收藏
下载资源

电子邮件的研究与取证

上传人:F****n 文档编号:104643576 上传时间:2019-10-10 格式:DOCX 页数:16 大小:20.99KB
返回 下载 相关 举报
电子邮件的研究与取证_第1页
第1页 / 共16页
电子邮件的研究与取证_第2页
第2页 / 共16页
电子邮件的研究与取证_第3页
第3页 / 共16页
电子邮件的研究与取证_第4页
第4页 / 共16页
电子邮件的研究与取证_第5页
第5页 / 共16页
点击查看更多>>
资源描述

《电子邮件的研究与取证》由会员分享,可在线阅读,更多相关《电子邮件的研究与取证(16页珍藏版)》请在金锄头文库上搜索。

1、唐山私家侦探 http:/电子邮件的研究与取证1 电子邮件系统组成 电子邮件系统的主要组成部分包括,邮件用户代理MUA(Mail User Agent)就是用户与电子邮件系统的接口,提供用户编辑、发送、接收、阅读和处理电子邮件的功能。Outlook,Foxmail等都是很受欢迎的电子邮件用户代理。邮件传送代理MTA(Mail Transfer Agent)是电子邮件系统的核心,运行于后台,主要将邮件通过网络发送给目的MTA、接收邮件并报告邮件传送的情况(己交付、被拒绝、丢失等)。用户不直接和MTA交互,邮件发送队列和邮箱起缓冲的作用,可以使用户收发邮件与实际的邮件传输分开。 2 电子邮件的传输

2、原理 2.1 电子邮件相关协议 电子邮件是通过SMTP和POP3协议来进行收发的。 SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议,是为了保证电子邮件的可靠高效的传送。SMTP协议是存储转发协议,是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式意味着它允许邮件通过一系列的服务器发送到最终目的地。SMTP协议属于TCP/IP协议族,将用户收发邮件与Internet的邮件传输区分开。可用图2-1的通讯模型示意图来表示其通讯过程。 POP3协议(Post Office Protocol 3)是C/S结构的脱机模型的电子邮件协议,目前已发展

3、到第三版,称POP3。它是规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议。POP3允许用户从服务器上把邮件存储到本地主机(即自己的计算机)上,同时删除保存在邮件服务器上的邮件。在POP3协议中有三种状态,认可状态,处理状态和更新状态。当客户机与服务器建立联系时,一旦客户机提供了自己身份并成功确认,即由认可状态转入处理状态,在完成相应的操作后客户机发出quit命令,则进入更新状态,更新之后最后重返认可状态。如图2-2。 2.2 电子邮件的传输过程以及邮件头在传输过程中的变化 下面通过一个例子说明整个邮件传输过程及邮件的信头变化。 假设用户A,Email地址为A-S

4、,使用客户端IP地址是111.11.1.1。用户B,Email地址为B-R,使用客户端IP地址为222.22.2.2。 如果用户A想给B发送邮件,首先A在客户端上编辑邮件,编辑好的邮件通过MUA从客户端发送到其使用的MTA邮件服务器(),邮件服务器根据邮件头中的传输地址将邮件传到B使用的MTA邮件服务器()并储存在该服务器中,直到B使用自己的客户端与该邮件服务器连接,这时将存储的邮件传送到B的客户端上。 在这个过程中,邮件头将三次被加到邮件中:在编辑时由邮件客户程序加入;邮件传输到时被加入;当从传送到时被加入。通常来说客户收取信件时并不添加邮件头。 当A使用邮件客户程序编辑邮件并将其发送给时,

5、邮件头内容如下。这些内容都是由邮件编辑程序添加的: From: A-S (A) To: B-R Date: Tue, Jun 1 2009 15:08:17 GMT X-Mailer: Microsoft Outlook Express 6.00.2900.2180 Subject: Hi! 当邮件从传送到时,本地MTA就会在邮件的上部加入MTA的名字和当前时间及其他一些技术信息,这些信息被称为Received头。邮件的信头变成: Received: from A-S (A-S 111.11.1.1) by (8.8.5) id 004A21;Tue, Jun 1 2009 15:08:21

6、 GMT From: A-S (A) To: B-R Date: Tue, Jun 1 2009 15:08:17 GMT Message-Id: X-Mailer: Microsoft Outlook Express 6.00.2900.2180 Subject: Hi! 当收件人MTA服务器把邮件接收并存储下来,邮件的信头将会再加人一条记录,每个MTA在收到消息时都会在消息的头部添加Received头,这意味着,最后处理邮件的计算机所生成的信息总是处于邮件头的顶部,第一个处理邮件的计算机的信息处于邮件头的底部: Received: from ( 111.11.1.0) by (8.8.

7、5/8.7.2) with ESMTP id LAA20869 for ;Tue,Jun 1 2009 15:09:27 GMT Received: from A-S (A-S 111.11.1.1) by (8.8.5) id 004A21; Tue, Jun 1 2009 15:08:21 GMT From: A-S (A) To: B-R Date: Tue, Jun 1 2009 15:08:17 GMT Message-Id: X-Mailer: Microsoft Outlook Express 6.00.2900.2180 Subject: Hi! 在邮件头的各行中值得一提的是

8、“Message-Id”,这是由发件方的邮件服务器赋给这封邮件的编号。与其他编号不同,这个编号自始至终跟随邮件,这就表示了这封电子邮件的惟一性,在取证过程中也具有特殊意义。 3 电子邮件的编码方式 3.1对电子邮件进行编码的意义 电子邮件一般在传输过程中都要对文件进行编码,因为电子邮件只能传送ASCII码格式的文字信息,ASCII码为7位代码。非ASCII格式的文件在传送中必须经过编码工具编成相应的ASCII 码进行传输,在接收到后接收端再根据编码规则进行解码。由于国内通行的大部分邮件服务器都能够处理GB内码文件,所以可以直接传送文件而不需要编码,但如果要将中文邮件发到国外或在某些不支持8位(

9、非标准ASCII码格式)的某些邮件主机上传输,就会产生乱码。具体地说就是在直接发送中文或非ASCII码的邮件时邮件主机无法处理,便会把文件中每个字符的第八位都滤掉(截去第八位)从而使一些信息和原始信息截然不同,或邮件完全损坏成为乱码无法阅读。这也是目前造成邮件乱码的主要原因之一。 3.2 常用的编码标准 MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展是一个互联网标准,它扩展了电子邮件标准,使其能够支持非ASCII字符、二进制格式附件等多种格式的邮件消息。 MIME标准现已成为Internet电子邮件的主流。使用这种标准,用户根本不需要

10、知道它是如何编码/解码的,所有工作由电子邮件软件自动完成。由于MIME的方便性,愈来愈多的电子邮件软件采用这种方式。 使用MIME标准进行传送的邮件一般包含MIME头(MIME Header)。 4 电子邮件的取证 电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。电子邮件的证据来源主要包括:用户的邮箱,网络上传输数据的记录,服务器上的记录,用户使用的硬盘等,以及对于使用web方式的发送和接收邮件的网页历史记录、Internet的临时文件、网页缓存以及Cookie等。对于司

11、法鉴定取证工作,涉及最多也是最重要的是用户使用的硬盘和邮件服务器的硬盘,因为在这两个地方往往有整个邮件的完整内容。以下主要讨论对用户使用的硬盘所进行的电子邮件取证。 4.1 电子邮件的存储形式和存储位置 用户使用电子邮件收发邮件的方式主要有两种:一种是使用邮件客户端软件进行收发,目前使用的最为广泛的邮件客户端为Outlook、Outlook Express 6、Foxmail等;一种是通过网页浏览器进行在线的邮件收发。 使用Outlook 进行收发的邮件通常以扩展名为.pst的库文件形式存储,默认的存储路径为“Documents and Settings(User Name)Local Set

12、tingsApplication DataMicrosoftOutlook”。 使用Outlook 进行收发的邮件通常以扩展名为.dbx的库文件形式存储,默认的存储路径为“Documents and Settings(User Name)Local SettingsApplication DataIdentities( User IDMicrosoftOutlook Express”。 使用Foxmail进行收发的邮件通常以扩展名为.box的库文件形式存储,默认的存储路径为“Documents and Settings(User Name)Local SettingsApplication D

13、ataIdentities( User IDMicrosoftOutlook Express”。 使用网页浏览器进行在线收发的邮件以网页历史记录的形式存储。不同的操作系统,其存储位置不同。以Microsoft Windows XP操作系统为例,其网页历史记录的存储路径为“Documents and Settings(User Name)Local SettingsTemporary Internet Files”。 通常情况下,根据邮件的存储的形式,使用过滤文件扩展名的方法,可初步确认该邮件客户端使用者收发邮件的使用习惯。 4.2 电子邮件的提取 确定了邮件的位置,下一步的工作就是对其进行提取

14、,查看邮件中的具体内容。根据用户使用电子邮件收发方式的不同,电子邮件的提取方法也主要有两类。 一类是存储在邮件客户端软件中邮件的提取。对于主流客户端软件(Outlook、Outlook Express 6、Foxmail)的提取,可采用将用户使用的硬盘搜索到的中存储的库文件,导入取证机中所安装的,与该库文件对应的邮件客户端软件的存储路径下。 在线收发的邮件,由于其特殊性,有些以网页形式存储的邮件在打开后并不能浏览邮件内容。再加上网页历史记录的文件夹中存储的文件量较大,如简单的使用浏览器进行人工查看的方法,工作量大。因而可使用查找目标邮箱的地址作为关键字,对其进行筛选。该方法亦适用于已删除,需要恢复邮件的查找和提取。 4.3电子邮件头的分析 电子邮件中总会包含发件人身份的有效信息,Received头和Massage-ID,以及在使用MIME编码后进行传送的邮件,Content

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 办公文档 > 教学/培训

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号