Phenquestions
Architettura della posta elettronica:
Quando un utente invia un'e-mail, l'e-mail non va direttamente nel server di posta alla fine del destinatario; piuttosto, passa attraverso diversi server di posta.
MUA è il programma sul lato client che viene utilizzato per leggere e comporre e-mail. Esistono diversi MUA come Gmail, Outlook ecc. Ogni volta che MUA invia un messaggio, va a MTA che decodifica il messaggio e identifica la posizione in cui deve essere inviato leggendo le informazioni sull'intestazione e modifica la sua intestazione aggiungendo dati, quindi lo passa a MTA all'estremità ricevente. L'ultimo MTA presente appena prima del MUA decodifica il messaggio e lo invia a MUA all'estremità ricevente. Ecco perché nell'intestazione dell'e-mail possiamo trovare informazioni su più server.
Analisi dell'intestazione dell'e-mail:
Email forensics inizia con lo studio della posta elettronica intestazione in quanto contiene una grande quantità di informazioni sul messaggio di posta elettronica. Questa analisi consiste sia nello studio del corpo del contenuto che nell'intestazione dell'e-mail contenente le informazioni sull'e-mail data. L'analisi dell'intestazione dell'e-mail aiuta a identificare la maggior parte dei crimini correlati all'e-mail come spear phishing, spamming, spoofing di e-mail, ecc. Lo spoofing è una tecnica con cui si può fingere di essere qualcun altro, e un utente normale penserebbe per un momento che si tratti di un suo amico o di una persona che già conosce. È solo che qualcuno sta inviando e-mail dall'indirizzo e-mail contraffatto del suo amico e non è che il suo account è stato violato.
Analizzando le intestazioni delle e-mail, si può sapere se l'e-mail che ha ricevuto proviene da un indirizzo e-mail contraffatto o da uno reale. Ecco come appare un'intestazione di posta elettronica:
Consegnato a: [email protetta]Ricevuto: entro il 2002:a0c:f2c8:0:0:0:0:0 con ID SMTP c8csp401046qvm;
Mer, 29 Lug 2020 05:51:21 -0700 (PDT)
X-Ricevuto: entro il 2002:a92:5e1d:: con ID SMTP s29mr19048560ilb.245.1596027080539;
Mer, 29 Lug 2020 05:51:20 -0700 (PDT)
Sigillo ARC: i=1; a=rsa-sha256; t=1596027080; cv=nessuno;
d=google.com; s=arco-20160816;
b=Um/is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i/vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR/HBQoZf6LOqlnTXJskXc58F+ik
4nuVw0zsWxWbnVI2mhHzra//g4L0p2/eAxXuQyJPdso/ObwQHJr6G0wUZ+CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL/sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT+DQY+ukoXRFQIWDNEfkB5l18GcSKurxn5/K8cPI/KdJNxCKVhTALdFW
Or2Q==
ARC-Message-Firma: i=1; a=rsa-sha256; c=rilassato/rilassato; d=google.com; s=arco-20160816;
h=to:subject:message-id:date:from:mime-version:dkim-signature;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=xs6WIoK/swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V+cMAi
DbkrMBVVxQTdw7+QWU0CMUimS1+8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO/+I
wbM+t6yT5kPC7iwg6k2IqPMb2+BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP//SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc/rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg==
Risultati dell'autenticazione ARC: i=1; mx.Google.com;
dkim=pass [email protected] header.s=20161025 intestazione.b=JygmyFja;
spf=pass (google.com: il dominio di [email protected] designa 209.85.22000 as
mittente autorizzato) [email protected];
dmarc=pass (p=NESSUNO sp=QUARANTENA dis=NESSUNO) header.from=gmail.come
Sentiero di ritorno: <[email protected]>
Ricevuto: da mail-sor-f41.Google.com (mail-sor-f41.Google.come. [209.85.000.00])
di mx.Google.com con ID SMTPS n84sor2004452iod.19.2020.07.29.00.00.00
per <[email protected]>
(Sicurezza dei trasporti di Google);
Mer, 29 Lug 2020 05:51:20 -0700 (PDT)
Ricevuto-SPF: pass (google.com: il dominio di [email protected] designa 209.85.000.00
come mittente autorizzato) client-ip=209.85.000.00;
Risultati di autenticazione: mx.Google.com;
dkim=pass [email protected] header.s=20161025 intestazione.b=JygmyFja;
spf=pass (google.com: il dominio di [email protected] designa
209.85.000.00 come mittente autorizzato) [email protected];
dmarc=pass (p=NESSUNO sp=QUARANTENA dis=NESSUNO) header.from=gmail.come
Firma DKIM: v=1; a=rsa-sha256; c=rilassato/rilassato;
d=gmail.com; s=20161025;
h=versione-mime:da:data:id-messaggio:oggetto:a;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z/Oq0FdD3l+RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq+SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb+wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK+j+qgAMuGh7EScau+u6yjEAyZwoW/2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ==
X-Google-DKIM-Firma: v=1; a=rsa-sha256; c=rilassato/rilassato;
d=1e100.netto; s=20161025;
h=x-gm-message-state:mime-version:from:date:message-id:subject:to;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=Rqvb//v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI+wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g/v3XucAS/tgCzLTxUK8EpI0GdIqJj9lNZfCOEm+Bw/vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia+vEclI5vWdSArvPuwEq8objLX9ebN/aP0Ltq
FFIQ==
X-Gm-Message-Stato: AOAM532qePHWPL9up8ne/4rUXfRYiFKwq94KpVN551D9vW38aW/6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig==
X-Google-Smtp-Fonte: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai+UwJI00yVSjv05o/
N+ggdCRV4JKyZ+8/abtKcqVASW6sKDxG4l3SnGQ=
X-Ricevuto: entro il 2002:a05:0000:0b:: con ID SMTP v11mr21571925jao.122.1596027079698;
Mer, 29 Lug 2020 05:51:19 -0700 (PDT)
Versione MIME: 1.0
Da: Marcus Stoinis <[email protected]>
Data: Mer, 29 Lug 2020 17:51:03 +0500
ID messaggio: <[email protected]om>
Soggetto:
A: [e-mail protetta]
Tipo di contenuto: multiparte/alternativa; confine="00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Tipo di contenuto: testo/semplice; set di caratteri = "UTF-8"
Per comprendere le informazioni dell'intestazione, è necessario comprendere l'insieme strutturato di campi nella tabella.
X-apparentemente a: Questo campo è utile quando l'e-mail viene inviata a più di un destinatario come bcc o una mailing list. Questo campo contiene un indirizzo a PER campo, ma in caso di bcc, il X-Apparentemente al il campo è diverso. Quindi, questo campo indica l'indirizzo del destinatario nonostante l'e-mail sia inviata come cc, bcc o da qualche mailing list.
Sentiero di ritorno: Il campo Return-path contiene l'indirizzo di posta che il mittente ha specificato nel campo From.
SPF ricevuto: Questo campo contiene il dominio da cui proviene la posta. In questo caso è
Ricevuto-SPF: pass (google.com: il dominio di [email protected] designa 209.85.000.00 come mittente consentito) client-ip=209.85.000.00;
Rapporto X-spam: C'è un software di filtraggio dello spam sul server di ricezione o MUA che calcola il punteggio di spam. Se il punteggio spam supera un certo limite, il messaggio viene automaticamente inviato alla cartella spam. Diversi MUA utilizzano nomi di campo diversi per i punteggi di spam come Rapporto X-spam, stato X-spam, flag X-spam, livello X-spam eccetera.
Ricevuto: Questo campo contiene l'indirizzo IP dell'ultimo server MTA alla fine dell'invio che quindi invia l'e-mail all'MTA alla fine della ricezione. In alcuni punti, questo può essere visto sotto X-originato a campo.
Intestazione setaccio X: Questo campo specifica il nome e la versione del sistema di filtraggio dei messaggi. Questo si riferisce alla lingua utilizzata per specificare le condizioni per il filtraggio dei messaggi di posta elettronica.
Set di caratteri X-spam: Questo campo contiene le informazioni sui set di caratteri utilizzati per filtrare le e-mail come UTF ecc. UTF è un buon set di caratteri che ha la capacità di essere retrocompatibile con ASCII.
X-risolto in: Questo campo contiene l'indirizzo email del destinatario, o possiamo dire l'indirizzo del server di posta a cui l'MDA di un mittente consegna a. La maggior parte delle volte, X-consegnato a, e questo campo contiene lo stesso indirizzo.
Risultati dell'autenticazione: Questo campo indica se la posta ricevuta dal dominio specificato è passata DKIM firme e Chiavi di dominio firma o no. In questo caso, lo fa.
Risultati di autenticazione: mx.Google.com;dkim=pass [email protected] header.s=20161025 intestazione.b=JygmyFja;
spf=pass (google.com: il dominio di [email protected] designa
209.85.000.00 come mittente autorizzato)
Ricevuto: Il primo campo ricevuto contiene informazioni di traccia mentre l'IP della macchina invia un messaggio. Mostrerà il nome della macchina e il suo indirizzo IP. La data e l'ora esatte di ricezione del messaggio possono essere visualizzate in questo campo.
Ricevuto: da mail-sor-f41.Google.com (mail-sor-f41.Google.come. [209.85.000.00])di mx.Google.com con ID SMTPS n84sor2004452iod.19.2020.07.29.00.00.00
per <[email protected]>
(Sicurezza dei trasporti di Google);
Mer, 29 Lug 2020 05:51:20 -0700 (PDT)
A, da e oggetto: I campi "A", "da" e "oggetto" contengono le informazioni sull'indirizzo email del destinatario, l'indirizzo email del mittente e l'oggetto specificato al momento dell'invio della email da parte del mittente. Il campo dell'oggetto è vuoto nel caso in cui il mittente lo lasci così.
Intestazioni MIME: Per MUA eseguire una corretta decodifica in modo che il messaggio venga inviato in modo sicuro al client, MIMO codifica di trasferimento, MIMO contenuto, la sua versione e la lunghezza sono un argomento importante.
Versione MIME: 1.0Tipo di contenuto: testo/semplice; set di caratteri = "UTF-8"
Tipo di contenuto: multiparte/alternativa; confine="00000000000023294e05ab94032b"
ID messaggio: Message-id contiene un nome di dominio aggiunto dal numero univoco dal server di invio.
ID messaggio: <[email protected]om>Indagine sul server:
In questo tipo di indagine, vengono esplorati i duplicati dei messaggi trasmessi e i registri dei lavoratori per distinguere l'origine di un'e-mail. Anche se i clienti (mittenti o beneficiari) eliminano i loro messaggi di posta elettronica che non possono essere recuperati, questi messaggi potrebbero essere registrati dai server (proxy o fornitori di servizi) in grandi porzioni. Questi proxy memorizzano un duplicato di tutti i messaggi dopo la loro trasmissione. Inoltre, i registri tenuti dai lavoratori possono essere concentrati per seguire la posizione del PC responsabile dello scambio di e-mail. In ogni caso, Proxy o ISP archiviano i duplicati di e-mail e log del server solo per un certo periodo di tempo e alcuni potrebbero non collaborare con gli investigatori forensi. Inoltre, i lavoratori SMTP che memorizzano informazioni come il numero di visto e altre informazioni relative al proprietario della casella di posta possono essere utilizzati per distinguere gli individui dietro un indirizzo e-mail.
Tattiche di esca:
In un'indagine di questo tipo, un'e-mail con http: “" tag con sorgente dell'immagine su qualsiasi PC controllato dagli esaminatori viene inviato al mittente dell'e-mail in esame contenente indirizzi e-mail autentici (autentici). Al momento dell'apertura dell'e-mail, sul server HTTP viene registrata una sezione di log contenente l'indirizzo IP di colui che sta ricevendo (mittente del colpevole), colui che ospita l'immagine e, in tal senso, il mittente è seguito. In ogni caso, se la persona all'estremità ricevente utilizza un proxy, viene rintracciato l'indirizzo IP del server proxy.
Il server proxy contiene un registro, che può essere ulteriormente utilizzato per seguire il mittente dell'e-mail in esame. Nel caso in cui anche il log del server proxy sia inaccessibile a causa di qualche spiegazione, a quel punto gli esaminatori possono inviare la brutta email con Apple Java integratot che gira sul sistema informatico del destinatario o su un Pagina HTML con oggetto Active X per rintracciare la persona desiderata.
Indagine sui dispositivi di rete:
Dispositivi di rete come firewall, reuter, switch, modem ecc. contengono log che possono essere utilizzati per tracciare l'origine di un'e-mail. In questo tipo di indagine, questi registri vengono utilizzati per indagare sull'origine di un messaggio di posta elettronica. Questo è un tipo di indagine forense molto complesso e usato raramente. Viene spesso utilizzato quando i registri del proxy o del provider ISP non sono disponibili per qualche motivo come mancanza di manutenzione, pigrizia o mancanza di supporto da parte del provider ISP.
Identificatori incorporati nel software:
Alcuni dati sul compositore di record o archivi uniti alla posta elettronica potrebbero essere incorporati nel messaggio dal software di posta elettronica utilizzato dal mittente per comporre la posta. Questi dati potrebbero essere ricordati per il tipo di intestazioni personalizzate o come contenuto MIME come formato TNE. La ricerca dell'e-mail per queste sottigliezze può scoprire alcuni dati essenziali sulle preferenze e le scelte e-mail dei mittenti che potrebbero supportare la raccolta di prove lato client. L'esame può scoprire i nomi dei documenti PST, l'indirizzo MAC e così via del PC del cliente utilizzato per inviare messaggi di posta elettronica.
Analisi degli allegati:
Tra i virus e i malware, la maggior parte di essi viene inviata tramite connessioni e-mail. L'esame degli allegati di posta elettronica è urgente e cruciale in qualsiasi esame relativo alla posta elettronica. La fuoriuscita di dati privati è un altro importante campo di indagine. Esistono software e strumenti accessibili per recuperare informazioni relative alla posta elettronica, ad esempio allegati dai dischi rigidi di un sistema informatico. Per l'esame di connessioni dubbie, gli investigatori caricano gli allegati in una sandbox online, ad esempio VirusTotal, per verificare se il documento è un malware o meno. Comunque sia, è fondamentale gestire in cima all'elenco delle priorità che, indipendentemente dal fatto che un record venga sottoposto a una valutazione, ad esempio VirusTotal, questa non è una garanzia che sia completamente protetto. Se ciò si verifica, è una buona idea ricercare ulteriormente il record in una situazione sandbox, ad esempio Cuckoo.
Impronte digitali del mittente:
All'esame Ricevuto campo nelle intestazioni, è possibile identificare il software che si occupa delle e-mail all'estremità del server. D'altra parte, dopo aver esaminato il X-mailer campo, è possibile identificare il software che si occupa delle e-mail sul lato client. Questi campi di intestazione raffigurano il software e le loro versioni utilizzate dal client per inviare l'e-mail. Questi dati sul PC client del mittente possono essere utilizzati per aiutare gli esaminatori a formulare una strategia potente, e quindi queste linee finiscono per essere molto preziose.
Strumenti di posta elettronica forense:
Negli ultimi dieci anni sono stati creati alcuni strumenti o software per le indagini sulla scena del crimine tramite posta elettronica. Ma la maggior parte degli strumenti è stata creata in maniera isolata. Inoltre, la maggior parte di questi strumenti non dovrebbe risolvere un particolare problema relativo a violazioni digitali o del PC. Invece, sono pianificati per cercare o recuperare i dati. C'è stato un miglioramento negli strumenti forensi per facilitare il lavoro dell'investigatore e ci sono numerosi fantastici strumenti disponibili su Internet. Alcuni strumenti utilizzati per l'analisi forense della posta elettronica sono i seguenti:
EmailTrackerPro:
EmailTrackerPro indaga le intestazioni di un messaggio di posta elettronica per riconoscere l'indirizzo IP della macchina che ha inviato il messaggio in modo che il mittente possa essere trovato. Può seguire diversi messaggi contemporaneamente e monitorarli efficacemente. La posizione degli indirizzi IP è un dato chiave per decidere il livello di pericolo o la legittimità di un messaggio di posta elettronica. Questo fantastico strumento può attenersi alla città da cui con ogni probabilità ha avuto origine l'e-mail. Riconosce l'ISP del mittente e fornisce i dati di contatto per un ulteriore esame. La via genuina per l'indirizzo IP del mittente è contabilizzata in una tabella di guida, fornendo dati sull'area extra per aiutare a decidere l'area effettiva del mittente. L'elemento di segnalazione di abuso in esso contenuto può essere utilizzato molto bene per rendere più semplice l'ulteriore esame. Al fine di proteggere dalle e-mail di spam, controlla e verifica le e-mail rispetto alle liste nere di spam, ad esempio Spamcops. Supporta diverse lingue tra cui filtri antispam in lingua giapponese, russa e cinese insieme all'inglese. Un elemento significativo di questo strumento è l'abuso rivelatore che può fare una segnalazione che può essere inviata al fornitore di servizi (ISP) del mittente. L'ISP può quindi trovare un modo per trovare i titolari di account e aiutare a bloccare lo spam.
Xtraxtor:
Questo fantastico strumento Xtraxtor è fatto per separare indirizzi e-mail, numeri di telefono e messaggi da diversi formati di file file. Distingue naturalmente l'area predefinita e analizza rapidamente le informazioni e-mail per te. I clienti possono farlo senza troppi sforzi per estrarre gli indirizzi e-mail dai messaggi e persino dagli allegati di file. Xtraxtor ristabilisce i messaggi cancellati e non eliminati da numerose configurazioni di caselle di posta e account di posta IMAP. Inoltre, ha un'interfaccia semplice da imparare e una buona funzione di assistenza per rendere più semplice l'attività dell'utente e consente di risparmiare un sacco di tempo con la sua e-mail veloce, la preparazione del motore e le funzionalità di deduplicazione. Xtraxtor è compatibile con i file MBOX di Mac e i sistemi Linux e può fornire potenti funzionalità per trovare informazioni rilevanti.
Advik (strumento di backup della posta elettronica):
Advik, strumento di backup della posta elettronica, è un ottimo strumento che viene utilizzato per trasferire o esportare tutte le e-mail dalla propria casella di posta, comprese tutte le cartelle come inviate, bozze, posta in arrivo, spam ecc. L'utente può scaricare il backup di qualsiasi account di posta elettronica senza troppi sforzi. La conversione del backup della posta in diversi formati di file è un'altra grande caratteristica di questo fantastico strumento. La sua caratteristica principale è Filtro avanzato. Questa opzione può far risparmiare un'enorme quantità di tempo esportando i messaggi di nostra necessità dalla casella di posta in pochissimo tempo. IMAP La funzione offre la possibilità di recuperare le e-mail da archivi basati su cloud e può essere utilizzata con tutti i provider di servizi di posta elettronica. Advik può essere utilizzato per archiviare i backup della nostra posizione desiderata e supporta più lingue insieme all'inglese, inclusi giapponese, spagnolo e francese.
Systools MailXaminer:
Con l'assistenza di questo strumento, un cliente è autorizzato a modificare i propri canali di caccia a seconda delle situazioni. Offre ai clienti un'alternativa per guardare all'interno di messaggi e connessioni. Inoltre, questo strumento di posta elettronica forense offre inoltre un aiuto completo per l'esame della posta elettronica scientifica sia dell'area di lavoro che delle amministrazioni della posta elettronica. Consente agli esaminatori di trattare più di un singolo caso in modo legittimo. Allo stesso modo, con l'assistenza di questo strumento di analisi della posta elettronica, gli specialisti possono persino visualizzare i dettagli della chat, eseguire l'esame delle chiamate e visualizzare i dettagli dei messaggi tra i vari client dell'applicazione Skype. Le caratteristiche principali di questo software sono che supporta più lingue insieme all'inglese tra cui giapponese, spagnolo, francese e cinese e il formato in cui recupera i messaggi cancellati è accettabile dal tribunale. Fornisce una vista di gestione del registro in cui viene mostrata una buona vista di tutte le attività. Systools MailXaminer è compatibile con dd, e01, zip e tanti altri formati.
Si lamenta:
C'è uno strumento chiamato Adcomplain che viene utilizzato per segnalare e-mail commerciali e post di botnet e anche annunci come "guadagna rapidamente", "denaro veloce" ecc. Adcomplain stesso esegue l'analisi dell'intestazione sul mittente dell'e-mail dopo aver identificato tale posta e la segnala all'ISP del mittente.
Conclusione :
E-mail è utilizzato da quasi tutte le persone che utilizzano i servizi Internet in tutto il mondo. Scammer e criminali informatici possono falsificare intestazioni e-mail e inviare e-mail con contenuti dannosi e fraudolenti in modo anonimo, il che può portare a violazioni dei dati e hack. E questo è ciò che aggiunge importanza all'esame forense della posta elettronica. I criminali informatici utilizzano diversi modi e tecniche per mentire sulla propria identità come:
- Spoofing:
Per nascondere la propria identità, le persone cattive falsificano le intestazioni delle e-mail e le riempiono con le informazioni sbagliate. Quando lo spoofing della posta elettronica si combina con lo spoofing dell'IP, è molto difficile rintracciare la persona reale dietro di esso.
- Reti non autorizzate:
Le reti che sono già state compromesse (incluse sia cablate che wireless) vengono utilizzate per inviare e-mail di spam per nascondere l'identità.
- Relè di posta aperti:
Un inoltro di posta mal configurato accetta posta da tutti i computer, inclusi quelli da cui non dovrebbe accettare. Quindi lo inoltra a un altro sistema che dovrebbe accettare anche la posta da computer specifici. Questo tipo di inoltro di posta è chiamato inoltro di posta aperto. Questo tipo di relè viene utilizzato da truffatori e hacker per nascondere la propria identità.
- Proxy aperto:
La macchina che consente agli utenti o ai computer di connettersi attraverso di essa ad altri sistemi informatici è chiamata a server proxy. Esistono diversi tipi di server proxy come un server proxy aziendale, un server proxy trasparente ecc. a seconda del tipo di anonimato che forniscono. Il server proxy aperto non tiene traccia dei record delle attività dell'utente e non mantiene i registri, a differenza di altri server proxy che conservano i record delle attività dell'utente con timestamp corretti. Questi tipi di server proxy (server proxy aperti) forniscono anonimato e privacy che sono preziosi per il truffatore o la persona cattiva.
- Anonimizzatore :
Gli anonimizzatori o re-mailer sono i siti Web che operano con il pretesto di proteggere la privacy dell'utente su Internet e di renderli anonimi eliminando intenzionalmente le intestazioni dall'e-mail e non mantenendo i registri del server.
- Tunnel SSH:
Su Internet, un tunnel indica un percorso sicuro per i dati che viaggiano in una rete non attendibile. Il tunneling può essere eseguito in diversi modi che dipendono dal software e dalla tecnica utilizzati. Utilizzando la funzione SSH È possibile stabilire il tunneling di inoltro della porta SSH e viene creato un tunnel crittografato che utilizza la connessione del protocollo SSH. I truffatori utilizzano il tunneling SSH nell'invio di e-mail per nascondere le loro identità.
- Botnet:
Il termine bot derivato da "ro-bot" nella sua struttura convenzionale viene utilizzato per rappresentare un contenuto o un insieme di contenuti o un programma destinato a eseguire lavori predefiniti più e più volte e di conseguenza a seguito di un'attivazione deliberata o tramite un'infezione del sistema. Nonostante i bot abbiano iniziato come un elemento utile per trasmettere attività noiose e noiose, tuttavia vengono abusati per scopi dannosi. I bot che vengono utilizzati per completare esercizi reali in modo meccanizzato sono chiamati bot gentili e quelli destinati a scopi maligni sono noti come bot dannosi. Una botnet è un sistema di bot vincolati da un botmaster. Un botmaster può ordinare ai suoi bot controllati (bot maligni) in esecuzione su PC compromessi in tutto il mondo di inviare e-mail ad alcune posizioni assegnate, mascherandone il carattere e commettendo una truffa tramite e-mail o una frode tramite e-mail.
- Connessioni Internet non rintracciabili:
Internet cafè, campus universitario, diverse organizzazioni forniscono l'accesso a Internet agli utenti condividendo Internet. In questo caso, se non viene mantenuto un registro corretto delle attività degli utenti, è molto facile fare attività illegali e truffe via e-mail e farla franca.
L'analisi forense e-mail viene utilizzata per trovare il mittente e il destinatario effettivi di un'e-mail, la data e l'ora in cui è stata ricevuta e le informazioni sui dispositivi intermedi coinvolti nella consegna del messaggio. Ci sono anche vari strumenti disponibili per velocizzare le attività e trovare facilmente le parole chiave desiderate. Questi strumenti analizzano le intestazioni delle e-mail e forniscono all'investigatore forense il risultato desiderato in pochissimo tempo.
