內容

• MX記錄格式
• MX 記錄如何工作？
• 如何獲取MX記錄？
• MX 記錄在電子郵件取證中的作用
• 結論

概括：MX 記錄包含有關將電子郵件路由到目的地的郵件服務器的重要信息。 在此博客中，我們非常詳細地解釋了 MX 記錄。 從 MX Records 格式到 MX Records 的工作原理，我們一一介紹。 從檢查電子郵件標頭中的不匹配情況到從其他來源收集數據，我們概述了 MX 記錄如何協助電子郵件取證。

免費試用 60 天

MX 記錄或郵件交換記錄是一種域名系統 (DNS) 記錄，它指向負責處理給定域的電子郵件的郵件服務器。 定義如何根據簡單郵件傳輸協議 (SMTP) 路由電子郵件。

MX Records 的主要目標是確保電子郵件發送到正確的目標地址。 MX 記錄是正常運行的電子郵件系統的重要組成部分。 他們可以在電子郵件取證中發揮重要作用。

MX記錄格式

MX 記錄的標準格式包括[名稱] [TTL] [類] [類型] [優先級] [rdata]. 這是 MX 記錄的示例：

谷歌公司。 3600 IN MX 0 alt3.aspmx.l.google.com

• 姓名：第一個字段包含域名。
• 時間：代表什麼生活的時間，它定義了電子郵件客戶端可以在其緩存中保留 MX 記錄信息的時間段（以秒為單位）。 在上面的示例中，它是 3600，即 60 分鐘或一小時。 因此客戶端可以將這條 MX 記錄的信息在其緩存中保存一小時。 如果這段時間過去了，您必須再次檢索名稱服務器記錄。 名稱服務器是存儲 DNS 記錄的服務器。
• 班級：Class 字段指定網絡的類型。 總是設置為在互聯網是什麼意思
• 寫道：DNS 記錄類型。 在這種情況下，它被設置為MX（對於 MX 記錄）。
• 優先事項：該字段定義郵件服務器的優先級。 該字段的值越低，郵件服務器的優先級越高。 當同一域有多個服務器時，此字段設置服務器的優先順序。 在上面的示例中，郵件服務器優先級設置為 0，這是最高優先級。
• 數據：這是定義郵件服務器名稱的資源數據字段。 在上面的例子中，rdata 字段是alt3.aspmx.l.google.com這意味著來自該域的所有電子郵件谷歌網站將被送到alt3.aspmx.l.google.com。

MX 記錄如何工作？

每次發送電子郵件時，您的郵件傳輸代理(MTA) 訪問收件人域名的 MX 記錄。 然後它嘗試將電子郵件發送到記錄中具有最高優先級的郵件服務器。 如果傳遞失敗，它會按照優先順序遞增的順序重試註冊表中剩餘的郵件服務器，直到傳遞郵件。

如何獲取MX記錄？

查找 MX 記錄很容易。 在 Windows 系統上，您可以使用 nslookup 命令行工具。 您可以在命令提示符 (CMD) 下運行以下腳本來查找域的 MX 記錄谷歌網站:

nslookup-類型=MX谷歌網站

這將為您提供未經授權的查詢響應。

圖1突出顯示域 google.com 的未經授權的響應。 未經授權的響應是指響應不是從查詢域名的權威DNS服務器獲得的。

一個DNS系統分為三個層次：

• 根 DNS 服務器
• 頂級域 DNS 服務器
• 權威 DNS 服務器

還有一種 DNS 服務器，通常稱為本地 DNS 服務器，其 IP 地址由您的操作系統指定。

當您的瀏覽器連接到類似網站時谷歌網站瀏覽器首先查詢本地的DNS服務器，獲取網站的IP地址。

• 如果本地 DNS 服務器沒有記錄，即 google.com 記錄，它將查詢其中一個根 DNS 服務器。
• 根 DNS 服務器會說，“我沒有 google.com 的記錄，但我知道負責 .com 域的頂級域 DNS 服務器。”
• 然後本地DNS服務器查詢負責.com域的頂級域DNS服務器。 頂級域 DNS 服務器將響應為：“我不知道，但我知道哪個 DNS 服務器對 google.com 具有權威性。”
• 現在本地DNS服務器查詢權威DNS服務器。 由於實際的 DNS 記錄存儲在那個權威的 DNS 服務器上，它會給本地 DNS 服務器一個響應。

圖 2： 獲取 google.com 的主域名服務器

此查詢的結果緩存在本地 DNS 服務器上，但可能會過時。 當[TTL]時間到期時，本地DNS服務器將更新來自權威DNS服務器的查詢結果。 因此，每次它在本地 DNS 服務器上查詢 DNS 記錄時，都會返回未經授權的響應。 在使用 nslookup 或其他實用程序獲取權威響應時，您必須指定權威 DNS 服務器。 本地 DNS 服務器也可以稱為緩存 DNS 服務器。

您可以使用以下命令查找域的主要名稱服務器：

nslookup-type=soa谷歌網站

現在您有了主名稱服務器名稱，即 ns1.google.com，您可以運行以下命令來獲得權威響應：

nslookup-類型=mx谷歌網站ns1.google.com

圖 3： 域 google.com 的權威答案

該命令為您提供有關域的最新信息，包括 Internet 地址和正在使用的郵件服務器的 IPv6 地址。

如果您不想使用 CMD，您還可以從具有 Web 服務的域中獲取 MX 記錄，例如DNSChecker和MX工具箱.

MX 記錄在電子郵件取證中的作用

MX 記錄可以通過以下方式幫助電子郵件取證：

1. 檢查電子郵件標題是否存在差異

A電子郵件標題包含發送者和接收者詳細信息、躍點等重要信息，有助於跟踪消息的旅程。 因此，當您解析電子郵件時，您可以檢查標頭中的詳細信息是否與域的 MX 記錄相匹配。

假設您正在分析一封幾年前發送的電子郵件。 如果您發現電子郵件標頭中提到的電子郵件服務提供商是目標域最近更改為的電子郵件服務提供商，則可以將其視為一個危險信號。 在這種情況下，您可以進一步調查以了解有關差異的更多信息並找到確鑿的證據.

2. 從其他來源收集數據

MX 記錄的變化並不一定意味著電子郵件服務提供商發生了變化。 有時域所有者使用其他服務來提高電子郵件安全性或存檔電子郵件。 發生這種情況時，MX 記錄可以顯示這些服務器的詳細信息，因為它們在現有電子郵件服務器之上工作。 換句話說，電子郵件首先經過這些額外的服務器，然後到達主要的電子郵件服務器。

搜索域的歷史 MX 記錄可以幫助您發現其他數據收集源。 例如，如果您發現除了主要電子郵件服務器之外，某個域還在使用存檔服務，那麼存檔服務可能有備份文件，您可以收集這些備份文件並掃描這些文件以獲取其他數據。

結論

在電子郵件取證, 獲取域名的 MX 記錄在很多方面都很有用。 例如，它可以幫助驗證電子郵件的收件人是否使用了正確的電子郵件服務提供商。 它還可以幫助檢查域所有者是否更改了他們的服務提供商，並將您引導至其他來源以收集數據。

您是否需要易於使用並提供各種有價值的功能的高級電子郵件和電子數據展示取證軟件？ 試圖恆星電子郵件取證！ 支持超過 25 種電子郵件文件格式，例如太平洋標準時間、教育局、OST、 DBX、NSF、MBOX、OLM、TBB、EML、ETC 此外，該軟件還具有證據保留等功能，有助於電子郵件分析MD5 和 SHA1哈希值，群發郵件分析已刪除的電子郵件恢復、標記和書籤、記錄管理等等。下載 Stellar 電子郵件取證現在.它可用於 60 天免費試用。