《电子邮件取证分析》由会员分享,可在线阅读,更多相关《电子邮件取证分析(2页珍藏版)》请在装配图网上搜索。
1、电子邮件取证分析微软Exchange邮箱系统取证作者:许子桓,查阳,蔡梓祺 来源:中国新通信 2018年第7期一、电子邮件取证介绍电子邮件取证属于计算机取证的范畴,是分析出电子邮件真正的发送者、接收者、发送时 间和发送地点的过程。电子邮件的证据主要来自户邮箱、网络数据记录、服务器上的记录、用 户使用的硬盘等。Exchange Server是Microsoft公司推出的一套功能丰富的电子邮件服务组 件,可以与Out look个人电子邮件系统配合使用。鉴于其强大的邮件业务处理功能,目前国内 外大部分大型公司都以这款Exchange邮箱来作为公司内部的的办公邮件系统。以下的部分我 们将剖析Excha
2、nge的邮件取证分析功能。二、 电子邮件取证分析针对微软Exchange邮箱系统取证分析关于Exchange 2016的框架,可以从Microsoft官网的技术文档上获得Exchange 2016 的架构。在Microsoft本地环境中,数据库可用性组(DAG)是Exchange邮箱系统的核心功能 模块,其内部是一组邮箱服务器。它向前处理来自因特网的客户端访问并与边缘传输服务器进 行交互,向后负责一组数据库的管理,而且还要提供数据库、网络和服务器故障的数据库级自 动恢复功能。更详细地说,邮箱服务器提供能够接受所有协议(SMTP, HTTP等)的客户端访问 服务。这些前端服务负责将连接路由代理服
3、务器到邮箱服务器上相应的后端服务。对于用户来 说,客户端不必直接连接最深层的数据库,而是由邮箱服务器负责中间的一系列操作。当用户 通过Exchange的客户端发送邮件时,邮件至少需要遍历一台MIcrosoft的本地邮箱服务器, 这成为了邮件取证的有力支撑。Exchange提供了邮件追踪功能。Exchange的邮件服务器对处 理过的每一封邮件生成邮件追踪日志,包括经过邮箱服务器和边缘传输服务器的邮件的所有的 操作行为。日志文件包含有邮件的详细信息,其字段达30 条,除了常见的发送时间、接收时间、发 件人、收件人、邮件主题、使用协议之外,还包括IP地址,邮件标识符,邮件传输规则等信 息,这些信息为
4、一封单薄的邮件提供大量的证据信息。然而,由于数据库容量的限制,邮件追踪日志并不会记录邮件的内容。因此在取证工作中, 已删除邮件的恢复工作显得尤为重要。在Exchange的应用场景中,用户一般使用Outlook作 为个人电子邮件收发软件,与Exchange搭配使用。当用户删除电子邮件、联系人时,邮件系 统会将其自动移动到邮箱中的“已删除邮件”文件夹中。用户可以在这个文件夹中将被删除的 信息恢复。若用户在“已删除邮件”文件夹中将文件彻底删除,即一般意义上的从个人客户端 上删除邮件后,管理员仍然可以通过Exchange服务器端的shellExchange ManagementShell(EMS)来搜
5、索这些已经被删除的邮件。要想搜索这些邮件,管理员必须知道源邮箱,目 标邮箱,以及搜索条件,通过构造形如以下的语句:Search -Mailbox “Chirs” -SearchQuery “from:Michelle”-TargetMailbox “Discovery Search Mailbox”-TargetFolder “Chris Recovery”-LogLevel Full以尝试恢复邮件。若成功搜索需要恢复的邮件,管理员可以登录到目标邮箱以检查。这些 功能是电子邮件取证工作的一个典型应用,为电子邮件的取证分析工作提供大量帮助。三、电子邮件取证所面临的问题(1)电子邮件欺骗:这种方式
6、是指修改邮件的实际发送者,邮件发送者使用工具将他的 IP 地址换成其他的 IP 地址。(2)邮件中继:也就是使用其它的邮件服务器发送电子邮件。 正确配置的邮件服务器只处理系统内的用户发送的邮件,不会对系统外的 IP 地址发送的邮件 进行中继。一旦邮件服务器配置不当,就可能会被他人利用。(3)电子邮件账户的盗用:这很 容易理解,一旦黑客获取了某人的电子邮箱的用户名和密码后。就很难追踪到真正的发送者。 (4)免费的电子邮箱:很多人都使用免费的电子邮箱,这些邮箱申请者的信息往往是虚假的。 (5)目前越来越多的 web 邮件( 通过浏览器在线收发的邮件) 服务商, 对用户提供了加密的 登录方式, 这对于离线的取证工作, 无疑增加了很大的难度。取证人员在使用者的硬盘中往往 只能够看到用户所使用邮件服务商的网页框架, 而无法看到其邮件内容。这也是今后日趋成熟 的电子邮件取证技术所需要研究的内容之一。
电子邮件取证分析
