电子邮件取证调查的技术和工具

电子邮件取证调查是指深入研究电子邮件中的来源和内容。 该研究涉及识别相关电子邮件的实际发件人和收件人、电子邮件传输的时间戳、邮件的意图、完整的电子邮件交易记录。 事实证明，对电子邮件的调查可用于电子邮件滥用、电子邮件网络钓鱼、电子邮件诈骗等其他电子邮件使用被诽谤的情况。 邮件调查的部分包括关键字搜索、元数据调查、端口扫描等。

电子邮件调查技巧

为执行有效且无缝的电子邮件调查而部署的各种技术如下：

1) 邮件头分析

标题分析 这样做是为了提取有关邮件发件人的信息以及电子邮件的传输路径。 通常，电子邮件的元数据存储在标题中。 有时，这些标头可能会被篡改以隐藏发件人的真实身份。

2) 诱饵策略

它是跟踪正在调查的特定邮件的发件人 IP 地址的过程。 在这种技术中，包含 http:“$lt;img src>” 标签的邮件被发送到接收邮件的邮件地址。 在这种情况下，收件人是罪魁祸首。 打开邮件时，托管图像的邮件服务器会捕获包含收件人 IP 地址的日志，并跟踪收件人。 如果收件人使用代理服务器，代理服务器的地址将被记录。

3) 从服务器提取

当驻留在发件人和收件人端的电子邮件已被永久清除时，服务器调查就派上用场了。 由于服务器维护发送和接收电子邮件的日志，因此日志调查将生成所有已删除的电子邮件。 此外，日志可以提供生成电子邮件的来源的信息。 服务器调查并不意味着可以提取所有清除的电子邮件。 这是因为经过一定的保留期后，电子邮件将从服务器中永久删除。

4）网络资源调查

当服务器日志无法生成所需信息时，会选择此调查。 此外，如果 Internet 服务提供商不授予对服务器的访问权限，则会选择对网络资源进行调查。 网络集线器、路由器、防火墙等生成的日志提供有关电子邮件消息来源的信息。

为电子邮件调查部署的流行工具

有许多电子邮件调查工具可用，可协助完成调查过程。 这些工具生成调查的自动报告，识别电子邮件的来源和目的地等等。 作为该域一部分的一些工具是：

1) 外壳

包住 使调查人员能够对驱动器进行成像并将其保存为 E01 格式，这可以进行法医调查，也可以作为证据出现在法庭上。

2）FTK

法医工具包 是一种综合调查工具，以通过电子邮件解密对电子邮件进行取证调查而闻名。

3) 邮件审查员

MailXaminer 是一种高级电子邮件调查工具，支持 20 多种电子邮件格式和大约 750 种 MIME 格式。 该工具配备了强大的功能，例如：

• 提前搜索关键字
• 邮件链接分析
• 肤色分析
• 实时 Exchange 邮箱分析等等。

该工具以最有效的方式挖掘证据并生成完整的证据报告。

结论

如果在电子邮件取证调查中使用正确的技术和工具，可以在很短的时间内找出潜在的证据。 因此，为了执行高级电子邮件调查部署正确的工具是必要的。