Message-ID 在電子郵件取證中的重要性

內容

概括:在本文中,我們討論了郵件 ID 在電子郵件取證中的重要性。 我們還討論了郵件 ID 的各個部分以及如何在 Gmail 和 Outlook 中獲取郵件 ID。 最後,我們強調了消息 ID 的一些挑戰以及如何使用電子數據展示工具,例如恆星電子郵件取證可以幫助應對這些挑戰。

免費試用 60 天

當數字取證調查人員研究電子郵件以查找偽造消息的來源時,他們必須分析電子郵件架構的所有字段。 電子郵件標頭是包含許多重要字段的重要資源之一,其中之一是 Message-ID。 因此,了解什麼是 Message-ID、它們是如何創建和提取的以及它們如何幫助研究人員提取有用的信息至關重要。

仔細查看 Message-ID

根據 RFC 2822,高級研究計劃署 (ARPA) 的文本消息或 Internet 電子郵件格式標準,每封電子郵件都必須具有全球唯一標識符,以區別於其他電子郵件。 此標識符稱為 Message-ID,是電子郵件標頭中的一個關鍵字段。 它由一長串以完全限定域名 (FQDN) 結尾的字符組成。

消息 ID 由發送電子郵件的客戶端程序生成,例如郵件用戶代理 (MUA) 或郵件傳輸代理 (MTA)。 下圖包含示例消息標頭:

圖1:示例郵件標頭第 1 部分
Parte 2 del encabezado del mensaje de muestra 圖 2:示例郵件標頭第 2 部分

解析消息頭後,可以得到如下信息:

Información recuperada del encabezado del mensaje de muestra 圖 3:從示例郵件標頭中檢索到的信息

上圖中,Message-ID為[email protected],
消息 ID 有兩個部分。 一部分在@之前,另一部分在@之後。

大多數郵件服務將電子郵件發送的日期和時間以及其他隨機字符串嵌入到消息 ID 中,以將其與其他電子郵件區分開來。 在前面的示例消息 ID 中,郵件系統在發送消息時使用了消息中的時間戳信息。 日期和時間格式具有以下形式YYYY-MM-DD-HH-MM-SS. 提取時間戳的細節(第一部分到第一點的數值:20200612190818),我們可以了解到以下細節:

  • 年份:2020
  • 月份:六月 (06)
  • 日:12
  • 時間:19:08:18(小時:分鐘:秒)

Message-ID 的第二部分包含 FQDN 的詳細信息。 共享重要的詳細信息,例如本地主機名,這是服務器xx和本地域名是xxx.xxx.

您可以在電子郵件的郵件標題中找到電子郵件的郵件 ID。 以下是從 Gmail 和 Outlook 中的電子郵件中提取郵件標頭的步驟:

如何在 Gmail 中獲取郵件 ID?

要獲取 Gmail 郵件的 Message-ID,請按照給定的步驟操作:

步驟1:打開電子郵件。

第2步:單擊消息框右上角的三個點圖標,然後選擇顯示原件的選項。 [見圖4]

Extraer encabezado de correo electrónico en Gmail 圖 4:在 Gmail 中提取電子郵件標頭

第 3 步:將打開一個包含所有電子郵件標頭字段的新選項卡。 您可以在其中找到消息 ID。 [見圖5]

ID de mensaje en Gmail 圖 5:Gmail 中的郵件 ID

您還可以使用網絡瀏覽器的搜索功能(通常由CTRL+F組合鍵)並使用關鍵字“Message-ID”進行搜索。

如何在 Outlook 中獲取郵件 ID?

在 Microsoft Outlook 中獲取電子郵件的 Message-ID 的步驟如下:
步驟1:打開電子郵件並單擊更多操作 (v) 菜單展開它。 [見圖6]

Proceso para extraer el encabezado del correo electrónico en Outlook 圖 6:在 Outlook 中提取電子郵件標頭的過程

第2步:點擊查看消息詳細信息。[見圖7]

Extracción del encabezado del correo electrónico en Outlook 圖 7:在 Outlook 中提取電子郵件標頭

第 3 步:將打開一個包含電子郵件標題的新窗口。 您可以找到消息 ID。 [見圖8]

ID de mensaje en Outlook 圖 8:Outlook 中的郵件 ID

電子郵件取證中 Message-ID 的挑戰

Message-ID 是幫助區分世界各地電子郵件的唯一標識符。 電子郵件取證專家可以深入挖掘以發現有關電子郵件及其 MTA 的重要詳細信息。 但是,存在一些挑戰:

  • 大多數郵件系統都會將 Message-ID 字段添加到他們的電子郵件中。 但是,這是可選的詳細信息,您可能會收到一封不包含消息 ID 的電子郵件。
  • 消息 ID 生成沒有使用標準算法; 每個郵件服務都使用自己的算法來生成唯一標識符。 您必須對多種電子郵件平台及其消息 ID 格式有深入的了解,才能解碼這些標識符以進行徹底調查。
  • 您可以了解開源電子郵件 MTA 消息 ID 的構造,因為文檔很容易獲得。 但是,專有程序會使信息獲取變得具有挑戰性。

超越郵件 ID 尋找完整的電子郵件取證

Message-ID 是重要的電子郵件標頭字段,可以顯著幫助調查。 然而,法醫調查員需要各種額外的細節來進行調查。 例如,可以很容易地在其他網站上找到有用的信息電子郵件標題字段,比如已收到:累積中繼 SMTP 消息的每個服務器的詳細信息,或者X 標題,您可以在其中找到電子郵件防病毒等安全設備的詳細信息。 同樣,可能需要它的十六進制值來更仔細地檢查附件。

取證調查將電子郵件中的多條信息關聯起來,以追踪其來源。 這只能藉助可靠、先進且功能豐富的電子發現工具(例如恆星電子郵件取證. 該軟件專為準確性、速度和多功能性而設計,支持超過 25 種電子郵件文件格式。恆星電子郵件取證是高級電子郵件搜索軟件,它支持粒度級別的調查並有助於數字證據收集. 該產品最顯著的特點之一是它有助於刪除的電子郵件恢復隨著大規模批量電子郵件取證. 它還通過標記、標記和記錄在刑事調查期間提供案件管理。

釋放免費試用版恆星電子郵件取證立即開始您的電子郵件研究的軟件。 該軟件可免費試用 60 天。

相關文章