Phenquestions
E-Mail-Architektur:
Wenn ein Benutzer eine E-Mail sendet, geht die E-Mail beim Empfänger nicht direkt an den Mailserver; vielmehr durchläuft es verschiedene Mailserver.
MUA ist das clientseitige Programm, das zum Lesen und Verfassen von E-Mails verwendet wird. Es gibt verschiedene MUAs wie Gmail, Outlook usw. Immer wenn MUA eine Nachricht sendet, geht sie an MTA, der die Nachricht decodiert und den Ort identifiziert, an dem sie gesendet werden soll, indem sie Header-Informationen liest und ihren Header modifiziert, indem sie Daten hinzufügt, und sie dann an MTA am empfangenden Ende weiterleitet. Der letzte MTA, der kurz vor dem MUA vorhanden ist, decodiert die Nachricht und sendet sie an die MUA auf der Empfangsseite. Deshalb finden wir im E-Mail-Header Informationen zu mehreren Servern.
E-Mail-Header-Analyse:
E-Mail-Forensik beginnt mit dem Studium der E-Mail Header da es eine große Menge an Informationen über die E-Mail-Nachricht enthält. Diese Analyse besteht sowohl aus der Untersuchung des Inhaltskörpers als auch des E-Mail-Headers, der die Informationen über die angegebene E-Mail enthält. Die E-Mail-Header-Analyse hilft bei der Identifizierung der meisten E-Mail-Verbrechen wie Spear-Phishing, Spamming, E-Mail-Spoofing usw. Spoofing ist eine Technik, mit der man vorgeben kann, jemand anderes zu sein, und ein normaler Benutzer würde für einen Moment denken, dass es sein Freund oder eine Person ist, die er bereits kennt. Es ist nur so, dass jemand E-Mails von der gefälschten E-Mail-Adresse seines Freundes sendet, und es ist nicht so, dass sein Konto gehackt wurde.
Durch die Analyse der E-Mail-Header kann man feststellen, ob die E-Mail, die er erhalten hat, von einer gefälschten oder einer echten E-Mail-Adresse stammt real. So sieht ein E-Mail-Header aus:
Geliefert an: [email protected]Erhalten: bis 2002:a0c:f2c8:0:0:0:0:0 mit SMTP-ID c8csp401046qvm;
Mi, 29. Juli 2020 05:51:21 -0700 (PDT)
X-Empfangen: bis 2002:a92:5e1d:: mit SMTP-ID s29mr19048560ilb.245.1596027080539;
Mi, 29. Juli 2020 05:51:20 -0700 (PDT)
ARC-Siegel: i=1; a=rsa-sha256; t=1596027080; Lebenslauf = keiner;
d=google.com; s=Bogen-20160816;
b=Um/is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i/vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR/HBQoZf6LOqlnTXJskXc58F+ik
4nuVw0zsWxWbnVI2mhHzra//g4L0p2/eAxXuQyJPdso/ObwQHJr6G0wUZ+CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL/sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT+DQY+ukoXRFQIWDNEfkB5l18GcSKurxn5/K8cPI/KdJNxCKVhTALdFW
Or2Q==
ARC-Nachrichten-Signatur: i=1; a=rsa-sha256; c = entspannt/entspannt; d=google.com; s=Bogen-20160816;
h=an:Betreff:Nachrichten-ID:Datum:Von:Mime-Version:dkim-Signatur;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=xs6WIoK/swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V+cMAi
DbkrMBVVxQTdw7+QWU0CMUimS1+8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO/+I
wbM+t6yT5kPC7iwg6k2IqPMb2+BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP//SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc/rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg==
ARC-Authentifizierungs-Ergebnisse: i=1; mx.Google.com;
dkim=[email protected] Header übergeben.s=20161025 Überschrift.b=JygmyFja;
spf=pass (google.com: Domain von [email protected] bezeichnet 209.85.22000 wie
zulässiger Absender) [email protected];
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) Header.von=gmail.com
Der Weg zurück: <[email protected]>
Erhalten: von mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])
von mx.Google.com mit SMTPS-ID n84sor2004452iod.19.2020.07.29.00.00.00
zum <[email protected]>
(Google-Transportsicherheit);
Mi, 29. Juli 2020 05:51:20 -0700 (PDT)
Empfangener SPF: bestanden (google.com: Domain von [email protected] bezeichnet 209.85.000.00
als zulässiger Absender) client-ip=209.85.000.00;
Authentifizierungs-Ergebnisse: mx.Google.com;
dkim=[email protected] Header übergeben.s=20161025 Überschrift.b=JygmyFja;
spf=pass (google.com: Domain von [email protected] bezeichnet
209.85.000.00 als zulässiger Absender) [email protected];
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) Header.von=gmail.com
DKIM-Signatur: v=1; a=rsa-sha256; c = entspannt/entspannt;
d=gmail.com; s=20161025;
h=Mime-Version:von:Datum:Nachrichten-ID:Betreff:bis;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z/Oq0FdD3l+RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq+SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb+wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK+j+qgAMuGh7EScau+u6yjEAyZwoW/2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ==
X-Google-DKIM-Signatur: v=1; a=rsa-sha256; c = entspannt/entspannt;
d=1e100.Netz; s=20161025;
h=x-gm-message-state:mime-version:from:date:message-id:subject:to;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=Rqvb//v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI+wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g/v3XucAS/tgCzLTxUK8EpI0GdIqJj9lNZfCOEm+Bw/vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia+vEclI5vWdSArvPuwEq8objLX9ebN/aP0Ltq
FFIQ==
X-Gm-Message-State: AOAM532qePHWPL9up8ne/4rUXfRYiFKwq94KpVN551D9vW38aW/6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig==
X-Google-Smtp-Quelle: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai+UwJI00yVSjv05o/
N+ggdCRV4JKyZ+8/abtKcqVASW6sKDxG4l3SnGQ=
X-Empfangen: bis 2002:a05:0000:0b:: mit SMTP-ID v11mr21571925jao.122.1596027079698;
Mi, 29. Juli 2020 05:51:19 -0700 (PDT)
MIME-Version: 1.0
Von: Marcus Stoinis <[email protected]>
Datum: Mi., 29. Juli 2020 17:51:03 +0500
Nachrichten ID: <[email protected]om>
Gegenstand:
An: [E-Mail geschützt]
Inhaltstyp: mehrteilig/alternativ; Grenze="00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Inhaltstyp: Text/einfach; Zeichensatz = "UTF-8"
Um die Kopfzeileninformationen zu verstehen, muss man die strukturierten Felder in der Tabelle verstehen.
X-anscheinend zu: Dieses Feld ist nützlich, wenn die E-Mail an mehr als einen Empfänger wie bcc oder eine Mailingliste gesendet wird. Dieses Feld enthält eine Adresse an ZU Feld, aber im Fall von bcc wird das X-Anscheinend zum Feld ist anders. Dieses Feld gibt also die Adresse des Empfängers an, obwohl die E-Mail entweder als cc, bcc oder von einer Mailingliste gesendet wird.
Der Weg zurück: Das Feld Return-path enthält die E-Mail-Adresse, die der Absender im Feld Von angegeben hat.
Erhaltener SPF: Dieses Feld enthält die Domäne, von der die E-Mails stammen. In diesem Fall ist es
Empfangener SPF: bestanden (google.com: Domain von [email protected] bezeichnet 209.85.000.00 als zulässiger Absender) client-ip=209.85.000.00;
X-Spam-Verhältnis: Es gibt eine Spam-Filter-Software auf dem empfangenden Server oder MUA, die den Spam-Score berechnet. Wenn der Spam-Score ein bestimmtes Limit überschreitet, wird die Nachricht automatisch in den Spam-Ordner gesendet. Mehrere MUAs verwenden unterschiedliche Feldnamen für Spam-Scores wie X-Spam-Verhältnis, X-Spam-Status, X-Spam-Flag, X-Spam-Level usw.
Empfangen: Dieses Feld enthält die IP-Adresse des letzten MTA-Servers auf der Sendeseite, der dann die E-Mail an den MTA auf der Empfangsseite sendet. An manchen Stellen ist dies unter zu sehen X-hervorgegangen zu Feld.
X-Sieb Header: Dieses Feld gibt den Namen und die Version des Nachrichtenfiltersystems an. Dies bezieht sich auf die Sprache, die verwendet wird, um Bedingungen zum Filtern der E-Mail-Nachrichten anzugeben.
X-Spam-Zeichensätze: Dieses Feld enthält die Informationen über Zeichensätze, die zum Filtern von E-Mails wie UTF usw. verwendet werden. UTF ist ein guter Zeichensatz, der mit ASCII abwärtskompatibel sein kann.
X-aufgelöst zu: Dieses Feld enthält die E-Mail-Adresse des Empfängers, oder wir sagen die Adresse des Mailservers, an den der MDA eines Absenders liefert delivers. Meistens, X-geliefert an, und dieses Feld enthält die gleiche Adresse.
Authentifizierungsergebnisse: Dieses Feld gibt an, ob die empfangene E-Mail von der angegebenen Domäne bestanden wurde DKIM Unterschriften und Domainschlüssel Unterschrift oder nicht. In diesem Fall geht es.
Authentifizierungs-Ergebnisse: mx.Google.com;dkim=[email protected] Header übergeben.s=20161025 Überschrift.b=JygmyFja;
spf=pass (google.com: Domain von [email protected] bezeichnet
209.85.000.00 als zulässiger Absender)
Empfangen: Das erste empfangene Feld enthält Trace-Informationen, da die IP des Geräts eine Nachricht sendet. Es zeigt den Namen des Geräts und seine IP-Adresse an. Das genaue Datum und die Uhrzeit, zu der die Nachricht eingegangen ist, können Sie in diesem Feld einsehen.
Erhalten: von mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])von mx.Google.com mit SMTPS-ID n84sor2004452iod.19.2020.07.29.00.00.00
zum <[email protected]>
(Google-Transportsicherheit);
Mi, 29. Juli 2020 05:51:20 -0700 (PDT)
An, von und Betreff: Die Felder „An“, „Von“ und „Betreff“ enthalten die Informationen über die E-Mail-Adresse des Empfängers, die E-Mail-Adresse des Absenders und den Betreff, der beim Versenden der E-Mail durch den Absender angegeben wurde. Das Betrefffeld ist leer, falls der Absender es so belässt.
MIME-Header: Zum MUA um eine ordnungsgemäße Dekodierung durchzuführen, damit die Nachricht sicher an den Client gesendet wird, MIME Übertragungscodierung, MIME Inhalt, Version und Länge sind ein wichtiges Thema.
MIME-Version: 1.0Inhaltstyp: Text/einfach; Zeichensatz = "UTF-8"
Inhaltstyp: mehrteilig/alternativ; Grenze="00000000000023294e05ab94032b"
Nachrichten ID: Message-ID enthält einen Domainnamen, an den die eindeutige Nummer vom sendenden Server angehängt wurde.
Nachrichten ID: <[email protected]om>Server-Untersuchung:
Bei dieser Art von Untersuchung werden Duplikate übermittelter Nachrichten und Mitarbeiterprotokolle untersucht, um die Quelle einer E-Mail zu erkennen. Selbst wenn die Kunden (Absender oder Begünstigte) ihre E-Mail-Nachrichten löschen, die nicht wiederhergestellt werden können, können diese Nachrichten in großen Teilen von Servern (Proxys oder Dienstanbietern) protokolliert werden. Diese Proxys speichern ein Duplikat aller Nachrichten nach ihrer Übermittlung. Darüber hinaus können die von den Mitarbeitern geführten Protokolle konzentriert werden, um den Standort des PCs zu verfolgen, der für den E-Mail-Austausch verantwortlich ist. In jedem Fall speichern Proxy oder ISP die Duplikate von E-Mail- und Serverprotokollen nur für einen bestimmten Zeitraum und einige kooperieren möglicherweise nicht mit forensischen Ermittlern. Darüber hinaus können SMTP-Mitarbeiter, die Informationen wie die Visa-Nummer und andere Informationen in Bezug auf den Besitzer des Postfachs speichern, verwendet werden, um Personen hinter einer E-Mail-Adresse zu unterscheiden.
Ködertaktik:
Bei einer Untersuchung dieser Art wird eine E-Mail mit http: “” Tag mit Bildquelle an einem von den Prüfern überprüften PC wird an den Absender der zu untersuchenden E-Mail gesendet, die echte (authentische) E-Mail-Adressen enthält. Zum Zeitpunkt des Öffnens der E-Mail wird auf dem HTTP-Server ein Log-Abschnitt mit der IP-Adresse des Empfängers (Absender des Täters) aufgezeichnet, der das Bild hostet und in diesem Sinne der Absender ist gefolgt. In jedem Fall, wenn die Person am empfangenden Ende einen Proxy verwendet, wird die IP-Adresse des Proxy-Servers ermittelt.
Der Proxy-Server enthält ein Protokoll, das weiter verwendet werden kann, um den Absender der zu untersuchenden E-Mail zu verfolgen. Für den Fall, dass selbst das Protokoll des Proxy-Servers aufgrund einer Erklärung nicht zugänglich ist, können die Prüfer an diesem Punkt die böse E-Mail senden mit Eingebetteter Java-Applet das auf dem Computersystem des Empfängers läuft oder ein HTML-Seite mit Active-X-Objekt ihre Wunschperson ausfindig machen.
Untersuchung von Netzwerkgeräten:
Netzwerkgeräte wie Firewalls, Reuters, Switches, Modems etc. enthalten Protokolle, die zum Verfolgen der Quelle einer E-Mail verwendet werden können. Bei dieser Art von Untersuchung werden diese Protokolle verwendet, um die Quelle einer E-Mail-Nachricht zu untersuchen. Dies ist eine sehr komplexe Art der forensischen Untersuchung und wird selten verwendet. Es wird oft verwendet, wenn die Protokolle des Proxy- oder ISP-Anbieters aus irgendeinem Grund nicht verfügbar sind, z. B. mangelnde Wartung, Faulheit oder mangelnde Unterstützung durch den ISP-Anbieter.
In Software eingebettete Kennungen:
Einige Daten über den Verfasser von E-Mail-verbundenen Datensätzen oder Archiven können von der E-Mail-Software, die der Absender zum Verfassen der E-Mail verwendet, in die Nachricht integriert werden. Diese Daten können für den Typ benutzerdefinierter Header oder als MIME-Inhalt im TNE-Format gespeichert werden. Das Durchsuchen der E-Mail nach diesen Feinheiten kann einige wichtige Daten über die E-Mail-Präferenzen und -Auswahlmöglichkeiten des Absenders aufdecken, die die clientseitige Beweiserhebung unterstützen könnten. Die Untersuchung kann PST-Dokumentnamen, MAC-Adressen usw. des Kunden-PCs aufdecken, der zum Senden von E-Mail-Nachrichten verwendet wird.
Anhangsanalyse :
Unter den Viren und Malware werden die meisten über E-Mail-Verbindungen gesendet. Die Prüfung von E-Mail-Anhängen ist bei jeder E-Mail-bezogenen Prüfung dringend und entscheidend. Der Verlust privater Daten ist ein weiteres wichtiges Untersuchungsgebiet. Es gibt Software und Tools, mit denen E-Mail-bezogene Informationen wiederhergestellt werden können, z. B. Anhänge von Festplatten eines Computersystems. Zur Prüfung dubioser Zusammenhänge laden die Ermittler die Anhänge in eine Online-Sandbox, beispielsweise VirusTotal, um zu prüfen, ob es sich bei dem Dokument um eine Schadsoftware handelt oder nicht. Wie dem auch sei, es ist wichtig, ganz oben auf der Prioritätenliste zu stehen, dass unabhängig davon, ob ein Datensatz eine Bewertung durchläuft, beispielsweise die von VirusTotal, dies keine Garantie dafür ist, dass er vollständig geschützt ist. In diesem Fall ist es ratsam, den Datensatz in einer Sandbox-Situation weiter zu recherchieren, zum Beispiel Cuckoo.
Fingerabdrücke des Absenders:
Bei der Untersuchung Empfangen Feld in den Kopfzeilen kann die Software identifiziert werden, die sich serverseitig um E-Mails kümmert. Auf der anderen Seite, bei der Untersuchung der X-Mailer Feld kann die Software identifiziert werden, die sich auf Client-Seite um E-Mails kümmert. Diese Header-Felder stellen Software und deren Versionen dar, die auf Kundenseite zum Senden der E-Mail verwendet werden. Diese Daten über den Client-PC des Absenders können verwendet werden, um Prüfern bei der Formulierung einer leistungsstarken Strategie zu helfen, und somit sind diese Zeilen sehr wertvoll.
E-Mail-Forensik-Tools:
In den letzten zehn Jahren wurden einige Tools oder Software zur Ermittlung von E-Mail-Tatorten entwickelt. Aber die meisten Tools wurden isoliert erstellt. Außerdem sollen die meisten dieser Tools kein bestimmtes Problem im Zusammenhang mit digitalem oder PC-Fehlverhalten lösen. Stattdessen sollen sie nach Daten suchen oder diese wiederherstellen. Die forensischen Tools wurden verbessert, um die Arbeit des Ermittlers zu erleichtern, und im Internet sind zahlreiche großartige Tools verfügbar. Einige Tools, die für die E-Mail-Forensik-Analyse verwendet werden, sind wie folgt:
EmailTrackerPro :
EmailTrackerPro untersucht die Kopfzeilen einer E-Mail-Nachricht, um die IP-Adresse des Geräts zu erkennen, das die Nachricht gesendet hat, damit der Absender gefunden werden kann. Es kann verschiedene Nachrichten gleichzeitig verfolgen und effektiv überwachen monitor. Der Standort von IP-Adressen ist ein Schlüsseldaten für die Beurteilung der Gefahrenstufe oder Legitimität einer E-Mail-Nachricht. Dieses großartige Tool kann sich an die Stadt halten, aus der die E-Mail aller Wahrscheinlichkeit nach stammt. Es erkennt den ISP des Absenders und gibt Kontaktdaten zur weiteren Prüfung. Der echte Weg zur IP-Adresse des Absenders wird in einer Lenkungstabelle berücksichtigt, die zusätzliche Gebietsdaten liefert, die bei der Bestimmung des tatsächlichen Gebiets des Absenders helfen. Das darin enthaltene Element der Missbrauchsmeldung kann sehr gut genutzt werden, um die weitere Prüfung zu vereinfachen. Um sich vor Spam-E-Mails zu schützen, prüft und verifiziert es E-Mails gegen die Spam-Blacklists, zum Beispiel Spamcops. Es unterstützt verschiedene Sprachen, darunter Spamfilter für Japanisch, Russisch und Chinesisch sowie Englisch. Ein wesentliches Element dieses Tools ist die Aufdeckung von Missbrauch, die eine Meldung erstellen kann, die an den Service Provider (ISP) des Absenders gesendet werden kann. Der ISP kann dann einen Weg finden, Kontoinhaber zu finden und Spam zu stoppen.
Xtraxtor :
Dieses großartige Tool Xtraxtor wurde entwickelt, um E-Mail-Adressen, Telefonnummern und Nachrichten aus verschiedenen Dateiformaten zu trennen. Es unterscheidet natürlich den Standardbereich und recherchiert schnell die E-Mail-Informationen für Sie. Kunden können dies ohne großen Aufwand tun, um E-Mail-Adressen aus Nachrichten und sogar aus Dateianhängen zu extrahieren. Xtraxtor stellt gelöschte und nicht bereinigte Nachrichten aus zahlreichen Mailbox-Konfigurationen und IMAP-E-Mail-Konten wieder her. Darüber hinaus verfügt es über eine einfach zu erlernende Benutzeroberfläche und eine gute Assistenzfunktion, um die Benutzeraktivität zu vereinfachen, und spart eine Menge Zeit mit seinen schnellen E-Mail-, Vorbereitungs- und De-Dubing-Funktionen. Xtraxtor ist mit Macs MBOX-Dateien und Linux-Systemen kompatibel und kann leistungsstarke Funktionen bieten, um relevante Informationen zu finden.
Advik (E-Mail-Backup-Tool):
Advik, E-Mail-Backup-Tool, ist ein sehr gutes Tool, das verwendet wird, um alle E-Mails aus dem Postfach zu übertragen oder zu exportieren, einschließlich aller Ordner wie Gesendet, Entwürfe, Posteingang, Spam usw. Der Benutzer kann das Backup eines beliebigen E-Mail-Kontos ohne großen Aufwand herunterladen. Das Konvertieren von E-Mail-Backups in verschiedene Dateiformate ist eine weitere großartige Funktion dieses großartigen Tools. Sein Hauptmerkmal ist Erweiterter Filter. Diese Option kann enorm viel Zeit sparen, indem sie die Nachrichten, die wir brauchen, in kürzester Zeit aus der Mailbox exportiert. IMAP Funktion bietet die Möglichkeit, E-Mails aus Cloud-basierten Speichern abzurufen und kann mit allen E-Mail-Dienstanbietern verwendet werden. Advik kann zum Speichern von Backups unseres gewünschten Standorts verwendet werden und unterstützt neben Englisch mehrere Sprachen, darunter Japanisch, Spanisch und Französisch.
Systools MailXaminer:
Mit Hilfe dieses Tools kann ein Client seine Jagdkanäle je nach Situation ändern. Es bietet Clients eine Alternative, um Nachrichten und Verbindungen zu durchsuchen. Darüber hinaus bietet dieses forensische E-Mail-Tool zusätzlich eine Rundum-Hilfe zur wissenschaftlichen E-Mail-Untersuchung sowohl des Arbeitsbereichs als auch der elektronischen E-Mail-Verwaltung. Es ermöglicht den Prüfern, mehr als einen einzelnen Fall durch und durch auf legitime Weise zu behandeln. Ebenso können Spezialisten mit Hilfe dieses E-Mail-Analysetools sogar die Details des Chats anzeigen, eine Anrufprüfung durchführen und Nachrichtendetails zwischen verschiedenen Clients der Skype-Anwendung anzeigen. Die Hauptmerkmale dieser Software sind, dass sie neben Englisch mehrere Sprachen unterstützt, einschließlich Japanisch, Spanisch, Französisch und Chinesisch, und das Format, in dem gelöschte E-Mails wiederhergestellt werden, ist gerichtlich akzeptabel. Es bietet eine Protokollverwaltungsansicht, in der eine gute Übersicht über alle Aktivitäten angezeigt wird. Systools MailXaminer ist kompatibel mit dd, e01, zip und viele andere Formate.
Beschweren :
Es gibt ein Tool namens Beschweren das zum Melden von kommerziellen E-Mails und Botnet-Postings und auch für Anzeigen wie „schnelles Geld verdienen“, „schnelles Geld“ usw. verwendet wird. Adcomplain selbst führt eine Header-Analyse des E-Mail-Absenders durch, nachdem diese E-Mail identifiziert wurde, und meldet sie an den ISP des Absenders.
Fazit :
Email wird von fast jeder Person verwendet, die Internetdienste auf der ganzen Welt nutzt. Betrüger und Cyberkriminelle können E-Mail-Header fälschen und E-Mails mit schädlichen und betrügerischen Inhalten anonym versenden, was zu Datenkompromittierung und Hacks führen kann. Und das trägt zur Bedeutung der forensischen E-Mail-Untersuchung bei. Cyberkriminelle verwenden verschiedene Methoden und Techniken, um über ihre Identität zu lügen, wie zum Beispiel:
- Spoofing:
Um die eigene Identität zu verbergen, fälschen böse Leute die Kopfzeilen von E-Mails und füllen sie mit den falschen Informationen. Wenn E-Mail-Spoofing mit IP-Spoofing kombiniert wird, ist es sehr schwierig, die eigentliche Person dahinter zu verfolgen.
- Nicht autorisierte Netzwerke:
Die Netzwerke, die bereits kompromittiert sind (einschließlich kabelgebundener und kabelloser Netzwerke), werden zum Versenden von Spam-E-Mails verwendet, um die Identität zu verbergen.
- Mail-Relays öffnen:
Ein falsch konfiguriertes Mail-Relay akzeptiert E-Mails von allen Computern, auch von denen, die es nicht annehmen soll. Dann leitet es sie an ein anderes System weiter, das auch die E-Mails von bestimmten Computern annehmen soll. Diese Art von Mail-Relay wird als offenes Mail-Relay bezeichnet. Diese Art von Relais wird von Betrügern und Hackern verwendet, um ihre Identität zu verbergen.
- Proxy öffnen:
Die Maschine, die es Benutzern oder Computern ermöglicht, sich über sie mit anderen Computersystemen zu verbinden, wird als a . bezeichnet Proxy Server. Es gibt verschiedene Arten von Proxy-Servern wie einen Unternehmens-Proxy-Server, einen transparenten Proxy-Server usw. je nach Art der Anonymität, die sie bieten. Der offene Proxy-Server verfolgt keine Aufzeichnungen über Benutzeraktivitäten und führt keine Protokolle, im Gegensatz zu anderen Proxy-Servern, die Aufzeichnungen über Benutzeraktivitäten mit richtigen Zeitstempeln führen maintain. Diese Art von Proxy-Servern (offene Proxy-Server) bieten Anonymität und Privatsphäre, die für den Betrüger oder die böse Person wertvoll sind.
- Anonymisierer:
Anonymisierer oder Re-Mailer sind die Websites, die unter dem Vorwand betrieben werden, die Privatsphäre der Benutzer im Internet zu schützen und sie anonym zu machen, indem sie absichtlich die Header aus der E-Mail entfernen und keine Serverprotokolle führen.
- SSH-Tunnel:
Im Internet bedeutet ein Tunnel einen sicheren Weg für die Übertragung von Daten in einem nicht vertrauenswürdigen Netzwerk. Das Tunneln kann je nach verwendeter Software und Technik auf unterschiedliche Weise erfolgen. Mit der SSH-Funktion kann ein SSH-Port-Forwarding-Tunneling eingerichtet und ein verschlüsselter Tunnel erstellt werden, der die SSH-Protokollverbindung verwendet. Betrüger verwenden SSH-Tunneling beim Senden von E-Mails, um ihre Identität zu verbergen.
- Botnetze:
Der von „Roboter“ abgeleitete Begriff Bot wird in seiner herkömmlichen Struktur verwendet, um einen Inhalt oder eine Reihe von Inhalten oder ein Programm darzustellen, das dazu bestimmt ist, vordefinierte Arbeiten immer wieder und folglich im Zuge einer absichtlichen Aktivierung oder durch eine Systeminfektion auszuführen. Obwohl Bots als hilfreiches Element zur Vermittlung von langweiligen und langweiligen Aktivitäten begannen, werden sie dennoch für böswillige Zwecke missbraucht. Bots, die verwendet werden, um echte Übungen auf mechanisierte Weise durchzuführen, werden als freundliche Bots bezeichnet, und diejenigen, die für bösartige Ziele bestimmt sind, werden als bösartige Bots bezeichnet. Ein Botnet ist ein System von Bots, das von einem Botmaster eingeschränkt wird. Ein Botmaster kann seinen kontrollierten Bots (bösartigen Bots), die auf untergrabenen PCs auf der ganzen Welt laufen, befehlen, E-Mails an bestimmte Orte zu senden, während er seinen Charakter verschleiert und einen E-Mail-Betrug oder E-Mail-Betrug begeht.
- Nicht auffindbare Internetverbindungen:
Internetcafé, Universitätscampus, verschiedene Organisationen bieten Benutzern den Internetzugang durch gemeinsame Nutzung des Internets. Wenn in diesem Fall kein ordnungsgemäßes Protokoll der Benutzeraktivitäten geführt wird, ist es sehr einfach, illegale Aktivitäten und E-Mail-Betrug zu begehen und damit davonzukommen.
Die E-Mail-Forensische Analyse wird verwendet, um den tatsächlichen Absender und Empfänger einer E-Mail, das Datum und die Uhrzeit des Empfangs sowie die Informationen über zwischengeschaltete Geräte zu ermitteln, die an der Zustellung der Nachricht beteiligt sind. Es stehen auch verschiedene Tools zur Verfügung, um die Aufgaben zu beschleunigen und die gewünschten Keywords einfach zu finden. Diese Tools analysieren die E-Mail-Header und liefern dem forensischen Ermittler in kürzester Zeit das gewünschte Ergebnis.
