibles dans le message électronique
|
Le message électronique est moins compréhensible et ne comporte que peu de caractères
dans son corps de texte/HTML (<character_count>).
|
|
Usurpation possible d'adresse e-mail
|
Le message électronique était supposé être un message transféré ou une réponse avec
un balisage de l'objet (<email_subject>), mais il ne contient pas les en-têtes de
messagerie correspondants (RFC 5322).
|
|
Le message électronique parcourt plusieurs APE
|
Le message électronique parcourt plusieurs APE (<ASN_list>).
|
|
Le message électronique parcourt plusieurs pays
|
Le message électronique parcourt plusieurs pays (<country_code_list>).
|
|
Comportement anormal du type de contenu dans le message électronique
|
Le type de contenu de l'e-mail ne devrait pas comporter d'attributs (<attribute_list>).
|
|
Fichiers exécutables archivés dans la pièce jointe compressée
|
Fichiers exécutables archivés dans la pièce jointe compressée (<file_name>).
|
|
Types de fichiers exploitables détectés dans la pièce jointe compressée
|
Types de fichiers exploitables détectés dans la pièce jointe compressée (<file_name>).
|