analyzing-phishing-email-headers

电子邮件头包含关键元数据,能够揭示邮件的真实来源、路由路径和身份验证状态。分析这些头字段是识别钓鱼(phishing)尝试、验证发件人真实性和收集威胁情报的基础技能。

9 stars

Best use case

analyzing-phishing-email-headers is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

电子邮件头包含关键元数据,能够揭示邮件的真实来源、路由路径和身份验证状态。分析这些头字段是识别钓鱼(phishing)尝试、验证发件人真实性和收集威胁情报的基础技能。

Teams using analyzing-phishing-email-headers should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/analyzing-phishing-email-headers/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/analyzing-phishing-email-headers/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/analyzing-phishing-email-headers/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How analyzing-phishing-email-headers Compares

Feature / Agentanalyzing-phishing-email-headersStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

电子邮件头包含关键元数据,能够揭示邮件的真实来源、路由路径和身份验证状态。分析这些头字段是识别钓鱼(phishing)尝试、验证发件人真实性和收集威胁情报的基础技能。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 分析钓鱼电子邮件头

## 概述
电子邮件头包含关键元数据,能够揭示邮件的真实来源、路由路径和身份验证状态。分析这些头字段是识别钓鱼尝试、验证发件人真实性和收集威胁情报的基础技能。本技能涵盖使用手动技术和自动化工具对电子邮件头进行系统性提取和解读。

## 前置条件
- 基本了解 SMTP 协议和电子邮件投递原理
- 熟悉 DNS 记录(MX、TXT、SPF、DKIM、DMARC)
- 已安装 Python 3.8+
- 可访问能够导出原始头信息的邮件客户端(Outlook、Gmail、Thunderbird)

## 核心概念

### 关键头字段
1. **Received**:邮件经过的邮件服务器链(从下到上阅读)
2. **From / Return-Path / Reply-To**:发件人身份字段(常被伪造)
3. **Authentication-Results**:SPF、DKIM、DMARC 验证结果
4. **X-Originating-IP**:原始发件人 IP 地址
5. **Message-ID**:唯一标识符;异常情况表明存在伪造
6. **X-Mailer / User-Agent**:用于撰写邮件的客户端程序

### 头字段中的危险信号
- `From` 和 `Return-Path` 域名不匹配
- `Authentication-Results` 中 SPF/DKIM/DMARC 验证失败
- `Received` 链中出现陌生的中继服务器
- `X-Originating-IP` 来自意外的地理位置
- 缺失或格式异常的 `Message-ID`
- 异常的 `X-Mailer` 值(例如群发邮件工具)

## 实施步骤

### 步骤 1:提取原始邮件头
```
Gmail: 打开邮件 -> 三点菜单 -> "显示原始邮件"
Outlook: 打开邮件 -> 文件 -> 属性 -> Internet 头
Thunderbird: 查看 -> 邮件源代码(Ctrl+U)
```

### 步骤 2:使用 Python 解析头字段
使用 `scripts/process.py` 脚本自动完成头字段分析,包括 IP 地理定位、身份验证验证和异常检测。

### 步骤 3:验证身份验证链
- 检查 SPF 对齐:发送 IP 是否与域名的 SPF 记录匹配?
- 检查 DKIM 签名:密码学签名是否有效?
- 检查 DMARC 策略:邮件是否通过 DMARC 对齐检查?

### 步骤 4:追踪邮件路由
- 从下到上阅读 `Received` 头字段
- 将每一跳的 IP 映射到组织/位置
- 识别意外的中继服务器或延迟

### 步骤 5:与威胁情报关联
- 在 AbuseIPDB、VirusTotal 上查询原始 IP
- 在 WHOIS 上查询发送域名的注册时间
- 搜索已知的钓鱼基础设施特征

## 工具与资源
- **MXToolbox 头分析器**: https://mxtoolbox.com/EmailHeaders.aspx
- **Google Admin Toolbox**: https://toolbox.googleapps.com/apps/messageheader/
- **AbuseIPDB**: https://www.abuseipdb.com/
- **VirusTotal**: https://www.virustotal.com/
- **PhishTank**: https://phishtank.org/

## 验证标准
- 成功解析来自 3 个不同邮件提供商的头字段
- 正确识别身份验证通过/失败状态
- 准确追踪电子邮件路由路径
- 在样本钓鱼邮件中检测出至少 3 个钓鱼指标

Related Skills

testing-for-email-header-injection

9
from killvxk/cybersecurity-skills-zh

测试 Web 应用程序邮件功能中的 SMTP 头部注入漏洞,这些漏洞允许攻击者注入额外的邮件头部、修改收件人,并通过联系表单实施垃圾邮件中继。

performing-red-team-phishing-with-gophish

9
from killvxk/cybersecurity-skills-zh

使用 Python gophish 库自动化 GoPhish 钓鱼模拟活动。创建含追踪像素的邮件模板、 配置 SMTP 发送配置文件、从 CSV 构建目标组、发起活动,并分析结果, 包括打开率、点击率和凭据提交统计数据,用于安全意识评估。

performing-phishing-simulation-with-gophish

9
from killvxk/cybersecurity-skills-zh

GoPhish 是一个开源钓鱼模拟框架,供安全团队开展授权的钓鱼意识培训活动,提供活动管理、邮件模板创建、着陆页克隆和综合报告功能。

performing-adversary-in-the-middle-phishing-detection

9
from killvxk/cybersecurity-skills-zh

检测和响应中间人(AiTM)钓鱼攻击,这类攻击使用 EvilProxy、Evilginx 和 Tycoon 2FA 等反向代理工具包绕过 MFA 并窃取会话令牌。

investigating-phishing-email-incident

9
from killvxk/cybersecurity-skills-zh

调查钓鱼(Phishing)邮件事件,从初始用户举报开始,经过邮件头分析、URL/附件引爆、 受影响用户识别和遏制行动,使用 Splunk、Microsoft Defender 和沙箱分析平台等 SOC 工具。 适用于收到的钓鱼邮件举报需要进行完整事件调查以确定范围和影响时。

implementing-soar-playbook-for-phishing

9
from killvxk/cybersecurity-skills-zh

使用 Splunk SOAR REST API 自动化网络钓鱼事件响应,包括创建容器、添加制品并触发剧本

implementing-proofpoint-email-security-gateway

9
from killvxk/cybersecurity-skills-zh

部署和配置 Proofpoint Email Protection 作为安全邮件网关,在邮件到达用户收件箱之前检测并拦截钓鱼、恶意软件、BEC 和垃圾邮件。

implementing-google-workspace-phishing-protection

9
from killvxk/cybersecurity-skills-zh

配置 Google Workspace 高级钓鱼和恶意软件保护设置,包括预投递扫描、附件保护、伪造检测和增强安全浏览(Enhanced Safe Browsing)。

implementing-email-security-with-dmarc-dkim-spf

9
from killvxk/cybersecurity-skills-zh

通过检查域名的 SPF、DKIM 和 DMARC DNS 记录,审计并验证电子邮件身份验证配置。 使用 dnspython 查询 TXT 记录,验证 SPF 语法和查询次数,核查 DKIM 选择器记录, 解析 DMARC 策略,识别可能导致电子邮件欺骗的错误配置。并生成修复建议。

implementing-email-sandboxing-with-proofpoint

9
from killvxk/cybersecurity-skills-zh

邮件沙箱在隔离环境中引爆可疑附件和 URL,以检测零日恶意软件和规避性钓鱼载荷。Proofpoint 定向攻击防护(TAP)是业界领先的解决方案,使用多阶段沙箱、URL 重写和预测分析。

implementing-dmarc-dkim-spf-email-security

9
from killvxk/cybersecurity-skills-zh

SPF、DKIM 和 DMARC 是邮件认证的三大支柱,共同防止域名伪造、验证消息完整性并定义处理未认证邮件的策略。正确实施可显著减少冒充组织域名的钓鱼攻击。

implementing-anti-phishing-training-program

9
from killvxk/cybersecurity-skills-zh

安全意识培训是网络钓鱼防御的人员层面。有效的反钓鱼培训计划将定期模拟测试、互动学习模块、指标追踪和正向激励相结合,构建具有安全意识的企业文化。