Phenquestions
Senibina E-mel:
Apabila pengguna menghantar e-mel, e-mel itu tidak masuk terus ke pelayan mel di hujung penerima; sebaliknya, ia melalui pelayan mel yang berbeza.
MUA adalah program di hujung pelanggan yang digunakan untuk membaca dan menyusun e-mel. Terdapat MUA yang berbeza seperti Gmail, Outlook dll. Setiap kali MUA mengirim mesej, ia pergi ke MTA yang menyahkod pesan dan mengenal pasti lokasi yang dimaksudkan untuk dihantar dengan membaca maklumat tajuk dan mengubah tajuknya dengan menambahkan data kemudian menyebarkannya ke MTA di hujung penerima. Hadiah MTA terakhir sebelum MUA menyahkodkan mesej dan menghantarnya ke MUA pada akhir penerimaan. Itulah sebabnya dalam tajuk e-mel, kita dapat mencari maklumat mengenai beberapa pelayan.
Analisis Pengepala E-mel:
Forensik e-mel bermula dengan kajian e-mel kepala kerana mengandungi sejumlah besar maklumat mengenai mesej e-mel. Analisis ini terdiri daripada kajian isi kandungan dan tajuk e-mel yang mengandungi maklumat mengenai e-mel yang diberikan. Analisis header e-mel membantu dalam mengenal pasti sebahagian besar jenayah berkaitan e-mel seperti spear phishing, spamming, email spoofing dll. Spoofing adalah teknik menggunakan mana yang dapat berpura-pura menjadi orang lain, dan pengguna biasa akan berfikir sejenak bahawa itu adalah rakannya atau orang yang dia sudah kenal. Hanya seseorang yang menghantar e-mel dari alamat e-mel palsu rakannya, dan bukan bahawa akaun mereka diretas.
Dengan menganalisis tajuk e-mel, seseorang dapat mengetahui sama ada e-mel yang dia terima adalah dari alamat e-mel palsu atau yang sebenarnya. Begini rupa pengepala e-mel:
Dihantar Ke: [e-mel dilindungi]Diterima: menjelang tahun 2002: a0c: f2c8: 0: 0: 0: 0: 0 dengan id SMTP c8csp401046qvm;
Rabu, 29 Jul 2020 05:51:21 -0700 (PDT)
X-Diterima: pada tahun 2002: a92: 5e1d :: dengan SMTP id s29mr19048560ilb.245.1596027080539;
Rabu, 29 Jul 2020 05:51:20 -0700 (PDT)
ARC-Seal: i = 1; a = rsa-sha256; t = 1596027080; cv = tiada;
d = google.com; s = arc-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Atau2Q ==
ARC-Mesej-Tandatangan: i = 1; a = rsa-sha256; c = santai / santai; d = google.com; s = arc-20160816;
h = hingga: subjek: message-id: tarikh: dari: mime-version: dkim-signature;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxQTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
ARC-Pengesahan-Hasil: i = 1; mx.google.com;
dkim = lulus tajuk [dilindungi e-mel].s = pengepala 20161025.b = JygmyFja;
spf = lulus (google.com: domain [dilindungi e-mel] menetapkan 209.85.22000 sebagai
pengirim yang dibenarkan) [dilindungi e-mel];
dmarc = lulus (p = NONE sp = QUARANTINE dis = NONE) tajuk.dari = gmail.com
Jalan Balik: <[email protected]>
Diterima: dari surat-sor-f41.google.com (surat-sor-f41.google.com. [209.85.000.00])
oleh mx.google.com dengan SMTPS id n84sor2004452iod.19.2020.07.29.00.00.00
untuk <[email protected]>
(Keselamatan Pengangkutan Google);
Rabu, 29 Jul 2020 05:51:20 -0700 (PDT)
Diterima-SPF: lulus (google.com: domain [dilindungi e-mel] menetapkan 209.85.000.00
seperti pengirim yang dibenarkan) client-ip = 209.85.000.00;
Pengesahan-Hasil: mx.google.com;
dkim = lulus tajuk [dilindungi e-mel].s = pengepala 20161025.b = JygmyFja;
spf = lulus (google.com: domain yang ditetapkan oleh [dilindungi e-mel]
209.85.000.00 sebagai pengirim yang dibenarkan) [dilindungi e-mel];
dmarc = lulus (p = NONE sp = QUARANTINE dis = NONE) tajuk.dari = gmail.com
DKIM-Tandatangan: v = 1; a = rsa-sha256; c = santai / santai;
d = gmail.com; s = 20161025;
h = versi mime: dari: tarikh: message-id: subjek: hingga;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
X-Google-DKIM-Tandatangan: v = 1; a = rsa-sha256; c = santai / santai;
d = 1e100.bersih; s = 20161025;
h = x-gm-message-state: mime-version: from: tarikh: message-id: subjek: hingga;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
X-Gm-Mesej-Keadaan: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
X-Google-Smtp-Sumber: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
X-Diterima: menjelang tahun 2002: a05: 0000: 0b :: dengan SMTP id v11mr21571925jao.122.1596027079698;
Rabu, 29 Jul 2020 05:51:19 -0700 (PDT)
Versi MIME: 1.0
Dari: Marcus Stoinis <[email protected]>
Tarikh: Rab, 29 Jul 2020 17:51:03 +0500
Mesej-ID: <[email protected]om>
Subjek:
Kepada: [dilindungi e-mel]
Jenis Kandungan: pelbagai bahagian / alternatif; sempadan = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Jenis Kandungan: teks / dataran; charset = "UTF-8"
Untuk memahami maklumat tajuk, seseorang harus memahami kumpulan bidang yang tersusun dalam jadual.
X-nampaknya untuk: Medan ini berguna semasa e-mel dihantar kepada lebih daripada satu penerima seperti bcc atau senarai mel. Medan ini mengandungi alamat ke KE bidang, tetapi dalam kes bcc, the X-Rupanya ke bidang berbeza. Jadi, bidang ini memberitahu alamat penerima walaupun e-mel dihantar sebagai cc, bcc atau oleh beberapa senarai mel.
Jalan kembali: Medan jalan balik mengandungi alamat e-mel yang ditentukan oleh pengirim dalam bidang Dari.
Menerima SPF: Medan ini mengandungi domain dari mana surat berasal. Dalam kes ini
Diterima-SPF: lulus (google.com: domain [dilindungi e-mel] menetapkan 209.85.000.00 sebagai pengirim yang dibenarkan) client-ip = 209.85.000.00;
Nisbah X-spam: Terdapat perisian penyaringan spam di pelayan penerima atau MUA yang menghitung skor spam. Sekiranya skor spam melebihi had tertentu, mesej tersebut akan dihantar ke folder spam secara automatik. Beberapa MUA menggunakan nama bidang yang berbeza untuk skor spam seperti Nisbah X-spam, status X-spam, bendera X-spam, tahap X-spam dan lain-lain.
Menerima: Medan ini mengandungi alamat IP pelayan MTA terakhir pada akhir penghantaran yang kemudian menghantar e-mel ke MTA di hujung penerima. Di beberapa tempat, ini dapat dilihat di bawah X berasal dari bidang.
Pengepala X-sieve: Medan ini menentukan nama dan versi sistem penyaringan mesej. Ini merujuk kepada bahasa yang digunakan untuk menentukan syarat untuk menyaring mesej e-mel.
Huruf X-spam: Medan ini mengandungi maklumat mengenai set watak yang digunakan untuk menyaring e-mel seperti UTF dll. UTF adalah kumpulan watak yang baik yang mempunyai kemampuan untuk serasi dengan ASCII.
X-memutuskan untuk: Medan ini mengandungi alamat e-mel penerima, atau kita boleh menyebutkan alamat pelayan e-mel yang dihantar oleh MDA pengirim kepada. Selalunya, X dihantar ke, dan bidang ini mengandungi alamat yang sama.
Hasil pengesahan: Medan ini memberitahu sama ada surat yang diterima dari domain yang diberikan telah berlalu DKIM tandatangan dan Kunci domain tandatangan atau tidak. Dalam kes ini, ia berlaku.
Pengesahan-Hasil: mx.google.com;dkim = lulus tajuk [dilindungi e-mel].s = pengepala 20161025.b = JygmyFja;
spf = lulus (google.com: domain yang ditetapkan oleh [dilindungi e-mel]
209.85.000.00 sebagai pengirim yang dibenarkan)
Menerima: Medan yang diterima pertama mengandungi maklumat jejak ketika IP mesin menghantar mesej. Ia akan menunjukkan nama mesin dan alamat IPnya. Tarikh dan masa yang tepat mesej diterima dapat dilihat di bidang ini.
Diterima: dari surat-sor-f41.google.com (surat-sor-f41.google.com. [209.85.000.00])oleh mx.google.com dengan SMTPS id n84sor2004452iod.19.2020.07.29.00.00.00
untuk <[email protected]>
(Keselamatan Pengangkutan Google);
Rabu, 29 Jul 2020 05:51:20 -0700 (PDT)
Kepada, dari dan subjek: Bidang "Kepada", "dari" dan "subjek" mengandungi maklumat mengenai alamat e-mel penerima, alamat e-mel pengirim dan subjek yang ditentukan pada masa menghantar e-mel oleh pengirim masing-masing. Bidang subjek kosong sekiranya pengirim membiarkannya seperti itu.
Tajuk MIME: Untuk MUA untuk melakukan penyahkodan yang betul supaya mesej dihantar dengan selamat kepada klien, MIME pindah pengekodan, MIME kandungan, versi dan panjangnya adalah subjek penting.
Versi MIME: 1.0Jenis Kandungan: teks / dataran; charset = "UTF-8"
Jenis Kandungan: pelbagai bahagian / alternatif; sempadan = "00000000000023294e05ab94032b"
Mesej-id: Message-id mengandungi nama domain yang ditambahkan dengan nombor unik oleh pelayan pengirim.
Mesej-ID: <[email protected]om>Penyiasatan Pelayan:
Dalam jenis penyiasatan ini, pendua mesej yang disampaikan dan log pekerja diterokai untuk membezakan sumber e-mel. Walaupun pelanggan (pengirim atau penerima) menghapus mesej e-mel mereka yang tidak dapat dipulihkan, mesej ini mungkin dicatat oleh pelayan (Proksi atau Penyedia Perkhidmatan) dalam jumlah besar. Proksi ini menyimpan pendua semua mesej selepas penghantarannya. Selanjutnya, log yang disimpan oleh pekerja dapat dipusatkan untuk mengikuti lokasi PC yang dapat dipertanggungjawabkan untuk membuat pertukaran e-mel. Walau apa pun, Proksi atau ISP menyimpan pendua log e-mel dan pelayan hanya untuk jangka masa tertentu dan ada yang mungkin tidak bekerjasama dengan penyiasat forensik. Selanjutnya, pekerja SMTP yang menyimpan maklumat seperti nombor Visa dan maklumat lain yang berkaitan dengan pemilik peti mel dapat digunakan untuk membezakan individu di belakang alamat e-mel.
Taktik umpan:
Dalam penyiasatan jenis ini, e-mel dengan http: "" tag yang mempunyai sumber gambar di mana-mana PC yang diperiksa oleh pemeriksa dihantar kepada pengirim e-mel yang disiasat yang mengandungi alamat e-mel asli (sahih). Pada saat e-mel dibuka, bahagian log yang mengandungi alamat IP yang berada di hujung penerima (pengirim pelakunya) direkodkan di pelayan HTTP, orang yang menghosting gambar dan sepanjang garis ini, pengirimnya adalah diikuti. Walau apa pun, jika orang di penerima menerima proksi, maka alamat IP pelayan proksi dilacak.
Pelayan proksi mengandungi log, dan itu dapat digunakan lebih jauh untuk mengikuti pengirim e-mel yang disiasat. Sekiranya log pelayan proksi tidak dapat diakses kerana beberapa penjelasan, pada ketika itu pemeriksa mungkin menghantar e-mel jahat yang Apple Apple yang disematkant yang berjalan pada sistem komputer penerima atau Halaman HTML dengan Objek X Aktif untuk mengesan orang yang mereka mahukan.
Penyiasatan peranti rangkaian:
Peranti rangkaian seperti firewall, reuters, switch, modem dll. mengandungi log yang boleh digunakan dalam mengesan sumber e-mel. Dalam jenis penyiasatan ini, log ini digunakan untuk menyiasat sumber mesej e-mel. Ini adalah jenis penyiasatan forensik yang sangat kompleks dan jarang digunakan. Ia sering digunakan apabila log Proksi atau penyedia ISP tidak tersedia untuk beberapa sebab seperti kekurangan penyelenggaraan, kemalasan atau kekurangan sokongan dari penyedia ISP.
Pengecam tertanam perisian:
Beberapa data mengenai penyusun rekod atau arkib bergabung e-mel mungkin digabungkan dengan pesan oleh perisian e-mel yang digunakan oleh pengirim untuk menyusun surat. Data ini mungkin diingat untuk jenis tajuk khusus atau kandungan MIME sebagai format TNE. Meneliti e-mel untuk kehalusan ini mungkin membongkar beberapa data penting mengenai pilihan dan pilihan e-mel pengirim yang dapat menyokong pengumpulan bukti sisi pelanggan. Pemeriksaan dapat mengungkap nama dokumen PST, alamat MAC, dan lain-lain dari PC pelanggan yang digunakan untuk menghantar mesej e-mel.
Analisis lampiran:
Di antara virus dan perisian hasad, kebanyakannya dihantar melalui sambungan e-mel. Memeriksa lampiran e-mel adalah mendesak dan penting dalam sebarang pemeriksaan berkaitan e-mel. Tumpahan data peribadi adalah satu lagi bidang pemeriksaan yang penting. Terdapat perisian dan alat yang dapat diakses untuk mengumpulkan maklumat berkaitan e-mel, misalnya, lampiran dari cakera keras sistem komputer. Untuk pemeriksaan sambungan yang meragukan, penyiasat memuat naik lampiran ke dalam kotak pasir dalam talian, misalnya, VirusTotal untuk memeriksa sama ada dokumen itu perisian hasad atau tidak. Walau bagaimanapun, sangat penting untuk mengurus di bahagian atas senarai keutamaan bahawa tanpa mengira sama ada rekod menjalani penilaian, misalnya, VirusTotal's, ini bukan jaminan bahawa ia dilindungi sepenuhnya. Sekiranya ini berlaku, adalah pemikiran yang bijak untuk meneliti rekod lebih jauh dalam situasi kotak pasir, misalnya, Cuckoo.
Cap jari pengirim:
Semasa memeriksa Menerima dalam tajuk, perisian yang mengurus e-mel di hujung pelayan dapat dikenal pasti. Sebaliknya, setelah memeriksa Penghantar surat X bidang, perisian yang mengurus e-mel di hujung pelanggan dapat dikenal pasti. Bidang tajuk ini menggambarkan perisian dan versi mereka yang digunakan di hujung pelanggan untuk menghantar e-mel. Data ini mengenai PC pelanggan pengirim dapat digunakan untuk membantu pemeriksa merumuskan strategi yang kuat, dan dengan demikian garis-garis ini akhirnya sangat berharga.
Alat forensik e-mel:
Dalam dekad kebelakangan ini, beberapa alat atau perisian penyiasatan tempat kejadian e-mel telah dibuat. Tetapi sebahagian besar alat telah dibuat secara terpencil. Selain itu, kebanyakan alat ini tidak seharusnya menyelesaikan masalah berkaitan kesalahan digital atau PC tertentu. Sebaliknya, mereka dirancang untuk mencari atau memulihkan data. Terdapat peningkatan alat forensik untuk memudahkan kerja penyiasat, dan terdapat banyak alat hebat yang terdapat di internet. Beberapa alat yang digunakan untuk analisis forensik e-mel adalah seperti di bawah:
E-melTrackerPro:
EmailTrackerPro menyiasat tajuk mesej e-mel untuk mengenali alamat IP mesin yang menghantar mesej sehingga pengirim dapat dijumpai. Ia dapat mengikuti mesej yang berbeza pada masa yang sama dan memantau dengan berkesan. Lokasi alamat IP adalah data utama untuk menentukan tahap bahaya atau kesahihan mesej e-mel. Alat yang hebat ini boleh melekat di bandar yang mungkin berasal dari e-mel. Ia mengenali ISP pengirim dan memberikan data hubungan untuk pemeriksaan lebih lanjut. Cara asli ke alamat IP pengirim dicatat di meja kemudi, memberikan data kawasan tambahan untuk membantu menentukan kawasan sebenar pengirim. Elemen pelaporan penyalahgunaan di dalamnya dapat dimanfaatkan untuk memudahkan pemeriksaan lanjutan. Untuk melindungi daripada e-mel spam, ia memeriksa dan mengesahkan e-mel daripada senarai hitam spam, misalnya Spamcops. Ia menyokong pelbagai bahasa termasuk penapis spam bahasa Jepun, Rusia dan Cina bersama dengan bahasa Inggeris. Elemen penting alat ini adalah penyalahgunaan penyataan yang dapat membuat laporan yang dapat dihantar ke Penyedia Perkhidmatan (ISP) pengirim. ISP kemudian dapat mencari jalan untuk mencari pemegang akaun dan membantu mematikan spam.
Xtraxtor:
Alat hebat Xtraxtor ini dibuat untuk memisahkan alamat e-mel, nombor telefon dan mesej dari format fail yang berbeza. Secara semula jadi ia membezakan kawasan lalai dan dengan cepat menyiasat maklumat e-mel untuk anda. Pelanggan boleh melakukannya tanpa banyak alamat e-mel ekstrak dari mesej dan bahkan dari lampiran fail. Xtraxtor mewujudkan semula mesej yang terhapus dan tidak dibersihkan dari banyak konfigurasi peti mel dan akaun mel IMAP. Selain itu, ia mempunyai antara muka yang mudah dipelajari dan ciri bantuan yang baik untuk menjadikan aktiviti pengguna lebih mudah, dan menjimatkan banyak masa dengan e-mel pantasnya, menyiapkan ciri motor dan penghapusan suara. Xtraxtor serasi dengan fail MBOX dan sistem Linux Mac dan dapat memberikan ciri-ciri hebat untuk mencari maklumat yang relevan.
Advik (alat sandaran e-mel):
Advik, alat sandaran e-mel, adalah alat yang sangat baik yang digunakan untuk memindahkan atau mengeksport semua e-mel dari peti mel seseorang, termasuk semua folder seperti dihantar, draf, peti masuk, spam dll. Pengguna boleh memuat turun sandaran mana-mana akaun e-mel tanpa banyak usaha. Menukar sandaran e-mel dalam format fail yang berbeza adalah satu lagi ciri hebat alat yang hebat ini. Ciri utamanya adalah Penapis Pendahuluan. Pilihan ini dapat menjimatkan banyak masa dengan mengeksport mesej keperluan kita dari peti mel dalam masa yang singkat. IMAP ciri memberikan pilihan untuk mengambil e-mel dari penyimpanan berasaskan awan dan dapat digunakan dengan semua penyedia perkhidmatan e-mel. Advik boleh digunakan untuk menyimpan sandaran dari lokasi yang kita inginkan dan menyokong pelbagai bahasa bersama dengan bahasa Inggeris, termasuk Jepun, Sepanyol dan Perancis.
Systools MailXaminer:
Dengan bantuan alat ini, pelanggan dibenarkan mengubah saluran perburuan mereka bergantung pada situasi. Ini memberi pelanggan alternatif untuk melihat ke dalam mesej dan hubungan. Lebih-lebih lagi, alat e-mel forensik ini juga menawarkan bantuan menyeluruh untuk pemeriksaan e-mel saintifik di kedua-dua kawasan kerja dan pentadbiran e-mel elektronik. Ini memungkinkan pemeriksa menangani lebih dari satu kes melalui dan melalui cara yang sah. Begitu juga, dengan bantuan alat analisis e-mel ini, pakar bahkan dapat melihat perincian sembang, melakukan pemeriksaan panggilan, dan melihat perincian mesej antara pelbagai klien aplikasi Skype. Ciri utama perisian ini adalah bahawa ia menyokong pelbagai bahasa bersama bahasa Inggeris termasuk Jepun, Sepanyol dan Perancis dan Cina dan format di mana ia menerima surat yang dihapus boleh diterima oleh mahkamah. Ini memberikan pandangan pengurusan Log di mana pandangan yang baik dari semua aktiviti ditunjukkan. Systools MailXaminer sesuai dengan dd, e01, zip dan banyak format lain.
Aduan:
Terdapat alat yang dipanggil Aduan yang digunakan untuk melaporkan surat komersial dan posting botnet dan juga iklan seperti "menjana wang cepat", "wang cepat" dll. Adcomplain sendiri melakukan analisis header pada pengirim e-mel setelah mengenal pasti surat tersebut dan melaporkannya kepada ISP pengirim.
Kesimpulan:
E-mel digunakan oleh hampir setiap orang yang menggunakan perkhidmatan internet di seluruh dunia. Penipu dan penjenayah siber dapat memalsukan tajuk e-mel dan menghantar e-mel dengan kandungan berniat jahat & penipuan tanpa nama, yang boleh menyebabkan kompromi data dan peretasan. Dan inilah yang menambah pentingnya pemeriksaan forensik e-mel. Penjenayah siber menggunakan beberapa cara dan teknik untuk membohongi identiti mereka seperti:
- Penipuan:
Untuk menyembunyikan identiti seseorang, orang jahat memalsukan tajuk e-mel dan mengisinya dengan maklumat yang salah. Apabila spoofing e-mel digabungkan dengan spoofing IP, sangat sukar untuk mengesan orang sebenar di belakangnya.
- Rangkaian Tidak Sah:
Rangkaian yang sudah dikompromikan (termasuk kedua-duanya berwayar dan tanpa wayar) digunakan untuk menghantar e-mel spam untuk menyembunyikan identiti.
- Buka geganti mel:
Penyampai e-mel yang salah dikonfigurasi menerima surat dari semua komputer termasuk komputer yang tidak boleh diterima. Kemudian meneruskannya ke sistem lain yang juga harus menerima surat dari komputer tertentu. Jenis geganti mel ini dipanggil geganti surat terbuka. Relay semacam itu digunakan oleh penipu dan penggodam untuk menyembunyikan identiti mereka.
- Buka Proksi:
Mesin yang membolehkan pengguna atau komputer menyambungkannya ke sistem komputer lain dipanggil a pelayan proksi. Terdapat pelbagai jenis pelayan proksi seperti pelayan proksi korporat, pelayan proksi telus dan lain-lain. bergantung pada jenis anonimiti yang mereka berikan. Pelayan proksi terbuka tidak menjejaki rekod aktiviti pengguna dan tidak menyimpan log, tidak seperti pelayan proksi lain yang menyimpan rekod aktiviti pengguna dengan cap waktu yang tepat. Pelayan proksi jenis ini (pelayan proksi terbuka) memberikan anonimiti dan privasi yang bernilai bagi penipu atau orang jahat.
- Penyebut nama:
Anonymizer atau e-mailer adalah laman web yang beroperasi dengan alasan melindungi privasi pengguna di internet dan menjadikannya tanpa nama dengan sengaja membuang tajuk dari e-mel dan dengan tidak menyimpan log pelayan.
- Terowong SSH:
Di internet, terowong bermaksud jalan yang selamat untuk perjalanan data dalam rangkaian yang tidak dipercayai. Tunneling dapat dilakukan dengan cara yang berbeza yang bergantung pada perisian dan teknik yang digunakan. Menggunakan fitur SSH tunneling forwarding port SSH dapat dibuat, dan terowong terenkripsi dibuat yang menggunakan sambungan protokol SSH. Penipu menggunakan terowong SSH dalam menghantar e-mel untuk menyembunyikan identiti mereka.
- Botani:
Istilah bot yang berasal dari “ro-bot” dalam struktur konvensionalnya digunakan untuk menggambarkan isi atau sekumpulan isi atau program yang dimaksudkan untuk melakukan pekerjaan yang telah ditentukan berulang kali dan akibatnya setelah diaktifkan dengan sengaja atau melalui jangkitan sistem. Walaupun bot bermula sebagai elemen yang berguna untuk menyampaikan aktiviti yang membosankan dan membosankan, namun mereka disalahgunakan untuk tujuan jahat. Bot yang digunakan untuk menyelesaikan latihan nyata dengan cara mekanis disebut bot jenis, dan bot yang dimaksudkan untuk tujuan ganas dikenali sebagai bot berbahaya. Botnet adalah sistem bot yang dikekang oleh botmaster. Seorang botmaster boleh memerintahkan bot terkawalnya (bot malignan) yang berjalan pada PC yang dilemahkan di seluruh dunia untuk menghantar e-mel ke beberapa lokasi yang ditetapkan sambil menyamar wataknya dan melakukan penipuan e-mel atau penipuan e-mel.
- Sambungan Internet yang tidak dapat dikesan:
Kafe internet, kampus universiti, organisasi yang berbeza menyediakan akses internet kepada pengguna dengan berkongsi internet. Dalam kes ini, jika log yang betul tidak dikendalikan dari aktiviti pengguna, sangat mudah untuk melakukan aktiviti haram dan penipuan e-mel dan membebaskannya.
Analisis forensik e-mel digunakan untuk mencari pengirim dan penerima e-mel sebenar, tarikh dan masa ia diterima dan maklumat mengenai peranti perantaraan yang terlibat dalam penyampaian mesej. Terdapat juga pelbagai alat yang tersedia untuk mempercepat tugas dan mencari kata kunci yang diinginkan dengan mudah. Alat ini menganalisis tajuk e-mel dan memberikan penyiasat forensik hasil yang diinginkan dalam masa yang singkat.
