| FOTO | AUTO | EDV | AUDIO |

E-Mail OSINT Scanner (email_recon.py)

Version: 3.1 | Pfad: /home/andre/Claude/Hacking/email_recon/email_recon.py
Profil: Ethical Hacker | Voraussetzung: Nur auf autorisierten Zielen verwenden

Überblick

email_recon.py ist ein vollautomatisches OSINT-Tool zur Analyse von E-Mail-Adressen. Es aggregiert Daten aus mehreren Quellen parallel und erstellt wahlweise einen JSON-, HTML- oder PDF-Report mit optionaler Claude-KI-Analyse.

Module

Modul Quelle Kosten Beschreibung
DNS dnspython kostenlos MX, SPF, DMARC, A-Records
SMTP direkt kostenlos Postfach-Existenz, Catch-All-Erkennung
EmailRep emailrep.io kostenlos (1000/Tag) Reputation, Blacklist, Breach-Flag
Gravatar gravatar.com kostenlos Avatar, Profilname, verknüpfte URLs
Holehe 200+ Plattformen kostenlos Account-Existenz auf Plattformen
Sherlock username-OSINT kostenlos Profile über abgeleiteten Usernamen
HIBP haveibeenpwned.com API-Key Datenlecks (kostenpflichtiger Key)
IntelX intelligence-x.io API-Key Darknet/Paste-Suche (kostenpflichtiger Key)
Google Dorks Links kostenlos Vorbereitete Suchanfragen

Installation

Abhängigkeiten

cd /home/andre/Claude/Hacking/email_recon
pip3 install -r requirements.txt
 
# Systemtools (einmalig)
sudo apt install tor torsocks

requirements.txt

dnspython>=2.4.0
requests>=2.31.0
PySocks>=1.7.1
holehe>=1.6.0
sherlock-project>=0.19.0

Verwendung

Einzelne Adresse

python3 /home/andre/Claude/Hacking/email_recon/email_recon.py \
    -e ziel@example.com

Mehrere Adressen

python3 email_recon.py -e user1@example.com user2@example.com user3@example.com

Adressliste aus Datei

# adressen.txt: eine Adresse pro Zeile
python3 email_recon.py -f adressen.txt

Vollständiger Scan mit allen Reports

python3 email_recon.py \
    -e ziel@example.com \
    --tor \
    -o report.json \
    --html report.html \
    --pdf report.pdf

Alle Parameter

Parameter Beschreibung
-e EMAIL [EMAIL …] Eine oder mehrere E-Mail-Adressen
-f FILE Textdatei (eine Adresse pro Zeile)
--tor Tor erzwingen (kein Prompt)
--no-tor Ohne Tor, kein Prompt
--hibp-key KEY HaveIBeenPwned v3 API-Key
--intelx-key KEY Intelligence-X API-Key
--no-smtp SMTP-Modul überspringen
--no-hibp HIBP-Modul überspringen
--no-holehe Holehe überspringen
--no-sherlock Sherlock überspringen
-o FILE JSON-Report speichern
--html [FILE] HTML-Report (Standard: report.html)
--pdf [FILE] PDF-Report mit KI-Analyse
--no-claude Nur regelbasierte PDF-Analyse (ohne KI)

Tor-Verhalten

Das Script erkennt automatisch ob Tor bereits läuft:

  • Tor läuft bereits → wird still genutzt, kein Prompt
  • Tor läuft nicht + kein Flag → interaktive Abfrage
  • --tor → Tor erzwingen, bei Bedarf starten
  • --no-tor → Direktverbindung, kein Prompt

SMTP läuft immer direkt (smtplib unterstützt kein SOCKS5).
Holehe und Sherlock laufen über torsocks wenn verfügbar.

Output

JSON

Maschinenlesbar, vollständige Rohdaten aller Module. Wird von to_maltego.py eingelesen. 

{
  "email": "...",
  "timestamp": "...",
  "via_tor": true,
  "modules": {
    "dns": { "mx": [...], "spf": "...", "dmarc": "...", "a_records": [...] },
    "smtp": { "exists": null, "catch_all": false, ... },
    "holehe": { "found": ["Platform1", ...] },
    "sherlock": { "username": "...", "found": [{"platform": "...", "url": "..."}] },
    ...
  }
}

PDF-Report

Der PDF-Report enthält:

  1. Zusammenfassung aller Findings
  2. Claude-KI-Analyse (Risikobewertung 0–100, Angriffsvektoren, Empfehlungen)
  3. Fallback: regelbasierte Analyse wenn Claude nicht verfügbar

Start aus Claude heraus

Der größte Vorteil: Claude startet den Scan, liest den Output direkt und kann die Ergebnisse sofort im Kontext analysieren – ohne manuelles Copy-Paste.

Empfohlener Workflow

In Claude Code einfach eingeben: 

Starte einen vollständigen E-Mail-OSINT-Scan mit Tor für ziel@example.com
und erstelle einen PDF-Report.

Claude führt dann aus: 

python3 /home/andre/Claude/Hacking/email_recon/email_recon.py \
    -e ziel@example.com \
    --tor \
    -o /home/andre/Claude/Hacking/email_recon/ziel_osint.json \
    --pdf /home/andre/Claude/Hacking/email_recon/ziel_osint.pdf

Danach kann Claude direkt gefragt werden:

  • „Welche Plattformen wurden gefunden? Welche sind sicherheitsrelevant?“
  • „Gibt es Hinweise auf Credential-Leaks? Wie hoch ist das Risiko?“
  • „Leite mögliche Angriffsvektoren aus den Sherlock-Findings ab.“
  • „Erstelle eine Zusammenfassung für einen Penetrationstest-Bericht.“
  • „Exportiere die Ergebnisse für Maltego.“

Claude liest den JSON-Output und antwortet mit konkreter Analyse – kein manuelles Kopieren der Ergebnisse nötig.

Maltego-Export

Nach dem Scan direkt in Claude: 

Exportiere den Scan-Report für Maltego.

Oder manuell: 

python3 /home/andre/Claude/Hacking/tools/to_maltego.py \
    --email-json /home/andre/Claude/Hacking/email_recon/ziel_osint.json \
    -o /home/andre/Claude/Hacking/tools/ziel_maltego.csv

Anschließend in Maltego: Import → Import Entities from Table → CSV auswählen

Beispiel-Ausgabe

╔══════════════════════════════════════════════════════╗
║       E-Mail OSINT Recon Tool  v3.0                  ║
║       DNS · SMTP · EmailRep · Gravatar · Holehe       ║
║       Sherlock · HIBP · Dorks · IntelX                ║
╚══════════════════════════════════════════════════════╝ [TOR]

┌─ DNS / Mail-Infrastruktur ────────────────────────┐
  [+] MX-Records:
        [ 10]  mail3.bgv.de
        [ 20]  mail4.bgv.de
  [+] SPF:   v=spf1 ip4:212.86.205.249 ...
  [+] DMARC: v=DMARC1;p=none;...

┌─ Sherlock – Username: andre.reichert-creutz ──┐
  [+] 13 Profil(e) gefunden:
      ● BoardGameGeek   https://boardgamegeek.com/user/...
      ● BugCrowd        https://bugcrowd.com/...
      ● YouTube         https://www.youtube.com/@...

Dateipfade

Datei Beschreibung
email_recon.py Hauptscript
requirements.txt Python-Abhängigkeiten
*.json JSON-Reports (Rohdaten)
*.html HTML-Reports (Standalone, kein Internet nötig)
*.pdf PDF-Reports mit KI-Analyse

Hinweise

  • emailrep.io: 1000 Anfragen/Tag im Free-Tier – bei großen Listen API-Key besorgen
  • HIBP benötigt kostenpflichtigen API-Key (ca. 3,50 USD/Monat)
  • Holehe und Sherlock können bei manchen Plattformen False Positives liefern
  • SMTP-Verifikation wird von vielen Mailservern geblockt (Port 25 + 587)
  • Alle Aktivitäten nur auf autorisierten Zielen durchführen