电子邮件调查分析(一)——电子邮件调查基础丨CCAC分享
概括
电子数据是我国家的一种合法证据类型,它在《刑事诉讼法法》和《民事诉讼法》中具有明确的定义。 “两个高点和一个部门”还逐渐提出并改善了分析标准和流程的收集,固定和证据有效性,不必详细表达。
电子邮件是电子数据中常见且重要的组成部分。它使用各种形式,例如文本,图像,声音等来实现交换信息的目的。由于其文本相对正式,因此它包含诸如文本和附件之类的元素,以及从发送到接收的整个过程。所有这些都可以完全记录并具有良好的可追溯性。在即时沟通极端发达的时候,它在各种组织和企业的正式业务交易中更多地使用。在反欺诈调查中,电子邮件调查始终处于极为重要的位置。由于空间的限制,我们将把内容分为几篇文章,从基本到深度,并向读者介绍电子邮件证据收集的常识和实际情况。
01
获取电子邮件数据
在电子数据调查的实践中,获取电子邮件的主要方法可以汇总为三类:
首先,电子邮件客户端的本地数据安装在正在调查的计算机设备中。
常见的包括Outlook的PST文件,Foxmail的邮件目录,NetEase MailMasterData目录等。电子邮件客户端的本地数据通常与计算机设备的电子数据调查相结合,并通过其他电子数据进行认证和分析。缺点是客户的本地操作将与服务器同步,并且数据易于损坏和清洁。
第二个是从服务器管理背景导出数据。
大型外国公司基本上使用电子邮件作为核心办公室互动方法。为了大规模邮件,将电子邮件服务部署在自己的计算机室服务器或大型第三方云服务器上。近年来,大型和中型的国内公司也向他们学习。这种自行运行的电子邮件系统通常具有预设数据备份策略。对客户端的用户操作不会影响服务器端数据的保留。它可以以相对完整的方式获取用户电子邮件,并且不容易损坏。此外,在某些情况下需要提前进行秘密调查的情况下,邮件服务器后端数据导出可确保最大程度地调查的机密性要求,并获得相关信息,而不会扰乱所调查的主题。
第三是从网络版本的邮箱中导出数据。
从节省成本的角度来看,中小型企业通常使用第三方企业版邮箱,例如Tencent和NetEase。为了促进非IT专业人员管理邮箱,其后端系统相对简单,并且没有专业功能,例如数据导出,并且员工也有很大一部分人习惯于使用Web版本进行写作和发送和发送网络版本并收到电子邮件及其个人计算机不会在本地保留电子邮件数据文件。在这种情况下开元棋官方正版下载,在企业电子邮件管理员是可靠且可控制的前提下,可以远程检查相关电子邮件,也可以使用客户端工具同步服务器电子邮件来保护同步的本地文件,这并不意味着电子邮件数据本身不是它会产生影响,其主要缺点是邮箱管理员在不修改密码的情况下无法获得用户数据,并且他们很难进行秘密调查。
02
通用电子邮件(备份)格式
1 | Outlook数据文件PST和OST
当将Microsoft Outlook用作电子邮件,日历,任务和其他项目时,用户数据将保存在邮件服务器或个人计算机上,或两个位置。
在客户端的个人计算机上,Outlook用户数据以两个数据文件的形式保存:.pst和.ost。 .pst文件用于大多数帐户。 .ost文件用于使用户使用Microsoft Exchange帐户。当无法连接服务器时使用邮件生成称为离线数据文件。两者之间的主要区别是:
.pst文件用于POP3,IMAP协议,HTTP和基于Web的邮件帐户。它们是普通用户保存Outlook信息的最常见文件。他们可以为Outlook文件夹和项目创建档案或备份。由于.pst文件保存在客户端的个人计算机上,并且不受邮件服务器的邮箱大小的限制,因此服务器上的内容将移至本地计算机的.pst文件,以及服务器上的邮箱空间可以释放。对于容量较小的邮箱,用户将能够使用服务器上的内容将服务器上的内容移至本地计算机的.pst文件。数据容量的大小仅受当地计算机硬盘的限制,这相当于大大扩展邮箱空间。 .pst文件可以简单地复制和备份,从而使用户更容易保存和迁移。
.ost文件是使用Microsoft Exchange离线时使用的Outlook数据文件。连接到网络时,.ost文件将与交换计算机同步,并同步将电子邮件,日历和其他项目同步。当网络断开连接时,用户以“缓存交换模式”或“离线模式”工作。简而言之,.ost文件是交换计算机邮箱中文件夹的副本。通过它,可以将文件夹与服务器位置分开,并且在网络断开网络时使用文件夹的内容,并且网络被同步以确保服务器和本地计算机已打开。内容更新是一致的。
在电子数据调查中,如果用户习惯使用Outlook作为电子邮件客户端,则.pst和.ost很可能在服务器上包含已删除的内容,这可能是证据的“孤儿”,并应引起调查,该人员具有足够的重要性采用包括数据恢复在内的各种方法来从中挖掘出宝贵的重要信息。
有关邮箱的服务器端和Web版本的电子邮件数据通常用于导出.pst文件作为分析目标,并使用特殊法医分析软件进行分析和查看。
2 foxmail客户端的邮件目录
使用Tencent Corporate电子邮件的用户可能已经在电子邮件的Web版本的设置界面中看到了Foxmail促销的图片和文本。这是因为自Foxmail是由Tencent收购的,因此它已正式成为其“正式推广”电子邮件客户端软件。
经过十多年的辛勤工作,Foxmail可以与Outlook完全相提并论,甚至超过轻量级,易于迁移,个性化等。在中小型企业和个人用户中,他们不太依赖电子邮件系统,Foxmail拥有庞大的客户群,Foxmail数据也是调查的重点,研究人员在电子数据调查中非常关注。
Foxmail本地数据在软件的安装路径下保存在邮件目录中,邮箱帐户名称为子目录名称:
例如
D:\ foxmail 7.2 \ mail \ example@qq.com
该目录存储有关电子邮件帐户的所有相关信息,包括帐户配置,收件箱,输出箱,草稿框,回收箱等。其目录结构也非常简单且直观。帐户中的邮件文件夹对应于带有后缀名称的文件.idx和faceix .box中的邮件文件夹,例如与in.idx和in。框相对应的“ inbox”,备份这两个文件意味着获取所有电子邮件收件箱中的信息并研究Foxmail的本地数据是为了解析这些文件。
3 | eML文件单封电子邮件
EMML格式是遵循RFC822的文件格式,Microsoft在Outlook中使用的后续扩展名。现在,它已成为各种电子邮件软件的通用格式。 RFC中定义的电子邮件结构包括两个部分:电子邮件标题和电子邮件主体。由空白行分开。电子邮件标题包括主题,创建者,收件人和电子邮件创建日期,电子邮件内容类型,电子邮件内容传输和编码方法等。电子邮件主体包括正文和附件。
4 |单封电子邮件的味精文件
MSG文件是Microsoft Outlook创建或保存的电子邮件,联系人,约会或任务。它可能包含一个或多个电子邮件字段,包括日期,发件人,收件人,主题和电子邮件正文或联系信息。 ,约会详细信息和一个或多个任务说明。
它的优势是它与Windows系统完全集成在一起。可以将消息,约会,联系人或任务从Outlook文件夹拖放到Windows Explorer,以立即创建MSG文件,并将电子邮件主题用作MSG文件的名称,并且此操作是可逆的,也就是说kaiyun官方网站登录入口,您可以将MSG文件拖回Outlook,并将其自动格式化为与邮件导出之前相同的方式。
这种格式提供了将邮件系统和操作系统集成到计算机设备的完整数据调查中的可能性,并提供有关经验丰富的调查人员涉及的人的行为分析的更多信息。
因为以MSG格式的邮件只能由Outlook客户端打开,而其他客户(例如Foxmail)无法打开,因此第三方工具的支持性稍微不足,而EML格式是标准的电子邮件格式,可以由它支持。大多数电子邮件客户端。这些工具具有更好的支持和相对丰富的调查方法。
5 |电子邮件和其他电子邮件客户端的网络版本
除了使用客户端软件使用电子邮件外,普通个人用户还经常使用电子邮件服务提供商提供的Web应用程序,这意味着用户可以在任何可以访问可以访问网页的终端上编辑和发送和接收电子邮件,这很方便。易用性的优势也很明显。但是,对于电子数据调查,网页的痕迹访问电子邮件的轨迹存储在浏览器的高速缓存目录中,并且未记录其中包含的电子邮件标题,电子邮件主体和其他信息。同时,由于浏览器的安全风险,扫描了电子邮件内容,拦截的风险也比客户端高得多。因此,尽管普通用户倾向于使用Web应用程序带来的易用性,但企业用户仍然更喜欢使用客户端软件来控制风险并保护敏感信息。
目前,常用的电子邮件客户端包括:
随着即时消息的发展,电子邮件不仅过时了,而且由于其功能类似于书面确认系统,因此它们完全记录了业务交易中的节点和事务,并且在商业领域受到更多关注。
在调查实践的情况下,许多示例也证明了电子邮件调查在发现线索,恢复事件的真相并解决证据中的重要作用。尽管对不同的电子邮件运营商,文件和操作系统平台的调查和分析方法,电子邮件的步骤和技术截然不同,但它们始终是相同的。电子邮件通常遵循MIME技术规格,其完整内容由RFC2045-2049定义,即,电子邮件由两个部分组成:电子邮件标题和电子邮件主体,其中包括信息格式,媒体类型,编码方法和其他方面。了解和掌握关键格式和规格将帮助调查人员深入分析电子邮件kaiyun.ccm,您还可以找到隐藏在电子邮件内容背后的线索。
