====================================================
GUIDE ANALYSE HEADERS EMAIL — Lab NexaCore M1
====================================================

DEUX EMAILS FOURNIS :
  email_legitime.eml  → Email interne légitime (contient fragment #4)
  email_spoofed.eml   → Email usurpant l'identité NexaCore

====================================================
MISSION : Trouver le fragment #4 du flag CTF
====================================================

ÉTAPE 1 — Télécharger les emails
  wget https://smtp.mohamed-formation.com/email_legitime.eml
  wget https://smtp.mohamed-formation.com/email_spoofed.eml

ÉTAPE 2 — Chercher le header non-standard dans l'email légitime
  cat email_legitime.eml | grep "X-"
  → Trouver X-NexaCore-Token

ÉTAPE 3 — Comparer l'authentification des deux emails
  grep "Authentication-Results" -A 4 email_legitime.eml
  grep "Authentication-Results" -A 4 email_spoofed.eml

ÉTAPE 4 — Analyser en ligne
  https://mxtoolbox.com/EmailHeaders.aspx
  → Coller le contenu brut de email_spoofed.eml

====================================================
INDICES DANS email_spoofed.eml
====================================================

1. DOMAINE SUSPECT : .com au lieu de .fr → typosquatting
2. SPF SOFTFAIL    : IP 149.72.44.15 non autorisée
3. DKIM ABSENT     : dkim=none
4. DMARC FAIL      : dmarc=fail MAIS p=none = pas de blocage !
5. IP SUSPECTE     : dig -x 149.72.44.15 → SendGrid

====================================================
MAPPING ATT&CK
====================================================
  T1566.001 — Spearphishing Link
  T1583.001 — Acquire Infrastructure: Domains
  T1598.003 — Phishing for Information