Phenquestions
E-mail architektúra:
Amikor a felhasználó e-mailt küld, az e-mail nem közvetlenül a címzett végén kerül a levelező szerverre; inkább különböző levelező szervereken halad át.
A MUA az ügyfél végén található program, amelyet e-mailek olvasására és írására használnak. Különböző MUA-k vannak, például Gmail, Outlook stb. Amikor az MUA üzenetet küld, az MTA-hoz megy, amely dekódolja az üzenetet, és a fejléc információ olvasásával azonosítja a küldeni kívánt helyet, és az adatok hozzáadásával módosítja annak fejlécét, majd továbbítja az MTA-nak a fogadó végén. Az utolsó MTA, amely közvetlenül az MUA előtt volt, dekódolja az üzenetet, és elküldi az MUA-nak a fogadó végén. Ezért az e-mail fejlécében több szerverről is találhatunk információkat.
E-mail fejléc elemzése:
Az e-mail kriminalisztika az e-mail tanulmányozásával kezdődik fejléc mivel rengeteg információt tartalmaz az e-mailről. Ez az elemzés a tartalom törzsének tanulmányozásából és az e-mail fejlécéből áll, amely tartalmazza az adott e-mail adatait. Az e-mail fejlécelemzés segít azonosítani az e-mailhez kapcsolódó bűncselekmények többségét, például lándzsás adathalászat, spamelés, e-mail hamisítás stb. A hamisítás olyan technika, amellyel valaki másnak adhatja ki magát, és egy normális felhasználó egy pillanatra azt gondolná, hogy a barátja vagy valaki, akit már ismer. Csak annyit, hogy valaki e-mailt küld a barátja hamis e-mail címéről, és nem arról van szó, hogy a fiókját feltörték.
Az e-mail fejlécek elemzésével meg lehet tudni, hogy az általa kapott e-mail hamis vagy e-mail címet kapott-e. Így néz ki egy e-mail fejléc:
Kézbesítve: [e-mail védett]Beérkezett: 2002-ig: a0c: f2c8: 0: 0: 0: 0: 0 SMTP azonosítóval c8csp401046qvm;
Sze, 2020. július 29., 05:51:21 -0700 (PDT)
X-beérkezett: 2002-ig: a92: 5e1d :: SMTP azonosítóval s29mr19048560ilb.245.1596027080539;
Sze, 2020. július 29., 05:51:20 -0700 (PDT)
ARC-Seal: i = 1; a = rsa-sha256; t = 1596027080; cv = nincs;
d = google.com; s = ív-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Or2Q ==
ARC-üzenet-aláírás: i = 1; a = rsa-sha256; c = ellazult / ellazult; d = google.com; s = ív-20160816;
h = ide: tárgy: üzenet-azonosító: dátum: feladó: mime-verzió: dkim-aláírás;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxQTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
ARC-hitelesítési eredmények: i = 1; mx.Google.com;
dkim = pass [email protected] fejléc.s = 20161025 fejléc.b = JygmyFja;
spf = passz (google.com: az [email protected] domainje a 209-et jelöli.85.22000 as
engedélyezett küldő) [e-mail védett];
dmarc = pass (p = NINCS sp = QUARANTINE dis = NINCS) fejléc.from = gmail.com
Visszatérési útvonal: <[email protected]>
Fogadott: mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])
által mx.Google.com az SMTPS azonosítóval n84sor2004452iod.19.2020.07.29.00.00.00
mert <[email protected]>
(Google Transport Security);
Sze, 2020. július 29., 05:51:20 -0700 (PDT)
Received-SPF: pass (google.com: az [email protected] domainje a 209-et jelöli.85.000.00
mint megengedett küldő) client-ip = 209.85.000.00;
Hitelesítési eredmények: mx.Google.com;
dkim = pass [email protected] fejléc.s = 20161025 fejléc.b = JygmyFja;
spf = passz (google.com: az [e-mail védett] domain domainje
209.85.000.00 engedélyezett küldőként) [e-mail védett];
dmarc = pass (p = NINCS sp = QUARANTINE dis = NINCS) fejléc.from = gmail.com
DKIM-aláírás: v = 1; a = rsa-sha256; c = ellazult / ellazult;
d = gmail.com; s = 20161025;
h = mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
X-Google-DKIM-aláírás: v = 1; a = rsa-sha256; c = ellazult / ellazult;
d = 1e100.háló; s = 20161025;
h = x-gm-message-state: mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
X-Gm-Message-State: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
X-Google-Smtp-Forrás: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
X-beérkezett: 2002-ig: a05: 0000: 0b :: SMTP azonosítóval v11mr21571925jao.122.1596027079698;
Sze, 2020. július 29., 05:51:19 -0700 (PDT)
MIME-verzió: 1.0
Feladó: Marcus Stoinis <[email protected]>
Dátum: Sze, 2020. július 29., 17:51:03 +0500
Üzenet-azonosító: <[email protected]om>
Tantárgy:
Címzett: [e-mail védett]
Tartalom-típus: többrészes / alternatív; határ = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Tartalom-típus: szöveg / sima; karakterkészlet = "UTF-8"
A fejléc információk megértéséhez meg kell értenünk a táblázat strukturált mezőkészletét.
X - láthatóan: Ez a mező akkor hasznos, ha az e-mailt több címzettnek, például másolat másolatnak vagy levelezőlistának küldik. Ez a mező tartalmazza a címet NAK NEK mező, de másolat másolása esetén a X-Nyilvánvalóan a mező más. Tehát ez a mező megmondja a címzett címét annak ellenére, hogy az e-mailt másolatként, másolatként vagy más levelezőlistaként küldik.
Visszatérési útvonal: A Return-path mező tartalmazza a feladó által a From mezőben megadott e-mail címet.
Fogadott SPF: Ez a mező azt a domaint tartalmazza, ahonnan a levelek érkeztek. Ebben az esetben annak
Received-SPF: pass (google.com: az [email protected] domainje a 209-et jelöli.85.000.00 engedélyezett küldőként) client-ip = 209.85.000.00;
X-spam arány: Van egy spamszűrő szoftver a fogadó szerveren vagy az MUA-ban, amely kiszámítja a spam pontszámot. Ha a spam pontszám meghalad egy bizonyos határt, az üzenet automatikusan elküldődik a spam mappába. Számos MUA különböző mezőneveket használ a spam pontszámokhoz X-spam arány, X-spam állapot, X-spam jelző, X-spam szint stb.
Fogadott: Ez a mező tartalmazza az utolsó MTA-kiszolgáló IP-címét a küldési végén, amely az e-mailt elküldi az MTA-nak a fogadó végén. Egyes helyeken ez látható alatt X eredetű terület.
X-szita fejléc: Ez a mező adja meg az üzenetszűrő rendszer nevét és verzióját. Ez az e-mailek szűrésének feltételeinek meghatározására használt nyelvre vonatkozik.
X-spam karakterkészletek: Ez a mező az e-mailek, például az UTF stb. Szűrésére használt karakterkészletekről tartalmaz információkat. Az UTF egy jó karakterkészlet, amely képes visszamenőleg kompatibilis lenni az ASCII-vel.
X felbontva: Ez a mező tartalmazza a címzett e-mail címét, vagy meg tudjuk mondani annak a postakiszolgálónak a címét, amelyhez a feladó MDA-ja továbbítja. Legtöbbször, X-kiszállítva, és ez a mező ugyanazt a címet tartalmazza.
Hitelesítési eredmények: Ez a mező megmondja, hogy az adott tartományból érkezett levelek átmentek-e DKIM aláírások és Domainkulcsok aláírás vagy sem. Ebben az esetben igen.
Hitelesítési eredmények: mx.Google.com;dkim = pass [email protected] fejléc.s = 20161025 fejléc.b = JygmyFja;
spf = passz (google.com: az [e-mail védett] domain domainje
209.85.000.00 engedélyezett küldőként)
Fogadott: Az első fogadott mező nyomkövetési információkat tartalmaz, amikor a gép IP üzenetet küld. Megjeleníti a gép nevét és IP-címét. Az üzenet fogadásának pontos dátuma és időpontja ebben a mezőben látható.
Fogadott: mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])által mx.Google.com az SMTPS azonosítóval n84sor2004452iod.19.2020.07.29.00.00.00
mert <[email protected]>
(Google Transport Security);
Sze, 2020. július 29., 05:51:20 -0700 (PDT)
Címzett, feladó és tárgy: A „Címzett”, „a” és a „tárgy” mezők tartalmazzák a címzett e-mail címének, a feladó e-mail címének és az e-mail küldő által történő küldésének időpontjában megadott információkat. A tárgy mező üres, ha a feladó így hagyja.
MIME fejlécek: Mert MUA megfelelő dekódolás végrehajtása annak érdekében, hogy az üzenet biztonságosan el legyen küldve az ügyfélnek, PANTOMIM átviteli kódolás, PANTOMIM a tartalom, annak változata és hossza fontos téma.
MIME-verzió: 1.0Tartalom-típus: szöveg / sima; karakterkészlet = "UTF-8"
Tartalom-típus: többrészes / alternatív; határ = "00000000000023294e05ab94032b"
Üzenet-azonosító: Az Message-id tartalmaz egy domain nevet, amelyet az egyedi számmal egészít ki a küldő szerver.
Üzenet-azonosító: <[email protected]om>Szerver vizsgálat:
Az ilyen típusú vizsgálatok során az átadott üzenetek és a munkanaplók duplikátumait vizsgálják az e-mail forrásának megkülönböztetésére. Még akkor is, ha az ügyfelek (küldők vagy kedvezményezettek) törlik az e-mailjeiket, amelyeket nem lehet helyreállítani, előfordulhat, hogy a szerverek (proxyk vagy szolgáltatók) nagy részletekben naplózzák ezeket az üzeneteket. Ezek a meghatalmazottak az összes üzenet másolatát tárolják továbbításuk után. Ezenkívül a munkavállalók által vezetett naplók összpontosíthatók, hogy kövessék a számítógép helyét, amely felelős az e-mail cseréjéért. Mindenesetre a Proxy vagy az ISP csak bizonyos ideig tárolja az e-mail és a szerver naplók másolatát, és előfordulhat, hogy egyesek nem működnek együtt az igazságügyi nyomozókkal. Ezenkívül az SMTP-dolgozók, akik olyan információkat tárolnak, mint a Visa szám és a postaláda tulajdonosával kapcsolatos egyéb információk, felhasználhatók az egyének megkülönböztetésére egy e-mail cím mögött.
Csali taktikája:
Az ilyen típusú vizsgálat során egy e-mailt küldjön a http-re: „” A PC-n a vizsgáztatók által ellenőrzött képforrással rendelkező címkét elküldik a vizsgált e-mail feladójának, amely valódi (hiteles) e-mail címeket tartalmaz. Az e-mail megnyitásakor egy naplószakaszt rögzítenek a HTTP szerveren, amely tartalmazza a fogadó végén lévő (a tettes feladójának) IP címét, aki a képet tárolja, és ezen a vonalon a feladó követte. Mindenesetre, ha a fogadó végén lévő személy proxyt használ, akkor a proxykiszolgáló IP-címét felkutatjuk.
A proxy szerver tartalmaz egy naplót, amely tovább felhasználható a nyomon követett e-mail feladójának követésére. Abban az esetben, ha még a proxy szerver naplója sem érhető el valamilyen magyarázat miatt, akkor a vizsgáztatók elküldhetik a csúnya e-mailt, miután Beágyazott Java Applet, amely a címzett számítógépes rendszerén fut, vagy egy HTML oldal Active X objektummal hogy felkutassák a vágyott személyt.
Hálózati eszköz vizsgálata:
Hálózati eszközök, például tűzfalak, reuters, kapcsolók, modemek stb. naplókat tartalmaznak, amelyek felhasználhatók az e-mail forrásának nyomon követésére. Az ilyen típusú vizsgálatok során ezeket a naplókat egy e-mail forrásának kivizsgálására használják. Ez egy nagyon összetett típusú törvényszéki vizsgálat, amelyet ritkán alkalmaznak. Gyakran használják, ha a proxy vagy az internetszolgáltató naplói valamilyen okból, például a karbantartás hiánya, a lustaság vagy az internetszolgáltató támogatásának hiánya miatt, nem érhetők el.
Szoftverbeágyazott azonosítók:
Az e-mailben összekapcsolt rekordok vagy archívumok összeállítójáról néhány adat beépülhet az üzenetbe az e-mail szoftver segítségével, amelyet a feladó használ a levél összeállításához. Ezeket az adatokat az egyéni fejlécek típusa vagy a MIME-tartalom, mint a TNE formátum emlékszik. Az e-mailek kutatása ezekre a finomságokra felfedhet néhány lényeges adatot a feladó e-mail beállításairól és választásairól, amelyek támogathatják az ügyféloldali igazolások gyűjtését. A vizsgálat feltárhatja az e-mailek küldéséhez használt ügyfélszámítógép PST dokumentumainak nevét, MAC címét és így tovább.
Mellékletelemzés:
A vírusok és a rosszindulatú programok közül a legtöbbet e-mail kapcsolaton keresztül küldik. Az e-mail mellékletek vizsgálata sürgős és elengedhetetlen minden e-mailhez kapcsolódó vizsgálat során. A személyes adatok kiömlése a másik jelentős vizsgálati terület. Vannak olyan szoftverek és eszközök, amelyek hozzáférhetők az e-mailekkel kapcsolatos információk helyreállításához, például mellékletek a számítógépes rendszer merevlemezéről. A kétes kapcsolatok vizsgálatához a nyomozók feltöltenék a mellékleteket egy online homokozóba, például a VirusTotalba, hogy ellenőrizzék, a dokumentum rosszindulatú-e vagy sem. Akárhogy is legyen, kritikus fontosságú a prioritási lista tetején történő kezeléshez, hogy függetlenül attól, hogy egy rekord átmegy-e egy értékelésen, például a VirusTotalé, ez nem jelenti azt, hogy teljesen védett. Ha ez bekövetkezik, okos gondolat a rekord további kutatása homokozóhelyzetben, például kakukkban.
Küldő levelező ujjlenyomatai:
A vizsgálatról Megkapta mezőben a fejlécekben azonosítható az a szoftver, amely a szerver végén gondoskodik az e-mailekről. Másrészt a X-mailer mezőben azonosítható a kliens végén az e-maileket gondozó szoftver. Ezek a fejlécmezők a szoftvert és azok verzióit mutatják be, amelyeket a kliens végén használtak az e-mail küldéséhez. A feladó kliens PC-jéről származó adatok felhasználhatók a vizsgáztatók számára egy hatékony stratégia megfogalmazásában, és így ezek a sorok nagyon értékesek lesznek.
E-mail kriminalisztikai eszközök:
Az elmúlt évtizedben néhány e-mailes bűnügyi helyszínelési eszközt vagy szoftvert hoztak létre. De az eszközök többségét elszigetelt módon hozták létre. Ezenkívül ezeknek az eszközöknek a legtöbbje nem állítólag megold egy adott digitális vagy számítógépes jogsértéssel kapcsolatos problémát. Ehelyett azt tervezik, hogy adatokat keresnek vagy helyreállítanak. Fejlesztettek az igazságügyi orvostechnikai eszközöket, hogy megkönnyítsék a nyomozó munkáját, és számos fantasztikus eszköz áll rendelkezésre az interneten. Az e-mailes törvényszéki elemzéshez használt eszközök a következők:
EmailTrackerPro:
Az EmailTrackerPro megvizsgálja az e-mail fejlécét, hogy felismerje az üzenetet küldő gép IP-címét, hogy a feladó megtalálható legyen. Különböző üzeneteket tud egyszerre követni és hatékonyan figyelemmel kísérni őket. Az IP-címek helye kulcsfontosságú adat az e-mail veszélyességének vagy legitimitásának eldöntésében. Ez a fantasztikus eszköz ragaszkodhat ahhoz a városhoz, ahonnan az e-mail minden valószínűség szerint származik. Felismeri a feladó internetszolgáltatóját és elérhetőségi adatokat ad a további vizsgálatokhoz. A küldő IP-címének valódi útját egy kormánytábla számolja, amely extra területadatokat ad a küldő tényleges területének eldöntésében. A visszaélések jelentési eleme nagyon jól használható a további vizsgálatok egyszerűsítésére. A spam e-mailek elleni védelem érdekében ellenőrzi és ellenőrzi az e-maileket a spam feketelistákkal, például Spamcops. Különböző nyelveket támogat, beleértve a japán, az orosz és a kínai spamszűrőket az angollal együtt. Az eszköz jelentős eleme a visszaélések felfedése, amely jelentést készíthet, amelyet el lehet küldeni a feladó szolgáltatójának (ISP). Az internetszolgáltató ezután megtalálhatja a módját, hogyan találhat fióktulajdonosokat, és segíthet a spam bezárásában.
Xtraxtor:
Ez a fantasztikus eszköz, az Xtraxtor az e-mail címek, telefonszámok és üzenetek különféle fájlformátumoktól való elválasztására készült. Természetesen megkülönbözteti az alapértelmezett területet, és gyorsan kivizsgálja az Ön számára az e-mail információkat. Az ügyfelek megtehetik anélkül, hogy sok e-mailt kivonatolnának az e-mail címekből az üzenetekből, sőt a fájlmellékletekből is. Az Xtraxtor visszaállítja a törölt és el nem távolított üzeneteket számos postafiók-konfigurációból és IMAP-postafiókból. Ezen felül rendelkezik egy egyszerűen megtanulható kezelőfelülettel és jó segítségnyújtási funkcióval, amely egyszerűbbé teszi a felhasználói tevékenységet, és rengeteg időt takarít meg gyors e-mailezésével, előkészítve a motoros és másolási funkciókat. Az Xtraxtor kompatibilis a Mac MBOX fájljaival és a Linux rendszerekkel, és hatékony funkciókat kínálhat a releváns információk megtalálásához.
Advik (e-mail biztonsági mentési eszköz):
Az Advik, Email backup tool, nagyon jó eszköz, amelyet az összes e-mail átvitelére vagy exportálására használnak a saját postafiókjából, beleértve az összes mappát is, például elküldött, piszkozatokat, postaládát, spameket stb. A felhasználó különösebb erőfeszítés nélkül letöltheti bármelyik e-mail fiók biztonsági másolatát. Az e-mail biztonsági másolatának konvertálása különböző fájlformátumokban ennek a fantasztikus eszköznek még egy nagyszerű tulajdonsága. Fő jellemzője az Előzetes szűrő. Ez az opció óriási időt takaríthat meg, ha pillanatok alatt exportálja a szükségünkre szánt üzeneteket a postafiókból. IMAP funkció lehetőséget nyújt e-mailek lekérésére felhőalapú tárolókból, és minden e-mail szolgáltatóval használható. Advik felhasználható a kívánt helyre készült biztonsági másolatok tárolására, és több nyelvet támogat az angol mellett, beleértve a japánt, a spanyolot és a franciát.
Systools MailXaminer:
Ennek az eszköznek a segítségével az ügyfelek megváltoztathatják vadászati csatornáikat a helyzetekre támaszkodva. Alternatív lehetőséget kínál az ügyfeleknek az üzenetek és kapcsolatok belenézésére. Sőt, ez a törvényszéki e-mail eszköz mindenre kiterjedő segítséget kínál mind a munkaterület, mind az elektronikus e-mail adminisztrációk tudományos e-mailes vizsgálatához. Lehetővé teszi a vizsgáztatók számára, hogy egynél több esetet törvényesen és végig kezeljenek. Hasonlóképpen, ezen e-mail elemző eszköz segítségével a szakemberek akár a csevegés részleteit is megtekinthetik, hívásvizsgálatot végezhetnek, és megtekinthetik az üzenet részleteit a Skype alkalmazás különböző kliensei között. A szoftver fő jellemzői, hogy több nyelvet támogat az angol mellett japán, spanyol, francia és kínai nyelven, és a törölt levelek megtérülésének formátuma bírósági szempontból elfogadható. Naplókezelési nézetet nyújt, amelyben az összes tevékenység jól látható. Systools MailXaminer kompatibilis a következővel: dd, e01, cipzár és sok más formátum.
Adcomplain:
Van egy eszköz, az úgynevezett Adcomplain amelyet a kereskedelmi e-mailek és a botnet-feladások, valamint a „gyorsan pénzt keresni”, a „gyors pénz” stb. Az Adcomplain maga fejlécelemzést végez az e-mail küldőn, miután azonosította az ilyen leveleket, és jelentést küld a feladó internetszolgáltatójának.
Következtetés:
Email szinte minden ember használja az internet szolgáltatásait a világ minden tájáról. A csalók és az internetes bűnözők névtelenül hamisíthatják az e-mailek fejlécét, és rosszindulatú és csaló tartalmú e-maileket küldhetnek el, ami adatvesztéshez és feltöréshez vezethet. És ez növeli az e-mail igazságügyi vizsgálat fontosságát. A kiberbűnözők többféle módon és technikával alkalmazzák identitásukat hazudni, például:
- Hamisítás:
Saját személyazonossága elrejtése érdekében a rossz emberek hamisítják az e-mail fejlécét, és helytelen információkkal töltik ki. Amikor az e-mail hamisítás kombinálódik az IP hamisítással, nagyon nehéz a tényleges személyt felkutatni a mögött.
- Engedély nélküli hálózatok:
A már veszélyeztetett hálózatokat (beleértve mind a vezetékes, mind a vezeték nélküli hálózatokat) spam e-mailek küldésére használják az identitás elrejtése érdekében.
- Nyitott levelek továbbítói:
A rosszul konfigurált levelezõ továbbító az összes számítógéprõl fogadja a leveleket, beleértve azokat is, amelyekrõl nem szabad elfogadni. Ezután továbbítja egy másik rendszerbe, amelynek szintén el kell fogadnia a leveleket bizonyos számítógépekről. Ezt a típusú levelezõ továbbítást nyílt levelezõ továbbításnak hívják. Ezt a fajta váltót a csalók és a hackerek használják személyazonosságuk elrejtésére.
- Nyitott proxy:
A gépet, amely lehetővé teszi a felhasználók vagy a számítógépek számára, hogy ezen keresztül más számítógépes rendszerekhez csatlakozzanak, a proxy szerver. Különböző típusú proxy szerverek léteznek, például vállalati proxy szerver, átlátszó proxy szerver stb. az általuk biztosított névtelenség típusától függően. A nyitott proxy szerver nem követi nyomon a felhasználói tevékenységek nyilvántartását, és nem tart naplókat, ellentétben más proxy szerverekkel, amelyek a felhasználói tevékenységek nyilvántartását megfelelő időbélyegzőkkel kezelik. Az ilyen típusú proxy szerverek (nyílt proxy szerverek) névtelenséget és adatvédelmet nyújtanak, amely értékes a csaló vagy a rossz ember számára.
- Névtelenítők:
Az anonimizálók vagy az újraküldő levelezők azok a webhelyek, amelyek a felhasználó internetének magánéletének védelme alatt működnek, és névtelenné teszik őket azzal, hogy szándékosan elhagyják a fejléceket az e-mailből, és nem tartják karban a szerver naplóit.
- SSH-alagút:
Az interneten az alagút biztonságos útvonalat jelent a nem megbízható hálózatban utazó adatok számára. Az alagutazás különböző módon végezhető el, az alkalmazott szoftvertől és technikától függően. Az SSH szolgáltatás használatával létrehozható az SSH port továbbítási alagút, és létrejön egy titkosított alagút, amely az SSH protokoll kapcsolatot használja. A csalók az SSH-alagút használatával e-maileket küldenek, hogy elrejtsék személyazonosságukat.
- Botnetek:
A „ro-bot” -tól kapott bot fogalmát hagyományos felépítésében egy tartalom vagy tartalomkészlet, vagy olyan program ábrázolására használják, amely előre meghatározott művek végrehajtására szolgál újra és újra, következésképpen szándékos aktiválás vagy rendszerfertőzés útján. Annak ellenére, hogy a botok hasznos elemként indultak a nehéz és fárasztó tevékenységek közvetítéséhez, mégis rosszindulatú célokra használják őket. Azokat a botokat, amelyeket a valós gyakorlatok gépesített elvégzésére használnak, kedves botoknak nevezzük, a rosszindulatú célokra szánt botokat pedig rosszindulatú botoknak nevezzük. A botnet egy botok rendszere, amelyet egy botmester korlátoz. A botmester megparancsolhatja, hogy az egész világon aláásott számítógépeken futó ellenőrzött botjai (rosszindulatú botjai) e-mailt küldjenek egyes kijelölt helyekre, miközben álcázzák karakterét, és e-mailes átverést vagy e-mail csalást követnek el.
- Nem követhető internetes kapcsolatok:
Internet kávézó, egyetemi campus, különböző szervezetek az internet megosztásával biztosítják az internet-hozzáférést a felhasználók számára. Ebben az esetben, ha nem tartunk megfelelő naplót a felhasználók tevékenységeiről, akkor nagyon könnyű illegális tevékenységeket és e-mailes csalásokat végrehajtani, és megúszni.
Az e-mail igazságügyi elemzés segítségével megtalálható az e-mail tényleges feladója és fogadója, az érkezési dátum és idő, valamint az üzenet kézbesítésében részt vevő köztes eszközökre vonatkozó információk. Különféle eszközök állnak rendelkezésre a feladatok felgyorsításához és a kívánt kulcsszavak könnyű megtalálásához. Ezek az eszközök elemzik az e-mail fejléceket, és pillanatok alatt megadják az igazságügyi nyomozónak a kívánt eredményt.
