|iXC 8dZddlZddlZddlZddlZddlmZmZmZm Z m Z dZ dddddddddZ ej d Zd ed efd Zd ed e efd Zd efdZd)dedededed eeeff dZd eded eeeeffdZdeded efdZd ed efdZd ed efdZd*d eded efdZd ed efdZd ed efdZd ed efd Zd ed!eed efd"Zd ed efd#Zd*d ed$ed eeeffd%Z d eeeffd&Z!d'eeefd eee eefffd(Z"dS)+u[ Service d'analyse DNS sécurisé. Vérifie SPF, DKIM, DMARC, DNSSEC, MTA-STS, DANE, BIMI. N)DictTupleListOptionalUniond MX (Mail Base)zSPF (Security)DKIMDMARCDNSSECzMTA-STSzDANE TLSBIMIz;^(?=.{1,253}$)(?!-)(?:[A-Za-z0-9-]{1,63}\.)+[A-Za-z]{2,63}$domainreturncbrttsdSt dkst dkrdSgd}t fd|DrdSt tS)up Valide strictement un nom de domaine. CRITIQUE : Empêche l'injection de commandes via subprocess. F;&|$`(){}[]<>!\"'   c3 K|]}|vV dSN).0charrs 7/var/www/html/MCyber-Diagnostic/services/dns_service.py z"is_valid_domain..:' 0 0d46> 0 0 0 0 0 0) isinstancestrstriplowerlenanybool DOMAIN_REGEXmatch)r forbiddens` r1is_valid_domainr?*s FC00u \\^^ ! ! # #F 6{{SCKK!OOuxwwI 0 0 0 0i 0 0 000u  ""6** + ++r4c|sdS|}tjdd|}|dd}|dr |dd}t |r|SdS)z8Nettoie et valide un domaine. Retourne None si invalide.Nz ^https?:///rzwww.r)r7r8resubsplit startswithr?)rs r1sanitize_domainrG@s t \\^^ ! ! # #FVM2v . .F\\#  q !F  v 4r4c@tjdS)u.Vérifie si 'dig' est disponible dans le PATH. /usr/bin/dig)ospathexistsr.r4r1 dig_availablerMZs 7>>. ) ))r4@8.8.8.8target record_typeservertimeoutcrttsdSt dkst dkrdSgd}t fd|DrdSgd}||vrd d |fSd ||d g} tj|d d |d}|j }|j } |j dkr|sd d|j d| fS|d fS#t$rYdStj $rYdSt$r} d dt| fcYd} ~ Sd} ~ wwxYw)u< Exécute une commande dig de manière sécurisée. )rAzERROR: Cible invalide.)rAz!ERROR: Cible invalide (longueur).rc3 K|]}|vV dSr-r.)r/r0rPs r1r2zrun_dig..nr3r4)rAu0ERROR: Caractères non autorisés dans la cible.) MXTXTDNSKEYTLSAAAAAANSSOACNAMErAu,ERROR: Type d'enregistrement non autorisé: rIz+shortTF)capture_outputtextrSshellrzDig failed (code z): )rAz4ERROR: L'outil 'dig' est introuvable sur le serveur.)rAu+ERROR: Timeout lors de l'exécution de dig.zERROR: Exception dig: N)r5r6r7r8r9r:upper subprocessrunstdoutstderr returncodeFileNotFoundErrorTimeoutExpired Exception) rPrQrRrSr> allowed_typescommandresultrgrhes ` r1run_digrq^s ,FC00,++ \\^^ ! ! # #F 6{{SCKK!OO66xwwI 0 0 0 0i 0 0 000FEEWVVM-//O+OOOO{FFHEG5     $$&&$$&&   ! !& !I6+<IIIII Irz JJJIII  $AAA@@@ 5554CFF4444444445s13A&DD E#+E#< E#EE#E#ct||\}}|r d|vrd|dfSt|od|v}|rdnd}|||r|ndfS)u)Vérifie si un enregistrement DNS existe. introuvableFN/ANXDOMAINuEnregistrement trouvé.uEnregistrement non trouvé.)rqr;)rrQoutputerrorrLdetails r1check_record_existsrysrFK00MFE #%''eU"" &5Zv5 6 6F*0 S & &6SF 6V666 66r4contentcp|r|dkr|S|dvr|}|r|dn|}|}t|dkr3|d}t|dkr|ddd |d dd Sd S|d krt jd|}|rh|ddd}t|dkr|ddd |d ddS|S|S|S)u3Masque les clés cryptographiques pour l'affichage.rt)rZr[rNr z...iu [MASQUÉ]u[Clé masquée]rz p=([^;"]+)r'rAu [MASQUÉE]) splitlinesr7rEr9rCsearchgroupreplace)rzrQlines first_linepartskey_partmkeys r1mask_record_contentrsV g&&(((""$$).CU1X^^%%%GMMOO   "" u::??RyH8}}r!!"3B3-FFHSTTNFFFF  f ImW - -  ''!**""$$,,S"55C3xx"}}crc(==s344y====J Nr4ct|d\}}d}g}d}|rd|vrd|D}|D]N}|}|r6|dd} | rd| vr|| Ot |dkrd }d t |d }nt |d krd }d}nd}|rd|nd} |dk||| |dS)u/Vérifie les enregistrements MX. MAX: 5 points.rXru Aucun enregistrement MX trouvé.ruc^g|]*}||+Sr.)r7r/ls r1 z#check_mx_record..s-EEEq17799EEEEr4r}.r|r u Plusieurs serveurs MX trouvés (z). Redondance OK.rrVu.Un seul serveur MX trouvé. Redondance faible.zFormat MX non reconnu.r)rt)statusrxscorerzmx_hosts)rqrrErstripappendr9join) rrvrwrrrxrlinerhostnamerzs r1check_mx_recordrsBFD))MFE EH /F .*F**EEF$5$5$7$7EEE . .DJJLLE . 9++C00.xOOH--- x==A  EXH XXXFF ]]a  EEFF-F%-8dii!!!5G!)   r4c>t|d\}}}d}d}|rwd|D}|rT|d}tjd|}|r0|d}|dkrd}d }n|d krd }d }nd }d}n d}d}nd}nd}|dk|||dS)u.Vérifie l'enregistrement SPF. MAX: 25 points.rYrtrcg|]@}d|v|ddAS)zv=spf1r'rA)r8r7rrs r1rz$check_spf_record..sGcccXYZY`Y`YbYbMbMb""3++MbMbMbr4z ([-\~\?])allr-r u/SPF strict (-all) trouvé. Protection maximale.~ru/SPF soft-fail (~all) trouvé. Bonne protection.u)SPF avec ?all trouvé. Protection faible.r u(SPF trouvé mais sans mécanisme de fin.u*Aucun enregistrement SPF (v=spf1) trouvé.u!Aucun enregistrement TXT trouvé.rrxrrz)ryrrCrr) rrLrxrz spf_recordrrrkinds r1check_spf_recordrs1&%@@FFGJ E 5ccW5G5G5I5Iccc  BqJ /:66A Dwwqzz3;;ENFFS[[ENFFEHFFCAFF4ai6Ej Y YYr4defaultselectorc|r|nd}tjd|sdddddS|d|}t|d \}}d}d |d }d}|rd |vr|d ddd}d|vrd|d}d}t |d}n7d|vrd|d}d}t |d}nd|d}d}|dk|||dS)u/Vérifie l'enregistrement DKIM. MAX: 10 points.rz^[a-zA-Z0-9_-]+$FuSélecteur DKIM invalide.rrtrz ._domainkey.rYuAucun DKIM trouvé pour rrur)r+r'rAzv=dkim1u!DKIM trouvé pour le sélecteur 'z'.r rzp=uClé DKIM trouvée pour 'z' (tag v= manquant).rOuTXT trouvé pour z mais format DKIM non reconnu.r|)r7rCr=rqrr8r) rr dkim_domainrvrwrrxcontent_displayraws r1check_dkim_recordrsm#+:x~~H 8' 2 2 1    33633KK//MFE E 6 6 6 6FO *F**nnT3''//R88>>@@  # #EEEEFE1#v>>OO SYY[[ OOOOFE1#v>>OOTTTTFEqjFU _ __r4c"d|}t|d\}}d}d}d}|rd|vr|ddd d }d |vr|}t jd |tj }|rc|d} | dkrd}d}n&| dkrd}d}n| dkrd}d}nd}d| d}nd}d}nd}|dk|||dS)u0Vérifie l'enregistrement DMARC. MAX: 25 points.z_dmarc.rYrtru#Aucun enregistrement DMARC trouvé.rur)r+r'rAzv=dmarc1zp\s*=\s*([a-zA-Z]+))flagsrrejectr u*DMARC reject trouvé. Protection maximale. quarantineru,DMARC quarantine trouvé. Protection active.noner u6DMARC none (monitoring). Non protecteur mais présent.r|z!DMARC avec politique inconnue: p=ru,DMARC trouvé mais politique (p=) manquante.u%TXT trouvé mais pas de tag v=DMARC1.r)rqrr7r8rCr IGNORECASEr) r dmarc_domainrvrw dmarc_recordrrxrm_policypolicys r1check_dmarc_recordr+s\%V%%LL%00MFEL E 2F =*F**nnT3''//R88>>@@  $ $Ly!7BMRRRH H!**002288::X%%EIFF|++EKFFv%%EUFFEJJJJFFGVFai6Eg V VVr4rcg}d|}t|d\}}|r1d|vr-|r|d|d|ddD]}|rt|ts|d}|rt|d krid |}t|d\}}|r1d|vr-|r|d |dt|} | rd nd } | rdd |dnd} |rd |nd} | | | | dS)u"Vérifie DANE TLS. MAX: 10 points.z _443._tcp.r[ruzHTTPS (rNr rrVz _25._tcp.zSMTP (r ruDANE TLSA détecté (z, z).uDANE TLSA non détecté.r)rtr) rqr7rr5r6r8rr9r;r) rr tlsa_records https_target output_https_host smtp_target output_smtprLrrxrzs r1check_dane_tlsrgsL)((LlF33OL!1 ,66<;M;M;O;O6/f///000! 2 2 :dC00  zz||!!##**3// s4yy1}} ($((  f55 Q  2:[88[=N=N=P=P8    0 0 0 0 1 1 1 ,  F BBaEDJ j @TYY|%<%< @ @ @ @PjF)5@dii %%%5G7 S SSr4crd|}t|d\}}}d}|r d|vrd}d}n|rd}nd}|dk|||d S) uVérifie BIMI. MAX: 5 points.zdefault._bimi.rYrzv=BIMI1r uBIMI (v=BIMI1) trouvé.u$TXT trouvé mais pas de tag v=BIMI1.uBIMI non trouvé.rr)r bimi_domainrLrxrzrs r1check_bimi_recordrsr+6++K1+uEEFFG E %)w&&* %7$ai6Eg V VVr4 dkim_selectorc t|}|s ddddddiSts ddddddiSt|}|dg}|t |t ||t |t|t|t||t|d }d|d vr |d d=|S) uu Analyse complète de la sécurité DNS d'un domaine. Retourne un dictionnaire avec tous les résultats. FATAL_ERRORFzNom de domaine invalide.rrtru1L'outil 'dig' n'est pas installé sur le serveur.rr r ) rGrMrgetrrrrrrr)rr clean_domain mx_resultrresultss r1check_all_dns_securityrs #6**L  4    ?? M    --I}}Z,,H$*<88!, >>#L11|,, .."<::!,//  GW-... $ %j 1 Nr4c4tS)u-Retourne la répartition des scores maximums.) PLAN_SCOREScopyr.r4r1get_max_score_breakdownrs     r4rcd}|D]'\}}|tvr||ddz }(tdt |t }|dkrd}n |dkrd}nd}|t |dS) zCalcule le score total sur 100.rrFgreen#orangered)r max_scorecolor)itemsrrmaxminMAX_SCORE_TOTAL)r current_scoreprotocoldata final_scorers r1calculate_total_scorersM!--//22$ { " " TXXgq11 1Ma]O<<==Kb r  $  r4)rNrO)r)#__doc__rerCshutilrJtypingrrrrrrrcompiler<r6r;r?rGrMintrqryrrrrrrrrrrrrr.r4r1rs  55555555555555       rz ,C,D,,,,,CHSM4*t****/5/5C/5c/53/5c/5Z_`ceh`hZi/5/5/5/5b 7 7# 7%c3:O 7 7 7 7 33@#C#D####JZSZTZZZZB$`$`c$`S$`$`$`$`$`L(\s(\t(\(\(\(\TTTTTTTW#W$WWWWT3T$s)TTTTTBWcWdWWWW(//3/s/4PSUYPY?////bc3h4T ?tCsCx