网络数据司法鉴定-针对电子邮件的取证技术

  网络数据司法鉴定       |      2022-06-10 10:56:22

电子邮件和新闻组的共同特征是,都是用简单的应用协议和文本存储转发只允许信息在多个中间系统上穿过,信息的主体由可打印的字符构成,头信息中包含了从发送者到接收者之间的路径。 所以,可以对信息发送路径上的痕连进行分析以获取证据。

网络数据司法鉴定从电子邮件中获取证据的关键是要了解电子邮件协议中的邮件信息的存储位置,例如接收邮件时,对于仅存储收到信息的POP3 信息,我们必须访问工作站才能对邮件进行跟踪。 基于网页进行发送和接收的HTTP 协议将发送和接收到的信息存储到服务器上,但可以手工下载到本地,有助于鉴别假冒行为。微软的邮件应用编程接口(Mail API,MAPI)能够存储所有信息。发送邮件时,采用的协议是SMTP(简单邮件传输协议),网络黑客最先学会的技术之一,就是如何通过Intemet到SMTP服务器的25端口手工发送邮件信息。 他们可以插人任何信息到你要发送的邮件的头文件中—包括伪造的源地址和目标地址,也可能在配置邮箱时选择手工输入发信人地址,由于SMTP 没有强健的认证机制,在没有使用PGP( Pretty Good Privacy)或者S/MIME(安全的多功能互联网邮件扩展)来添加数字签名的情况下,邮件信息的可信度非常低。


8d27063dd6ce45f2f2bad9f9919bedd1.png


眼踪伪造的电子邮件的主要方法是请求ISP的帮助。而网络数据司法鉴定取证人员必须学会解读邮件的头文件、一般的邮件服务程序, 如FOXMAIL、OUTLOOK、OUTLOOK EXPRESS 等都可以通过选中某邮件再执行菜单命令(如文件菜单中的属性或查看菜单中的选项)来看看详细的头信息。跟踪电子邮件还可以使用专用工具,如NetScanTools。 在使用Eudora作为客户端软件时要想看到头文件只需在“Blah Blah Blah"按钮上单击鼠标即可。