电子邮件头分析及其在电子邮件取证中的应用

为了调查使用电子邮件的网络犯罪案件，数字法医专家会扫描相关电子邮件以获取证据。由于犯罪分子经常伪造信息以避免被发现，电子邮件取证专家需要执行电子邮件标题分析来提取和收集关键证据。

电子邮件标题包含有关邮件在到达最终目的地之前所经过的路径的重要信息。这些资料包括收件人和发件人的姓名、发送和接收电子邮件的时间、电子邮件客户端、互联网服务提供商(ISP)、发件人的IP地址等。此信息和其他电子邮件报头字段可以帮助确定可疑或恶意电子邮件的合法性。

Gmail中的邮件头分析

查看Gmail邮件标题，请执行以下步骤。

• 转到Gmail收件箱，单击要查看其标题参数的电子邮件。
• 在“回复”图标旁边，单击下拉菜单图标并选择显示原始．

这将在一个新窗口中显示电子邮件头参数。您可以直接遍历这些参数，也可以复制并粘贴到谷歌的文本中电子邮件头分析器为了更好的能见度。该工具将突出显示整个文本中的参数。

为了理解Gmail中的邮件头字段，我们以发送者的邮件为例。[见图1]

图1:Gmail中的邮件头分析

1.交付给

发送到:paul.friedman@gmail.com

此电子邮件报头字段包含预期收件人的电子邮件地址。这是在电子邮件分析过程中要检查的主要内容之一，因为它可以提供网络钓鱼活动的详细信息。如果此字段中的电子邮件地址与收件人的实际电子邮件地址不相同，则可能是消息篡改的迹象，需要进行调查。值得注意的是，如今的网络犯罪分子很容易篡改和欺骗电子邮件标题——他们所需要的只是一个简单的邮件传输协议(SMTP)服务器和邮件软件来发起网络钓鱼攻击。

2.收到的

收到:10.12.174.216SMTP idn34csp2326299qvd；
2017年2月1日星期三00:39:09 -0800(太平洋标准时间)

此字段包含最后访问的SMTP服务器的详细信息。披露的信息如下:

a)服务器IP地址

b)访问服务器的SMTP ID

c) SMTP服务器接收电子邮件的数据和时间

3.X-Received

X-Received:10.28.27.14SMTP idb14mr1702258wmb.82.1485938349292;
2017年2月1日星期三00:39:09 -0800(太平洋标准时间)

有些电子邮件参数在Internet官方协议标准中没有定义，被称为非标准标题。这些是由邮件传输代理(如谷歌邮件SMTP服务器)创建的，它可以使用X-Received字段来共享非标准信息。在电子邮件标题分析过程中，该字段不可忽视，因为它共享以下详细信息:

a)消息接收服务器的IP地址

b)服务器的SMTP ID

c)收到邮件的数据和时间

4.返回路径

reply@activetrail.com

此字段包含消息返回的电子邮件地址，以防邮件未能到达预期的收件人。如果发送者给收件人使用了错误的电子邮件地址，就很容易发生这种情况。

通过ESMTPS id 5si23398790wrr.176.2017.02.01.00.39.08
为（paul.friedman@gmail.com）
（version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128）;
2017年2月1日星期三00:39:09 -0800(太平洋标准时间）

此字段包含电子邮件到达的第一个SMTP服务器的信息。以下详情可在此查阅:

a)服务器相关IP地址

b)收件人的电子邮件地址

c)加密信息

d)接收信息的数据和时间

5.收到是电子邮件头中最重要的字段之一，因为你可以找到发件人的IP地址以及其他详细信息，如主机名。

6.Received-SPF

SPF(发件人策略框架)是一种用于验证发件人的电子邮件安全协议。只有发送者的身份验证通过后，系统才会转发消息。该技术使用域地址进行认证，并在报头字段中添加检查状态。使用的代码如下:

a) Pass:邮件源有效

b) Softfail:可能存在假源

c)失败:源无效

d)中性:来源有效性难以确定

e) None:没有SPF记录

f) Unknown:无法进行SPF检查

g) Error: SPF检查时出现的错误

7.验证结果

Authentication-Results: mx.google.com;
dkim=通过header.i = @activetrail.com;
防晒系数=pass (google.com: reply@activetrail.com的域名指定91.199.29.18作为允许的发件人)smtp.mailfrom=reply@activetrail.com;
dmarc=fail (p=NONE sp=NONE dis=NONE) header.from=gingersoftware.com

邮件传输代理(mta)在处理电子邮件消息之前对其应用大量身份验证技术。这些技术的结果被添加到消息的报头字段中，并用分号分隔。

的Authentication-Results字段在电子邮件头分析取证中非常重要，因为它共享执行身份验证的服务器的ID。它还分享了身份验证技术及其结果。

8.DKIM签名

DKIM-Signature:v= 1;一个= rsa-sha256;c= /放松放松;q = dns /三种;d= activetrail.com;年代=在;h= X-BBounce: X-IADB-URL:发送方:提交者:X-Feedback-ID:::日期:主题:MIME-Version:内容类型:Content-Transfer-Encoding;黑洞= GytDyTyaDleCfGk0d7bL4F2bXbTuWsb / xtpIVyVaCRw =;b=sgh6nUFjt5FC7rBC2BwXFulNuG+k14R7bBsstb4erjtZfTn4z/NPHNhVb4Ax1yXoOgX+ Il6n5SCcXTCkwQdmaxpxt/ bzpjwvzibdzu1wichpabvfekctyp6pcjv4 +d2FVIiEuxqi v5dBTcJjXBVpOwU0mqgRceh3pqcvd5Rj4=

DKIM签名报头字段是在电子邮件消息中插入的，用于共享发件人、消息和执行消息身份验证所需的公钥的详细信息。许多电子邮件平台，如Gmail和Outlook.com，都支持该字段来确认电子邮件的真实性。

下面是DKIM签名头的各种标签:

• v:应用版本。目前只有版本1存在，因此该字段应该始终设置为1。
• 一个:用于加密的算法。大多数情况下应该是rsa-sha256。一些发送方可能使用rsa-sha1，但由于安全风险，不建议使用。
• c:用于规范化的算法。
• 年代:选择器记录域使用的名称。
• h:签名算法中用于在b=标签中创建散列的签名报头字段。
• 黑洞:消息体哈希值。
• b: h=标签中列出的头的哈希数据。它也称为DKIM签名。
• d:与选择器记录一起使用的域。

注意:上述所有标记都是DKIM机制工作所必需的。如果缺少任何标记，则验证可能会遇到错误。不过，其他可选标记可能会被使用，也可能不会被使用，比如t= (DKIM时间戳)和c=(使用的规范化算法)。

其他重要邮件标题

X-BBounce: paul.friedman@gmail.com | 47 | 0 | 227254537 | 227254537 | 3605 | 4
X-IADB-URL: http://www.isipp.com/iadb.php
发件人:Ginger (noreply@gingersoftware.com)
提交者:reply@activetrail.com
X-Feedback-ID: 3605:3605.1346802.0: G1: atgfbl
List-Unsubscribe: (http://trailer.web-view.net/unsubscribe/0XE838F4BC62366CBC595D7E381467599CE32C9B2368C35B4CB7315919D29140E3552835B8FF6C759D.htm),
应答: Newsletter@gingersoftware.com
从 :姜 (noreply@gingersoftware.com)
来 :“paul.friedman@gmail.com” (paul.friedman@gmail.com)
问题 (c000e5f41f8f4137a30cab4g6eddcd1e@gingersoftware.com)
日期 : 2017年2月1日星期三10:39:06 +0200
主题 谢谢你注册Ginger!
MIME-Version : 1.0
内容类型:multipart /替代;边界= "——7308 df8a8dbb43098928c652849d6409 "

——7308 df8a8dbb43098928c902849d6409
内容类型:文本/平原;utf - 8字符集=
Content-Transfer-Encoding: quoted-printable

一)答复:接收邮件回复的电子邮件地址。这通常是发件人的电子邮件地址，但也可能手动更改。

b)从:发件人的电子邮件地址。

c)来:收件人的电邮地址。

d)问题:电子邮件的唯一ID，使其可区分。没有两封电子邮件可以共享相同的消息ID。

e)日期:收件人收到邮件的日期和时间。

f)主题:电子邮件的主题部分，包含邮件的主要目的。

g)MIME-Version:这表明该消息是多用途Internet邮件扩展(Multipurpose Internet Mail Extension, MIME)格式的，并且可以支持纯文本文件、视频、音频等格式。

Outlook中的电子邮件头分析

电子邮件分析和提取电子邮件标题的过程可能因Outlook版本的不同而有所不同。下面是在不同Outlook版本中提取电子邮件标题的步骤。

展望2019年、2016年、2013年和2010年

• 发射前景双击要查看其标题参数的电子邮件。
• 去文件>属性．这将打开属性窗口。
• 请参阅网络标题部分。在这里您可以找到头参数。

展望2007年

• 发射前景并在一个新窗口中打开电子邮件，您希望看到其头部参数。
• 去查看>选项．这将打开消息选项窗口。
• 请参阅网络标题部分。

邮件头分析

通过分析电子邮件标题中的关键参数，您可以了解消息是如何从源发送到目的地的。例如，您可以使用原始IP来查找原始发件人。为此，您需要检查第一个收到了参数。这里的第一个IP地址是原始IP，有时也会在字段中显示X-Originating-IP或原始ip．借用相同的头文件示例:

收到:10.12.174.216使用SMTP id n34csp2326299qvd;2017年2月1日星期三00:39:09 -0800(太平洋标准时间)

突出显示的部分是消息的原始发送者。你可以使用免费的信誉服务，比如SenderBase来获得IP的声誉评级。这可以帮助确定电子邮件是垃圾邮件还是网络钓鱼攻击。但是，请记住，如果IP地址是私有的，那么它可能不会获取任何结果。

Message-ID是另一个重要的字段，可以在电子邮件标题分析期间检查欺骗。您可以在下面突出显示的区域看到它。

由于Message-ID是由处理电子邮件的邮件服务器添加的，因此它不能被更改。此外，消息系统通常使用日期/时间戳以及发送者的域名。因此，如果消息ID中的域名与From:字段中提到的域名不匹配，则可能存在欺骗。在上面的例子中，From:字段显示了域名gingersoftware.com，这与Message ID相同。因此，可以安全地假设这里没有发生欺骗。

邮件头的重要性

电子邮件标题充满了有用的细节，如原始IP地址和消息ID，可以用于调查和跟踪可疑的电子邮件。然而，为了识别可以为你指明正确方向的关键细节，你必须很好地理解电子邮件标题分析。在大多数情况下，即使你知道它，你也需要使用专业的电子邮件取证工具以报告和电子邮件文件的形式收集和保存证据。Stellar Email Forensic等工具提供了高级功能，如自定义搜索过滤器、多个消息视图、已删除的电子邮件恢复等，有助于快速和准确的调查。你可以开始评估恒星电子邮件取证软件，目前可用的a60天免费试用。它提供了案例管理功能，并允许用户对电子邮件进行细粒度搜索。