Resumen : En esta publicación, hemos discutido las técnicas de investigación de correo electrónico: análisis de encabezado de correo electrónico, investigación del servidor de correo electrónico, investigación de dispositivos de red, huellas dactilares del remitente, identificadores integrados de software y tácticas de cebo. También proporcionamos una poderosa herramienta forense de correo electrónico que puede descargar y usar de forma gratuita por hasta 60 días .

PRUEBE 60 DÍAS GRATIS

¿Qué es el análisis forense de correo electrónico?

El análisis forense del correo electrónico es una rama del análisis forense digital que se centra en el análisis forense del correo electrónico para recopilar evidencia digital de ataques de ciberseguridad e incidentes cibernéticos. Comprende una investigación forense en profundidad de varios aspectos del correo electrónico, como ID de mensajes, rutas de transmisión, archivos y documentos adjuntos, direcciones IP de servidores y computadoras, etc.

Los profesionales forenses de correo electrónico utilizan las siguientes técnicas para examinar los correos electrónicos y analizar la evidencia digital:

1. Análisis de encabezado de correo electrónico

Los encabezados de correo electrónico contienen información esencial, incluido el nombre del remitente y el destinatario, la ruta (servidores y otros dispositivos) a través de la cual atravesó el mensaje, etc. Algunos de los campos de encabezado de correo electrónico críticos se destacan en la Figura 1.

Los detalles vitales en los encabezados de correo electrónico ayudan a los investigadores y expertos forenses en la investigación del correo electrónico. por ejemplo, el Entregado a El campo contiene la dirección de correo electrónico del destinatario y el Recibido por el campo contiene:

• La última dirección IP del servidor SMTP visitado.
• Es la identificación SMTP.
• La fecha y hora en que se recibe el correo electrónico.

Del mismo modo, el Recibido de El campo proporciona los detalles necesarios, como la dirección IP y el nombre de host del remitente. Una vez más, dicha información puede ser fundamental para identificar al culpable y recopilar pruebas.

2. Investigación del servidor de correo electrónico

Los servidores de correo electrónico se investigan para localizar la fuente de un correo electrónico. Para example, si se elimina un correo electrónico de una aplicación cliente, del remitente o del destinatario, se analizan los servidores proxy o ISP relacionados, ya que generalmente guardan copias de los correos electrónicos después de la entrega. Los servidores también mantienen registros que pueden analizarse para identificar la dirección de la computadora desde la que se originó el correo electrónico.

Vale la pena señalar que los registros del Protocolo de transferencia de hipertexto (HTTP) y el Protocolo simple de transferencia de correo (SMTP) son archivados con frecuencia por los grandes proveedores de servicios de Internet (ISP). Si se archiva un registro, rastrear los correos electrónicos relevantes puede requerir mucho tiempo y esfuerzo, lo que requiere técnicas de descompresión y extracción. Por lo tanto, es mejor examinar los registros lo antes posible.

3. Investigación de Dispositivos de Red

En algunos casos, los registros de los servidores no están disponibles. Esto puede suceder por muchas razones, como cuando los servidores no están configurados para mantener registros o cuando un ISP se niega a compartir los archivos de registro. En tal caso, los investigadores pueden consultar los registros que mantienen los dispositivos de red, como conmutadores, cortafuegos y enrutadores, para rastrear el origen de un mensaje de correo electrónico.

4. Huellas dactilares del remitente

encabezados X son encabezados de correo electrónico que se agregan a los mensajes junto con encabezados estándar, como Sujeto y A . A menudo se agregan para obtener información sobre filtros de correo no deseado, resultados de autenticación, etc., y se pueden usar para identificar el software que maneja el correo electrónico en el cliente, como Outlook o Opera Correo. Además, el encabezado IP de origen x se puede utilizar para encontrar el remitente original, es decir, la dirección IP de la computadora del remitente.

5. ID de mensaje

Message-ID es un identificador único que ayuda al examen forense de correos electrónicos en todo el mundo. Se compone de una larga cadena de caracteres que terminan con el nombre de dominio completo (FQDN). Los ID de mensajes son generados por programas cliente que envían correos electrónicos, como los agentes de usuario de correo (MUA) o los agentes de transferencia de correo (MTA). Hay dos partes de un ID de mensaje. Una parte es anterior @ y otra parte es despues @ . La primera parte del ID del mensaje contiene información, como la marca de tiempo del mensaje. Esta información son los datos relativos a la hora en que se envió el mensaje. La segunda parte del Message-ID contiene información relacionada con FQDN.

6. Identificadores de software incorporados

A veces, el software de correo electrónico utilizado por un remitente puede incluir información adicional sobre el mensaje y los archivos adjuntos en el correo electrónico. Para example, se puede encontrar en el contenido de Extensiones de correo de Internet multipropósito (MIME) como formato de encapsulación neutral para el transporte (TNEF) o encabezado personalizado. Un análisis en profundidad de estas secciones puede revelar detalles vitales relacionados con el remitente, como la dirección MAC, el nombre de usuario de inicio de sesión de Windows del remitente, el nombre del archivo PST y mucho más.

7. Tácticas de cebo

La táctica cebo es una técnica de investigación de correo electrónico que se utiliza cuando se desconoce la ubicación de un sospechoso o ciberdelincuente. En este, los investigadores envían al sospechoso un correo electrónico que contiene una http: “” etiqueta. La fuente de la imagen está en una computadora que los investigadores monitorean. Cuando el sospechoso abre el correo electrónico, la dirección IP de la computadora se registra en una entrada de registro en el servidor HTTP que aloja la imagen. Los investigadores pueden usar la dirección IP para rastrear al sospechoso. A veces, los sospechosos toman medidas preventivas como usar un servidor proxy para proteger su identidad. En ese caso, se registra la dirección IP del servidor proxy. Sin embargo, el registro en el servidor proxy se puede analizar para rastrear al sospechoso.

Si el registro tampoco está disponible, el investigador puede enviar un correo electrónico que contenga cualquiera de los siguientes:

• Página HTML con un objeto X activo.
• Java Applet integrado que está configurado para ejecutarse en la computadora del destinatario.

Ambos pueden registrar la dirección IP de la computadora del sospechoso y enviarla a la dirección de correo electrónico de los investigadores.

8. Análisis forense de correo electrónico masivo

Grandes colecciones de buzones a menudo se examinan, analizan y utilizan como evidencia en casos legales. Por lo tanto, los profesionales del derecho tienen que trabajar con grandes buzones en muchos casos. La mayoría de las aplicaciones de servicio de correo electrónico, como Outlook y Gmail, ofrecen un panel integrado con varias funciones valiosas. Sin embargo, es posible que no obtenga los resultados deseados utilizando solo palabras clave en la interfaz.

La fecha y la hora son dos atributos de los correos electrónicos que se consideran necesarios cuando se producen como prueba relacionada con un caso. Sin embargo, los correos electrónicos se pueden falsificar como documentos físicos y los piratas informáticos pueden alterar estos atributos. Además, dado que un correo electrónico no llega directamente del receptor al remitente, registrar su ruta real con tiempos precisos es un aspecto complicado.

9. Importancia de usar el Algoritmo Hashing

MD5 y SHA1 son los dos algoritmos de hashing más importantes utilizados por los profesionales de la ciencia forense digital. Es una práctica estándar usar algoritmos hash MD5 y SHA1 en investigaciones forenses de correo electrónico. Estos algoritmos permiten a los investigadores forenses preservar la evidencia digital desde el momento en que la adquieren hasta que se presenta ante un tribunal de justicia. Otra razón por la que los valores hash son importantes es que los documentos electrónicos se comparten con profesionales del derecho y otras partes durante la investigación. Por lo tanto, es crucial asegurarse de que todos tengan copias idénticas de los archivos.

Uso de una herramienta forense de eDiscovery y correo electrónico

La investigación forense de correo electrónico puede ser una tarea complicada cuando hay muchos sospechosos involucrados y se requiere el análisis de una gran cantidad de buzones de correo electrónico. Es por eso que los profesionales utilizan el nivel empresarial descubrimiento electrónico y herramienta avanzada de investigación de correo electrónico s, como Análisis forense de correo electrónico estelar , para un análisis rápido y preciso. Stellar Email Forensic viene equipado con funciones como múltiples vistas de correo electrónico, filtros avanzados de búsqueda de palabras clave, recuperación de correos eliminados , análisis forense de correo electrónico masivo preservación de evidencia digital con MD5 y SHA1 algoritmos hash etc. Estos programas también generan informes de pruebas y ofrecen gestión de casos durante las investigaciones criminales a través del etiquetado, la creación de marcadores y la gestión de registros para gestionar fácilmente buzones de correo múltiples y grandes.