Forensisch onderzoek van e-mails verwijst naar het grondig bestuderen van de bron en inhoud van de e-mails. Het onderzoek omvat de identificatie van de daadwerkelijke afzender en ontvanger van de betreffende e-mails, het tijdstempel van de e-mailtransmissie, de intentie van de e-mail en de registratie van de volledige e-mailtransactie. Onderzoek van e-mails blijkt nuttig te zijn bij incidenten zoals e-mailmisbruik, e-mailphishing, e-mailzwendel en andere gevallen waarin e-mailgebruik wordt belasterd. Delen van e-mailonderzoek omvatten zoeken op trefwoord, metadata-onderzoek, scannen van poort, enz.

Technieken voor e-mailonderzoek
De verschillende technieken die worden ingezet om een effectief en naadloos e-mailonderzoek uit te voeren, worden hieronder gegeven:
1) Analyse van e-mailheader
Koptekstanalyse wordt gedaan om de informatie over de afzender van de e-mail te extraheren en ook het pad waarlangs de e-mail is verzonden. Meestal worden de metadata van e-mails opgeslagen in de headers. Soms kan er met deze headers geknoeid worden om de ware identiteit van de afzender te verbergen.
2) Aas tactieken
Het is het proces om het IP-adres van de afzender van een bepaalde e-mail in onderzoek te volgen. Bij deze techniek wordt een e-mail met een http: “$lt;img src>”-tag verzonden naar het e-mailadres waarvan de e-mail is ontvangen. De ontvanger is in dit geval de boosdoener. Wanneer de e-mail wordt geopend, wordt een logboek met het IP-adres van de ontvanger vastgelegd door de mailserver die de afbeelding host en wordt de ontvanger gevolgd. Als de ontvanger een proxyserver gebruikt, wordt het adres van de proxyserver geregistreerd.
3) Extractie van server
Serveronderzoek is handig wanneer de e-mails die zich aan de kant van de afzender en de ontvanger bevinden, permanent zijn verwijderd. Aangezien servers een logboek bijhouden van de verzonden en ontvangen e-mails, genereert het logboekonderzoek alle verwijderde e-mails. Verder kunnen de logs de informatie geven van de bron waaruit de e-mails zijn gegenereerd. Serveronderzoek betekent niet dat alle verwijderde e-mails kunnen worden geëxtraheerd. Dit komt omdat de e-mails na een bepaalde bewaarperiode permanent van een server worden verwijderd.
4) Onderzoek van netwerkbronnen
Voor dit onderzoek wordt gekozen wanneer de serverlogs niet de vereiste informatie genereren. Ook als de Internet Service Providers geen toegang geven tot de server, wordt gekozen voor onderzoek van netwerkbronnen. De logs die worden gegenereerd door netwerkhubs, routers, firewalls, enz. geven informatie over de herkomst van het e-mailbericht.
Populaire tools ingezet voor e-mailonderzoek
Er zijn een aantal e-mailonderzoekstools beschikbaar die helpen bij het volledige onderzoeksproces. Deze tools genereren geautomatiseerde rapporten van het onderzoek, identificeren de herkomst en de bestemming van e-mails en nog veel meer. Enkele van de tools die deel uitmaken van dit domein zijn:
1) Behuizing
EnCase stelt de onderzoekers in staat om beeldvorming van de schijf uit te voeren en deze te bewaren in het E01-formaat, dat forensisch kan worden onderzocht en ook als bewijs voor de rechtbank kan worden gepresenteerd.
2) FTK
Forensische Toolkit is een uitgebreide onderzoekstool die bekend staat om het forensisch onderzoek van e-mails door middel van decodering in e-mails.
3) MailXaminer
MailXaminer is een geavanceerde tool voor e-mailonderzoek die meer dan 20 e-mailformaten en ongeveer 750 MIME-formaten ondersteunt. De tool is uitgerust met geweldige functies zoals:
- Geavanceerd zoeken op trefwoorden
- Linkanalyse van e-mails
- Huidskleuranalyse
- Live Exchange Mailbox-analyse en nog veel meer.
De tool verzamelt op de meest effectieve manier bewijsmateriaal en genereert een volledig bewijsrapport.
Conclusie
De juiste technieken en hulpmiddelen, indien gebruikt bij het forensisch onderzoek van e-mails, leveren potentieel bewijs in zeer korte tijd op. Om een geavanceerd e-mailonderzoek uit te voeren, is daarom de inzet van de juiste tool noodzakelijk.
Vicky
Informatieve post, ik denk dat ik me een beetje niet bewust ben van dit onderwerp en ik moet zeggen dat ik geweldige informatie uit deze post heb geleerd.
Bedankt voor het delen.
Niraj
Uitstekend artikel. Altijd goed om meer te weten te komen over het omgaan met e-mailgerelateerde overtredingen.
Bedankt!
Niraj
Mansoorvalli
Dit is zeer informatief. Bedankt voor het delen.