Contenido
- Echando un vistazo más de cerca a Message-ID
- Desafíos con Message-ID en análisis forense de correo electrónico
- Mirando más allá de los ID de mensajes para un análisis forense completo del correo electrónico
Resumen : En este artículo, hemos hablado sobre la importancia de los ID de mensajes en el examen forense de los correos electrónicos. También hemos discutido las partes de los ID de mensajes y cómo podemos obtener ID de mensajes en Gmail y Outlook. Finalmente, hemos resaltado algunos de los desafíos de los ID de mensajes y cómo usar una herramienta de eDiscovery como Análisis forense de correo electrónico estelar puede ayudar a contrarrestar estos desafíos.
PRUEBE 60 DÍAS GRATIS
Cuando los investigadores forenses digitales estudian los correos electrónicos para encontrar el origen de los mensajes falsificados, tienen que analizar todos los campos de la arquitectura del correo electrónico. El encabezado del correo electrónico es uno de los recursos vitales que contiene muchos campos importantes, uno de los cuales es Message-ID. Por lo tanto, es crucial comprender qué son los Message-ID, cómo se crean y extraen, y cómo pueden ayudar a los investigadores a extraer información útil.
Echando un vistazo más de cerca a Message-ID
De acuerdo con RFC 2822, el estándar para el formato de los mensajes de texto o correos electrónicos de Internet de la Agencia de Proyectos de Investigación Avanzada (ARPA), cada correo electrónico debe tener un identificador único global para distinguirlo de otros correos electrónicos. Este identificador se llama Message-ID, un campo crítico en el encabezado del correo electrónico. Se compone de una larga cadena de caracteres que terminan con el nombre de dominio completo (FQDN).
Los ID de mensajes son generados por programas cliente que envían correos electrónicos, como agentes de usuario de correo (MUA) o agentes de transferencia de correo (MTA). Las siguientes figuras consisten en un encabezado de mensaje de muestra:
Figura 2: Parte 2 del encabezado del mensaje de muestra
Después de analizar el encabezado del mensaje, se puede recuperar la siguiente información :
Figura 3: Información recuperada del encabezado del mensaje de muestra
En la figura mencionada anteriormente, el Message-ID es [email protected] ,
Hay dos partes de un ID de mensaje. Una parte está antes de @ y la otra parte está después de @.
La mayoría de los servicios de correo incorporan la fecha y la hora en que se envía un correo electrónico en el ID del mensaje, junto con otras cadenas aleatorias de caracteres para distinguirlo de otros correos electrónicos. En el ID de mensaje de muestra anterior, el sistema de correo había utilizado información de marca de tiempo del mensaje en el momento en que se envió. El formato de fecha y hora tiene la forma de AAAA-MM-DD-HH-MM-SS . Extrayendo los detalles de la marca de tiempo (el valor numérico en la primera parte hasta el primer punto: 20200612190818), podemos conocer los siguientes detalles:
- Año: 2020
- Mes: junio (06)
- Día: 12
- Hora: 19:08:18 (Horas:Minutos:Segundos)
La segunda parte del Message-ID contiene los detalles del FQDN. Comparte detalles importantes como el nombre de host local, que es servidorxx y el nombre de dominio local que es xxx.xxx .
Puede encontrar el ID de mensaje de un correo electrónico en su encabezado de mensaje. Los siguientes son los pasos para extraer el encabezado del mensaje de un correo electrónico en Gmail y Outlook:
¿Cómo obtener ID de mensaje en Gmail?
Para obtener el Message-ID de un mensaje de Gmail, siga los pasos indicados:
Paso 1: Abra el mensaje de correo electrónico.
Paso 2: Haga clic en el icono con tres puntos en la parte superior derecha del cuadro de mensaje y seleccione Mostrar original de las opciones. [See Figure 4]
Figura 4: Extraer encabezado de correo electrónico en Gmail
Paso 3: Se abrirá una nueva pestaña que contiene todos los campos del encabezado del correo electrónico. Puede encontrar el ID del mensaje en él. [See Figure 5]
Figura 5: ID de mensaje en Gmail
También puede localizarlo instantáneamente utilizando la función de búsqueda de su navegador web (normalmente activado por CTRL+F combinación de teclas) y buscando con la palabra clave “Message-ID”.
Cómo obtener ID de mensaje en Outlook?
Los pasos para obtener Message-ID de un correo electrónico en Microsoft Outlook se dan a continuación:
Paso 1: Abra el mensaje de correo electrónico y haga clic en más acciones ( v ) menú para expandirlo. [See Figure 6]
Figura 6: Proceso para extraer el encabezado del correo electrónico en Outlook
Paso 2: Hacer clic Ver detalles del mensaje. [See Figure 7]
Figura 7: Extracción del encabezado del correo electrónico en Outlook
Paso 3: Se abrirá una nueva ventana que contiene el encabezado del correo electrónico. Puede encontrar el ID del mensaje. [See Figure 8]
Figura 8: ID de mensaje en Outlook
Desafíos con Message-ID en análisis forense de correo electrónico
Message-ID es un identificador único que ayuda a distinguir los correos electrónicos en todo el mundo. Un experto en análisis forense de correo electrónico puede desglosarlo para descubrir detalles importantes sobre un correo electrónico y su MTA. Sin embargo, hay algunos desafíos:
- La mayoría de los sistemas de correo agregan el campo Message-ID en sus correos electrónicos. Sin embargo, es un detalle opcional y es posible que reciba un correo electrónico que no contenga el ID del mensaje.
- No se utiliza un algoritmo estándar para la generación de ID de mensajes; cada servicio de correo utiliza su propio algoritmo para generar identificadores únicos. Debe tener una sólida comprensión de múltiples plataformas de correo electrónico y sus formatos de ID de mensaje para decodificar estos identificadores para una investigación exhaustiva.
- Puede comprender la construcción de un ID de mensaje de MTA de correo electrónico de código abierto, ya que la documentación es fácil de obtener. Sin embargo, los programas propietarios pueden hacer que la adquisición de información sea un desafío.
Mirando más allá de los ID de mensajes para un análisis forense completo del correo electrónico
Message-ID es un campo de encabezado de correo electrónico importante y puede ayudar significativamente a la investigación. Sin embargo, los investigadores forenses necesitan todo tipo de detalles adicionales para realizar investigaciones. Por ejemplo, se puede encontrar fácilmente información útil en otros encabezado de correo electrónico campos, como Recibió: donde se acumulan los detalles de cada servidor retransmitido un mensaje SMTP, o encabezados X , donde se encuentran los detalles de los dispositivos de seguridad como antivirus de correo electrónico. De manera similar, sus valores hexadecimales pueden ser necesarios para una inspección más detallada de los archivos adjuntos.
La investigación forense correlaciona múltiples piezas de información en un mensaje de correo electrónico para rastrear su origen. Esto solo se puede hacer de manera eficiente y oportuna con la ayuda de una herramienta de descubrimiento electrónico confiable, avanzada y rica en funciones, como Análisis forense de correo electrónico estelar . Este software está diseñado para brindar precisión, velocidad y versatilidad y admite más de 25 formatos de archivo de correo electrónico. Análisis forense de correo electrónico estelar es un software avanzado para la búsqueda de correo electrónico, que admite la investigación a nivel granular y ayuda en colección de evidencia digital . Una de las características más significativas de este producto es que facilita recuperación de correo electrónico eliminado junto con gran escala análisis forense de correo electrónico masivo . También ofrece gestión de casos durante investigaciones criminales a través de etiquetado, marcadores y registros.
| Descargar una versión de prueba gratuita de Análisis forense de correo electrónico estelar software para comenzar su investigación de correo electrónico ahora. El software está disponible para una prueba gratuita de 60 días. |
