电子邮件取证调查是指深入研究电子邮件中的来源和内容。 该研究涉及识别相关电子邮件的实际发件人和收件人、电子邮件传输的时间戳、邮件的意图、完整的电子邮件交易记录。 事实证明,对电子邮件的调查可用于电子邮件滥用、电子邮件网络钓鱼、电子邮件诈骗等其他电子邮件使用被诽谤的情况。 邮件调查的部分包括关键字搜索、元数据调查、端口扫描等。

电子邮件调查技巧
为执行有效且无缝的电子邮件调查而部署的各种技术如下:
1) 邮件头分析
标题分析 这样做是为了提取有关邮件发件人的信息以及电子邮件的传输路径。 通常,电子邮件的元数据存储在标题中。 有时,这些标头可能会被篡改以隐藏发件人的真实身份。
2) 诱饵策略
它是跟踪正在调查的特定邮件的发件人 IP 地址的过程。 在这种技术中,包含 http:“$lt;img src>” 标签的邮件被发送到接收邮件的邮件地址。 在这种情况下,收件人是罪魁祸首。 打开邮件时,托管图像的邮件服务器会捕获包含收件人 IP 地址的日志,并跟踪收件人。 如果收件人使用代理服务器,代理服务器的地址将被记录。
3) 从服务器提取
当驻留在发件人和收件人端的电子邮件已被永久清除时,服务器调查就派上用场了。 由于服务器维护发送和接收电子邮件的日志,因此日志调查将生成所有已删除的电子邮件。 此外,日志可以提供生成电子邮件的来源的信息。 服务器调查并不意味着可以提取所有清除的电子邮件。 这是因为经过一定的保留期后,电子邮件将从服务器中永久删除。
4)网络资源调查
当服务器日志无法生成所需信息时,会选择此调查。 此外,如果 Internet 服务提供商不授予对服务器的访问权限,则会选择对网络资源进行调查。 网络集线器、路由器、防火墙等生成的日志提供有关电子邮件消息来源的信息。
为电子邮件调查部署的流行工具
有许多电子邮件调查工具可用,可协助完成调查过程。 这些工具生成调查的自动报告,识别电子邮件的来源和目的地等等。 作为该域一部分的一些工具是:
1) 外壳
包住 使调查人员能够对驱动器进行成像并将其保存为 E01 格式,这可以进行法医调查,也可以作为证据出现在法庭上。
2)FTK
法医工具包 是一种综合调查工具,以通过电子邮件解密对电子邮件进行取证调查而闻名。
3) 邮件审查员
MailXaminer 是一种高级电子邮件调查工具,支持 20 多种电子邮件格式和大约 750 种 MIME 格式。 该工具配备了强大的功能,例如:
- 提前搜索关键字
- 邮件链接分析
- 肤色分析
- 实时 Exchange 邮箱分析等等。
该工具以最有效的方式挖掘证据并生成完整的证据报告。
结论
如果在电子邮件取证调查中使用正确的技术和工具,可以在很短的时间内找出潜在的证据。 因此,为了执行高级电子邮件调查部署正确的工具是必要的。
Vicky
信息丰富的帖子,我想我对这个主题有点不了解,我必须说我从这篇文章中学到了一些很好的信息。
感谢您的分享。
尼拉吉
优秀的文章。 了解有关处理电子邮件相关攻击的更多信息总是很好。
谢谢!
尼拉吉
曼索瓦尔利
这是非常有用的信息。 感谢分享。