Phenquestions
E-pasta arhitektūra:
Kad lietotājs nosūta e-pastu, e-pasts adresāta beigās nenonāk tieši pasta serverī; drīzāk tas iet caur dažādiem pasta serveriem.
MUA ir programma klienta galā, kas tiek izmantota e-pastu lasīšanai un rakstīšanai. Ir dažādi MUA, piemēram, Gmail, Outlook utt. Ikreiz, kad MUA nosūta ziņojumu, tas nonāk MTA, kas atšifrē ziņojumu un identificē atrašanās vietu, kur to paredzēts nosūtīt, nolasot galvenes informāciju, un modificē tā galveni, pievienojot datus, pēc tam to nodod MTA saņemošajā galā. Pēdējā MTA klātbūtne tieši pirms MUA atšifrē ziņojumu un nosūta to MUA saņēmēja galā. Tāpēc e-pasta galvenē mēs varam atrast informāciju par vairākiem serveriem.
E-pasta galvenes analīze:
E-pasta kriminālistika sākas ar e-pasta pētījumu galveni jo tajā ir ļoti daudz informācijas par e-pasta ziņojumu. Šī analīze sastāv gan no satura pamatteksta, gan e-pasta galvenes ar informāciju par doto e-pastu. E-pasta galvenes analīze palīdz identificēt lielāko daļu ar e-pastu saistīto noziegumu, piemēram, pikšķerēšanas, surogātpasta izplatīšanas, e-pasta izlikšanās utt. Krāpšanās ir tehnika, ar kuras palīdzību var izlikties par kādu citu, un normāls lietotājs uz brīdi domātu, ka tas ir viņa draugs vai kāds cilvēks, kuru viņš jau pazīst. Vienkārši kāds sūta e-pastus no sava drauga viltotās e-pasta adreses, un nav tā, ka viņa konts būtu uzlauzts.
Analizējot e-pasta galvenes, var uzzināt, vai e-pasts, kuru viņš saņēmis, ir no viltotas vai reālas e-pasta adreses. Lūk, kā izskatās e-pasta galvene:
Piegādāts: [e-pasts aizsargāts]Saņemts: līdz 2002. gadam: a0c: f2c8: 0: 0: 0: 0: 0 ar SMTP id c8csp401046qvm;
Trešdiena, 2020. gada 29. jūlijs 05:51:21 -0700 (PDT)
X saņemts: līdz 2002. gadam: a92: 5e1d :: ar SMTP id s29mr19048560ilb.245. lpp.1596027080539;
Trešdiena, 2020. gada 29. jūlijs 05:51:20 -0700 (PDT)
ARC-Seal: i = 1; a = rsa-ša256; t = 1596027080; cv = nav;
d = google.com; s = loka-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Or2Q ==
ARC-Message-Signature: i = 1; a = rsa-ša256; c = atvieglinātas / atvieglinātas; d = google.com; s = loka-20160816;
h = uz: tēma: ziņojuma id: datums: no: mime-versija: dkim-paraksts;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxQTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
ARC autentifikācijas rezultāti: i = 1; mx.google.com;
dkim = pass [aizsargāta ar e-pastu] galvene.s = 20161025 galvene.b = JygmyFja;
spf = iet (google.com: [email protected] domēns apzīmē 209.85.22000 as
atļautais sūtītājs) [e-pasts aizsargāts];
dmarc = pass (p = NONE sp = QUARANTINE dis = NONE) galvene.no = gmail.com
Atgriešanās ceļš: <[email protected]>
Saņemts: no mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])
autors mx.google.com ar SMTPS id n84sor2004452iod.19.2020. gads.07.29.00.00.00
priekš <[email protected]>
(Google transporta drošība);
Trešdiena, 2020. gada 29. jūlijs 05:51:20 -0700 (PDT)
Saņemts-SPF: caurlaide (google.com: [aizsargāta ar e-pastu] domēns apzīmē 209.85.000.00
kā atļautais sūtītājs) client-ip = 209.85.000.00;
Autentifikācijas rezultāti: mx.google.com;
dkim = pass [aizsargāta ar e-pastu] galvene.s = 20161025 galvene.b = JygmyFja;
spf = iet (google.com: domēna [aizsargāts ar e-pastu] nosaukums
209. lpp.85.000.00 kā atļautais sūtītājs) [e-pasts aizsargāts];
dmarc = pass (p = NONE sp = QUARANTINE dis = NONE) galvene.no = gmail.com
DKIM paraksts: v = 1; a = rsa-ša256; c = atvieglinātas / atvieglinātas;
d = gmail.com; s = 20161025;
h = mime-version: no: datums: ziņojuma id: tēma: līdz;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
X-Google-DKIM-paraksts: v = 1; a = rsa-ša256; c = atvieglinātas / atvieglinātas;
d = 1e100.tīkls; s = 20161025;
h = x-gm-message-state: mime-version: no: datums: ziņojuma ID: tēma: līdz;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
X-Gm-Message-State: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
X-Google-Smtp-Source: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
X Saņemts: līdz 2002. gadam: a05: 0000: 0b :: ar SMTP id v11mr21571925jao.122.1596027079698;
Trešdiena, 2020. gada 29. jūlijs 05:51:19 -0700 (PDT)
MIME versija: 1.0
No: Markuss Stoinis <[email protected]>
Datums: trešdiena, 2020. gada 29. jūlijs 17:51:03 +0500
Ziņojuma ID: <[email protected]om>
Temats:
Kam: [aizsargāts ar e-pastu]
Satura tips: daudzdaļīgs / alternatīvs; robeža = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Content-Type: teksts / vienkāršs; charset = "UTF-8"
Lai saprastu galvenes informāciju, ir jāsaprot tabulas strukturētais lauku kopums.
X - acīmredzot: Šis lauks ir noderīgs, ja e-pasts tiek nosūtīts vairākiem adresātiem, piemēram, diskrētā kopija vai adresātu saraksts. Šajā laukā ir adrese uz TO laukā, bet diskrētās kopijas gadījumā X-Acīmredzot lauks ir atšķirīgs. Tātad, šis lauks norāda adresāta adresi, neskatoties uz to, ka e-pasts tiek nosūtīts kā kopija, diskrētā kopija vai kāds adresātu saraksts.
Atgriešanās ceļš: Laukā Return-path ir pasta adrese, kuru sūtītājs norādījis laukā From.
Saņemtais SPF: Šajā laukā ir domēns, no kura ir saņemts pasts. Šajā gadījumā tā
Saņemts-SPF: caurlaide (google.com: [email protected] domēns apzīmē 209.85.000.00 kā atļautais sūtītājs) client-ip = 209.85.000.00;
X surogātpasta attiecība: Saņēmēja serverī vai MUA ir surogātpasta filtrēšanas programmatūra, kas aprēķina surogātpasta rādītāju. Ja surogātpasta rādītājs pārsniedz noteiktu robežu, ziņojums tiek automātiski nosūtīts uz surogātpasta mapi. Vairāki MUA mēstuļu rādītājiem, piemēram, izmanto dažādus lauku nosaukumus X-spam attiecība, X-spam statuss, X-spam karodziņš, X-spam līmenis utt.
Saņemts: Šajā laukā ir pēdējā MTA servera IP adrese nosūtīšanas beigās, kurš pēc tam nosūta e-pastu uz MTA saņēmējā. Dažās vietās to var redzēt zem X radās laukā.
X-sieta galvene: Šis lauks norāda ziņojumu filtrēšanas sistēmas nosaukumu un versiju. Tas attiecas uz valodu, ko lieto, lai norādītu nosacījumus e-pasta ziņojumu filtrēšanai.
X-spam rakstzīmes: Šajā laukā ir informācija par rakstzīmju kopām, kuras tiek izmantotas tādu e-pastu filtrēšanai kā UTF utt. UTF ir laba rakstzīmju kopa, kurai ir spēja būt savietojama ar ASCII.
X nolēma: Šajā laukā ir saņēmēja e-pasta adrese, vai arī mēs varam pateikt pasta servera adresi, kurai sūtītāja MDA piegādā. Lielāko daļu reižu, X piegādāts uz, un šajā laukā ir tā pati adrese.
Autentifikācijas rezultāti: Šis lauks norāda, vai saņemtā vēstule no norādītā domēna ir pagājusi DKIM paraksti un Domēna atslēgas paraksts vai nē. Šajā gadījumā tā arī notiek.
Autentifikācijas rezultāti: mx.google.com;dkim = pass [aizsargāta ar e-pastu] galvene.s = 20161025 galvene.b = JygmyFja;
spf = iet (google.com: domēna [aizsargāts ar e-pastu] nosaukums
209. lpp.85.000.00 kā atļautais sūtītājs)
Saņemts: Pirmajā saņemtajā laukā ir informācija par izsekošanu, jo iekārtas IP nosūta ziņojumu. Tajā tiks parādīts iekārtas nosaukums un tā IP adrese. Šajā laukā var redzēt precīzu ziņojuma saņemšanas datumu un laiku.
Saņemts: no mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])autors mx.google.com ar SMTPS id n84sor2004452iod.19.2020. gads.07.29.00.00.00
priekš <[email protected]>
(Google transporta drošība);
Trešdiena, 2020. gada 29. jūlijs 05:51:20 -0700 (PDT)
Kam, no kā un tēmai: Laukos “Kam”, “no” un “tēma” ir informācija par saņēmēja e-pasta adresi, sūtītāja e-pasta adresi un tēmu, kas norādīta sūtītāja sūtīšanas laikā. Temata lauks ir tukšs, ja sūtītājs to atstāj.
MIME galvenes: Priekš MUA veikt pareizu dekodēšanu, lai ziņojums tiktu droši nosūtīts klientam, MIME pārsūtīšanas kodēšana, MIME saturs, tā versija un garums ir svarīgs temats.
MIME versija: 1.0Content-Type: teksts / vienkāršs; charset = "UTF-8"
Satura tips: daudzdaļīgs / alternatīvs; robeža = "00000000000023294e05ab94032b"
Ziņojuma ID: Ziņojuma ID satur domēna nosaukumu, kam sūtīšanas serveris pievienojis unikālo numuru.
Ziņojuma ID: <[email protected]om>Servera izmeklēšana:
Šāda veida izmeklēšanā tiek pētīti pārsūtīto ziņojumu un darbinieku žurnālu dublikāti, lai atšķirtu e-pasta avotu. Pat ja klienti (sūtītāji vai saņēmēji) izdzēš savus e-pasta ziņojumus, kurus nevar atgūt, serveri (starpniekserveri vai pakalpojumu sniedzēji) var reģistrēt šos ziņojumus lielās daļās. Šie starpnieki glabā visu ziņojumu dublikātus pēc to pārsūtīšanas. Turklāt žurnālus, kurus uztur darbinieki, var koncentrēt, lai sekotu datora atrašanās vietai, par kuru var atbildēt, lai veiktu e-pasta apmaiņu. Jebkurā gadījumā starpniekserveris vai ISP glabā e-pasta un servera žurnālu dublikātus tikai noteiktu laiku, un daži, iespējams, nesadarbojas ar tiesu izmeklētājiem. Turklāt SMTP darbiniekus, kuri glabā informāciju, piemēram, Visa numuru un citu informāciju par pastkastes īpašnieku, var izmantot, lai atšķirtu personas aiz e-pasta adreses.
Ēsmas taktika:
Veicot šāda veida izmeklēšanu, e-pasts ar http: “” birka ar attēla avotu jebkurā datorā, ko pārbaudījuši pārbaudītāji, tiek nosūtīta izmeklējamā e-pasta sūtītājam, kurā ir īstas (autentiskas) e-pasta adreses. Tajā brīdī, kad tiek atvērts e-pasts, HTTP serverī tiek ierakstīta žurnāla sadaļa, kurā ir adresāta IP adrese (vainīgā sūtītājs), kurš mitina attēlu, un, ievērojot šīs līnijas, sūtītājs ir sekoja. Jebkurā gadījumā, ja persona saņēmēja galā izmanto starpniekserveri, starpniekservera IP adrese tiek izsekota.
Starpniekserveris satur žurnālu, un to var tālāk izmantot, lai sekotu izmeklējamā e-pasta sūtītājam. Gadījumā, ja kaut kāda paskaidrojuma dēļ pat starpniekservera žurnāls nav pieejams, pārbaudītāji tajā brīdī var nosūtīt nepatīkamo e-pastu ar Iegultā Java Applet, kas darbojas saņēmēja datorsistēmā vai HTML lapa ar Active X objektu atrast viņu vēlamo personu.
Tīkla ierīces izmeklēšana:
Tīkla ierīces, piemēram, ugunsmūri, reuters, slēdži, modemi utt. satur žurnālus, kurus var izmantot e-pasta avota izsekošanai. Šāda veida izmeklēšanā šie žurnāli tiek izmantoti, lai izpētītu e-pasta ziņojuma avotu. Tas ir ļoti sarežģīts kriminālistikas izmeklēšanas veids, un to reti izmanto. To bieži lieto, ja starpniekservera vai ISP nodrošinātāja žurnāli nav pieejami kāda iemesla dēļ, piemēram, apkopes trūkums, slinkums vai ISP nodrošinātāja atbalsta trūkums.
Programmatūras iegultie identifikatori:
Daži dati par e-pastā pievienoto ierakstu vai arhīvu sastādītāju var tikt iekļauti ziņojumā, izmantojot e-pasta programmatūru, kuru sūtītājs izmanto pasta sastādīšanai. Šos datus var atcerēties par pielāgoto galvenju tipu vai kā MIME saturu kā TNE formātu. Izpētot šo smalkumu e-pastu, var atklāt dažus būtiskus datus par sūtītāju e-pasta preferencēm un izvēli, kas varētu atbalstīt klienta puses pierādījumu vākšanu. Pārbaudē var atklāt PST dokumentu nosaukumus, MAC adresi un tā tālāk no klienta datora, ko izmanto e-pasta ziņojumu sūtīšanai.
Pielikuma analīze:
Starp vīrusiem un ļaunprātīgu programmatūru lielākā daļa no tiem tiek sūtīti, izmantojot e-pasta savienojumus. E-pasta pielikumu pārbaude ir steidzama un izšķiroša jebkurā ar e-pastu saistītajā pārbaudē. Privāto datu noplūde ir vēl viena nozīmīga pārbaudes joma. Ir pieejama programmatūra un rīki, lai atgūtu ar e-pastu saistītu informāciju, piemēram, pielikumi no datorsistēmas cietajiem diskiem. Lai pārbaudītu šaubīgus savienojumus, izmeklētāji augšupielādē pielikumus tiešsaistes smilškastē, piemēram, VirusTotal, lai pārbaudītu, vai dokuments ir ļaunprātīga programmatūra. Lai kā arī būtu, pārvaldībai prioritāšu saraksta augšdaļā ir kritiski svarīgi, ka neatkarīgi no tā, vai ieraksts tiek novērtēts, piemēram, VirusTotal's, tas nav pārliecība, ka tas ir pilnībā aizsargāts. Ja tas notiek, ir gudra doma turpināt izpētīt ierakstu smilšu kastes situācijā, piemēram, Dzeguze.
Sūtītāja sūtītāja pirkstu nospiedumi:
Par pārbaudi Saņemts laukā galvenēs var identificēt programmatūru, kas rūpējas par e-pastiem servera beigās. No otras puses, pārbaudot X-pastnieks laukā var identificēt programmatūru, kas rūpējas par e-pastiem klienta galā. Šie galvenes lauki attēlo programmatūru un to versijas, kas klienta beigās tiek izmantotas e-pasta nosūtīšanai. Šos datus par sūtītāja klienta datoru var izmantot, lai palīdzētu eksaminētājiem formulēt spēcīgu stratēģiju, un tādējādi šīs rindas ir ļoti vērtīgas.
E-pasta kriminālistikas rīki:
Pēdējā desmitgadē ir izveidoti daži e-pasta noziegumu vietas izmeklēšanas rīki vai programmatūra. Bet lielākā daļa rīku ir izveidoti izolēti. Turklāt lielākajai daļai šo rīku nav paredzēts atrisināt konkrētu ar digitālo vai datoru saistītu pārkāpumu problēmu. Tā vietā viņi plāno meklēt vai atgūt datus. Kriminālistikas instrumenti ir uzlaboti, lai atvieglotu izmeklētāja darbu, un internetā ir pieejami daudzi lieliski rīki. Daži e-pasta kriminālistikas analīzei izmantotie rīki ir šādi:
EmailTrackerPro:
EmailTrackerPro izmeklē e-pasta ziņojuma galvenes, lai atpazītu tās mašīnas IP adresi, kura nosūtīja ziņojumu, lai varētu atrast sūtītāju. Tas var vienlaikus sekot dažādiem ziņojumiem un tos efektīvi uzraudzīt. IP adrešu atrašanās vieta ir galvenie dati, lai izlemtu e-pasta ziņojuma bīstamības līmeni vai likumību. Šis lieliskais rīks var palikt pie pilsētas, no kuras, visticamāk, ir e-pasts. Tas atpazīst sūtītāja ISP un sniedz kontaktinformāciju turpmākai pārbaudei. Īsts ceļš uz sūtītāja IP adresi tiek atspoguļots vadības tabulā, sniedzot papildu apgabala datus, lai palīdzētu izlemt sūtītāja faktisko apgabalu. Tajā ļoti labi var izmantot ļaunprātīgas izmantošanas ziņošanas elementu, lai turpmāku pārbaudi vienkāršotu. Lai pasargātu no surogātpasta, tā pārbauda un pārbauda e-pastus, ņemot vērā surogātpasta melnos sarakstus, piemēram, Spamcops. Tas atbalsta dažādas valodas, tostarp japāņu, krievu un ķīniešu valodas surogātpasta filtrus, kā arī angļu valodu. Nozīmīgs šī rīka elements ir ļaunprātīgas izmantošanas atklāšana, kas var izveidot ziņojumu, kuru var nosūtīt sūtītāja pakalpojumu sniedzējam (ISP). Pēc tam ISP var atrast veidu, kā atrast konta turētājus un palīdzēt izslēgt surogātpastu.
Xtraxtor:
Šis lieliskais rīks Xtraxtor ir izveidots, lai nošķirtu e-pasta adreses, tālruņa numurus un ziņojumus no dažādiem failu formātiem. Tas, protams, atšķir noklusējuma apgabalu un ātri izmeklē jūsu e-pasta informāciju. Klienti to var izdarīt bez lielas izstiepšanas e-pasta adreses no ziņojumiem un pat no failu pielikumiem. Xtraxtor atjauno izdzēstos un neizdzēstos ziņojumus no daudzām pastkastes konfigurācijām un IMAP pasta kontiem. Turklāt tam ir vienkārši iemācāms interfeiss un laba palīdzības funkcija, kas atvieglo lietotāju darbību, un tas ietaupa daudz laika, izmantojot ātru e-pastu, sagatavojot motora un dublēšanas funkcijas. Xtraxtor ir saderīgs ar Mac MBOX failiem un Linux sistēmām un var nodrošināt jaudīgas funkcijas, lai atrastu atbilstošu informāciju.
Advik (e-pasta dublēšanas rīks):
Advik, e-pasta dublēšanas rīks, ir ļoti labs rīks, ko izmanto, lai pārsūtītu vai eksportētu visus e-pastus no savas pastkastes, ieskaitot visas mapes, piemēram, nosūtītās, melnrakstus, iesūtni, surogātpastu utt. Lietotājs bez īpašas piepūles var lejupielādēt jebkura e-pasta konta dublējumu. E-pasta dublējuma konvertēšana dažādos failu formātos ir vēl viena lieliska šī lieliskā rīka īpašība. Tās galvenā iezīme ir Avansa filtrs. Šī opcija var ietaupīt ārkārtīgi daudz laika, īsā laikā eksportējot vajadzīgos ziņojumus no pastkastes. IMAP funkcija dod iespēju ielādēt e-pastus no mākoņa bāzes krātuvēm, un tos var izmantot ar visiem e-pasta pakalpojumu sniedzējiem. Advik var izmantot mūsu vēlamās atrašanās vietas dublējumu glabāšanai un atbalsta vairākas valodas kopā ar angļu valodu, tostarp japāņu, spāņu un franču.
Sistools MailXaminer:
Ar šī rīka palīdzību klientam ir atļauts mainīt medību kanālus, balstoties uz situācijām. Tas klientiem piedāvā alternatīvu ieskatīties ziņojumos un savienojumos. Turklāt šis kriminālistikas e-pasta rīks papildus piedāvā visaptverošu palīdzību gan darba zonas, gan elektronisko e-pasta administrāciju zinātniskai e-pasta pārbaudei. Tas ļauj pārbaudītājiem likumīgā veidā izskatīt vairāk nekā vienu lietu. Tāpat ar šī e-pasta analizēšanas rīka palīdzību speciālisti var apskatīt pat tērzēšanas detaļas, veikt zvanu pārbaudi un skatīt ziņas starp dažādiem Skype lietojumprogrammas klientiem. Šīs programmatūras galvenās iezīmes ir tādas, ka tā atbalsta vairākas valodas kopā ar angļu valodu, ieskaitot japāņu, spāņu, franču un ķīniešu valodu, un formāts, kādā tā atgūst izdzēstos vēstules, ir tiesā pieņemams. Tas nodrošina žurnāla pārvaldības skatu, kurā tiek parādīts labs visu darbību skats. Sistools MailXaminer ir saderīgs ar dd, e01, zip un daudzi citi formāti.
Adcomplain:
Ir rīks, ko sauc Adcomplain kas tiek izmantots, lai ziņotu par komerciāliem e-pastiem un robottīkliem, kā arī par tādām reklāmām kā “nopelnīt ātri”, “ātri nopelnīt” utt. Adcomplain pats veic e-pasta sūtītāja galvenes analīzi pēc šāda pasta identificēšanas un ziņo par to sūtītāja ISP.
Secinājums:
E-pasts lieto gandrīz katra persona, kas izmanto interneta pakalpojumus visā pasaulē. Krāpnieki un kibernoziedznieki var anonīmi viltot e-pasta galvenes un sūtīt e-pastus ar ļaunprātīgu un krāpniecisku saturu, kas var izraisīt datu kompromisus un uzlaušanu. Un tas palielina e-pasta tiesu ekspertīzes nozīmi. Kibernoziedznieki izmanto vairākus veidus un paņēmienus, lai melotu par savu identitāti, piemēram:
- Krāpšanās:
Lai slēptu savu identitāti, slikti cilvēki vilto e-pasta ziņu galvenes un aizpilda to ar nepareizu informāciju. Kad e-pasta krāpšana apvienojas ar IP krāpšanos, ir ļoti grūti izsekot faktisko personu, kas aiz tā atrodas.
- Neautorizēti tīkli:
Tīkli, kas jau tiek apdraudēti (ieskaitot gan vadu, gan bezvadu), tiek izmantoti, lai nosūtītu surogātpasta vēstules, lai paslēptu identitāti.
- Atvērtie pasta releji:
Nepareizi konfigurēts pasta relejs pieņem vēstules no visiem datoriem, ieskaitot tos, no kuriem tai nevajadzētu pieņemt. Tad tas pārsūta to uz citu sistēmu, kurai arī jāpieņem pasts no konkrētiem datoriem. Šāda veida pasta pārsūtīšanu sauc par atvērtu pasta pārsūtīšanu. Šādu stafeti krāpnieki un hakeri izmanto, lai slēptu savu identitāti.
- Atvērt starpniekserveri:
Mašīnu, kas ļauj lietotājiem vai datoriem caur to izveidot savienojumu ar citām datorsistēmām, sauc par a starpniekserveris. Ir dažādi starpniekserveru veidi, piemēram, korporatīvais starpniekserveris, caurspīdīgais starpniekserveris utt. atkarībā no to sniegtā anonimitātes veida. Atvērtais starpniekserveris neizseko lietotāju darbību ierakstus un neuztur žurnālus, atšķirībā no citiem starpniekserveriem, kuri uztur lietotāja darbību ierakstus ar pareiziem laika zīmogiem. Šāda veida starpniekserveri (atvērtie starpniekserveri) nodrošina anonimitāti un privātumu, kas ir vērtīgs krāpniekam vai ļaundaram.
- Anonimizētāji:
Anonimizētāji vai atkārtoti sūtītāji ir vietnes, kas darbojas aizsegā, lai aizsargātu lietotāja privātumu internetā, un padara tās anonīmas, apzināti nometot e-pasta galvenes un neuzturot servera žurnālus.
- SSH tunelis:
Internetā tunelis nozīmē drošu ceļu datiem, kas pārvietojas neuzticamā tīklā. Tunelēšanu var veikt dažādos veidos, kas ir atkarīgi no izmantotās programmatūras un tehnikas. Izmantojot SSH funkciju, var izveidot SSH porta pārsūtīšanas tuneli un izveidot šifrētu tuneli, kas izmanto SSH protokola savienojumu. Krāpnieki izmanto SSH tunelēšanu, sūtot e-pastus, lai slēptu savu identitāti.
- Botnets:
Termins bots, kas iegūts no “ro-bot”, savā parastajā struktūrā tiek izmantots, lai attēlotu saturu, satura kopu vai programmu, kas paredzēta iepriekš noteiktu darbu veikšanai atkārtoti un līdz ar to pēc tam, kad tiek aktivizēta apzināti vai ar sistēmas infekcijas. Neskatoties uz to, ka robotprogrammatūras sāka darboties kā noderīgs elements, lai nodotu sliktas un garlaicīgas darbības, tomēr tās tiek ļaunprātīgi izmantotas ļaunprātīgiem mērķiem. Botus, kas tiek izmantoti, lai reālus vingrinājumus veiktu mehanizēti, sauc par laipnajiem robotiem, un tos, kas paredzēti ļaundabīgiem mērķiem, sauc par ļaunprātīgiem robotiem. Botnets ir robotu sistēma, kuru ierobežo robotu pārzinis. Robotmeistars var likt saviem kontrolētajiem robotiem (ļaundabīgajiem robotprogrammatūrām), kas darbojas uz apdraudētiem datoriem visā pasaulē, nosūtīt e-pastu uz dažām piešķirtajām vietām, maskējot tā raksturu un veicot krāpšanos pa e-pastu vai krāpšanu pa e-pastu.
- Neizsekojami interneta savienojumi:
Interneta kafejnīca, universitātes pilsētiņa, dažādas organizācijas nodrošina interneta piekļuvi lietotājiem, daloties internetā. Šajā gadījumā, ja netiek kārtots pareizs žurnāls par lietotāju darbībām, ir ļoti viegli veikt nelikumīgas darbības un izkrāpšanu pa e-pastu, kā arī tikt no tā prom.
E-pasta kriminālistikas analīze tiek izmantota, lai atrastu faktisko e-pasta sūtītāju un saņēmēju, tā saņemšanas datumu un laiku, kā arī informāciju par starpniekierīcēm, kas saistītas ar ziņojuma piegādi. Ir arī pieejami dažādi rīki, lai paātrinātu uzdevumus un viegli atrastu vēlamos atslēgvārdus. Šie rīki analizē e-pasta galvenes un īsā laikā sniedz tiesu izmeklētājam vēlamo rezultātu.
