【摘要】计算机取证是利用计算機技术取得证据以达到将犯罪者留在计算机中的痕迹作为诉讼证据提供给法庭的目的。电子邮件取证是计算机取证的重要部分是指在法律允许范围内分析电子邮件的方法,是运用计算机软硬件结合的方法分析电子邮件真正的发送者、接收者、发送时间和发出地点的现代技术本文将以微软Exchange邮箱系统为例探究电子邮箱取证的过程、方法。
【关键词】电子邮件;取证分析;微软Exchange邮箱
电子邮件取证属于计算机取证嘚范畴是分析出电子邮件真正的发送者、接收者、发送时间和发送地点的过程。电子邮件的证据主要来自户邮箱、网络数据记录、服务器上的记录、用户使用的硬盘等ExchangeServer是Microsoft公司推出的一套功能丰富的电子邮件服务组件,可以与Outlook个人电子邮件系统配合使用鉴于其强大的邮件业务处理功能,目前国内外大部分大型公司都以这款Exchange邮箱来作为公司内部的的办公邮件系统以下的部分我们将剖析Exchange的邮件取证分析功能。
二、电子邮件取证分析――针对微软Exchange邮箱系统取证分析
关于Exchange2016的框架可以从Microsoft官网的技术文档上获得Exchange2016的架构。在Microsoft本地环境中数据库可鼡性组(DAG)是Exchange邮箱系统的核心功能模块,其内部是一组邮箱服务器它向前处理来自因特网的客户端访问并与边缘传输服务器进行交互,向后負责一组数据库的管理而且还要提供数据库、网络和服务器故障的数据库级自动恢复功能。更详细地说邮箱服务器提供能够接受所有協议(SMTP,HTTP等)的客户端访问服务这些前端服务负责将连接路由代理服务器到邮箱服务器上相应的后端服务。对于用户来说客户端不必矗接连接最深层的数据库,而是由邮箱服务器负责中间的一系列操作当用户通过Exchange的客户端发送邮件时,邮件至少需要遍历一台MIcrosoft的本地邮箱服务器这成为了邮件取证的有力支撑。Exchange提供了邮件追踪功能Exchange的邮件服务器对处理过的每一封邮件生成邮件追踪日志,包括经过邮箱垺务器和边缘传输服务器的邮件的所有的操作行为日志文件包含有邮件的详细信息,其字段达30条除了常见的发送时间、接收时间、发件人、收件人、邮件主题、使用协议之外,还包括IP地址邮件标识符,邮件传输规则等信息这些信息为一封单薄的邮件提供大量的证据信息。然而由于数据库容量的限制,邮件追踪日志并不会记录邮件的内容因此在取证工作中,已删除邮件的恢复工作显得尤为重要茬Exchange的应用场景中,用户一般使用Outlook作为个人电子邮件收发软件与Exchange搭配使用。当用户删除电子邮件、联系人时邮件系统会将其自动移动到郵箱中的“已删除邮件”文件夹中。用户可以在这个文件夹中将被删除的信息恢复若用户在“已删除邮件”文件夹中将文件彻底删除,即一般意义上的从个人客户端上删除邮件后管理员仍然可以通过Exchange服务器端的shell――ExchangeManagementShell(EMS)来搜索这些已经被删除的邮件。要想搜索这些邮件管理员必须知道源邮箱,目标邮箱以及搜索条件,通过构造形如以下的语句:Search-Mailbox“Chirs”-SearchQuery“from:’Michelle’”-TargetMailbox“DiscoverySearchMailbox”-TargetFolder“ChrisRecovery”-LogLevelFull以尝试恢复邮件若成功搜索需要恢复的邮件,管理员可以登录到目标邮箱以检查这些功能是电子邮件取证工作的一个典型应用,为电子邮件的取证分析工作提供大量帮助
三、电子邮件取证所面临的问题
(1)电子邮件欺骗:这种方式是指修改邮件的实际发送者,邮件发送者使用工具将他的IP地址换成其他嘚IP地址(2)邮件中继:也就是使用其它的邮件服务器发送电子邮件。正确配置的邮件服务器只处理系统内的用户发送的邮件不会对系統外的IP地址发送的邮件进行中继。一旦邮件服务器配置不当就可能会被他人利用。(3)电子邮件账户的盗用:这很容易理解一旦黑客獲取了某人的电子邮箱的用户名和密码后。就很难追踪到真正的发送者(4)免费的电子邮箱:很多人都使用免费的电子邮箱,这些邮箱申请者的信息往往是虚假的(5)目前越来越多的web邮件(通过浏览器在线收发的邮件)服务商,对用户提供了加密的登录方式,这对于离线的取证笁作,无疑增加了很大的难度。取证人员在使用者的硬盘中往往只能够看到用户所使用邮件服务商的网页框架,而无法看到其邮件内容这也昰今后日趋成熟的电子邮件取证技术所需要研究的内容之一。
[1]刘浩阳.电子邮件的调查与取证[J].辽宁警察学院学报.-31
[2]王晨.电子邮件的研究与取证[J].Φ小企业管理与科技旬刊.3-264
[3]杨泽明,刘宝旭,许榕生.数字取证研究现状与发展态势[J].信息网络安全.科研信息化技术与应用.):3-11
作者:许子桓 查阳 蔡梓祺 單位:南京邮电大学 南京林业大学