中国学术杂志网

电子邮件防伪验证方法

 论文栏目:电子邮件论文     更新时间:2019/1/11 15:37:57   

摘要:分析IMAP协议消息属性,提出一种利用内部时间属性和唯一标识符属性进行电子邮件防伪验证的方法,并用实例证明该方法的有效性。

关键词:电子邮件;IMAP协议;内部时间属性;唯一标识符;安全验证

在当今网络时代,利用伪造电子邮件的欺诈行为仍然时有发生,探寻此种行为的防范措施依旧势在必行。电子邮件取证的传统方法通常都是基于邮件头信息的分析[1],但其局限性在于有些邮件头信息是可以伪造的。本文利用IMAP(InternetMailAccessProtocol,互联网邮件访问协议[2])的消息属性,提出一种利用针对伪造邮件发送时间安全验证方法,并检验其有效性。

1电子邮件发送时间的伪造

伪造电子邮件的发送时间相对比较容易。例如伪造者在2018年9月的某一天想要制作一封电子邮件,让它看起来像是他在一年前的2017年9月从他的网易电子邮件地址发送给其商业伙伴的21cn电子邮件地址。他可以使用收发邮件客户端软件,比如Foxmail,先将自己终端的系统时间修改成2017年9月的某一天,然后撰写邮件,发送即可。对方收到的电子邮件如图1所示,发送时间显示正如伪造者所愿。那么,该如何找到真实的发送时间呢?对这一问题我们首先想到的应该是邮件头信息,通过查看邮件头看能否找到蛛丝马迹。查询到的邮件头信息如图2所示,其中的时间依然是一年前的。下面我们来探讨可以用来考察电子邮件发送真实时间的关键数据点。

2电子邮件的内部日期

我们可以在IMAP服务器上检查另一个数据点来验证邮件的时间——IMAP内部日期消息属性[2]。这个日期不是邮件本身的一部分,它由服务器保存,并指明服务器上邮件的日期和时间。在某种程度上,类似于文件系统的时间戳。IMAP4协议的规格说明书[2]表明,当APPEND(新增)命令用于向邮箱服务器添加一个新邮件时,应该给APPEND命令提供一个日期/时间参数,如果不提供,APPEND命令默认情况下将使用服务器当前日期和时间作为这个参数。当使用大多数主流电子邮件客户端将邮件添加到邮件服务器中时,附加命令将在没有日期/时间参数的情况下发布。因此,在大多数情况下,内部日期消息属性应该反映消息被添加到邮箱服务器中的日期和时间。在这种情况下,当我们查看电子邮件取证收集器(ForensicEmailCollector[2],由美国Metaspike公司开发的一款电子邮件取证工具软件)提供的原始IMAP通信日志时,会看到图3所示信息:因此,尽管在消息头中发现的起源日期,但是服务器保存的内部日期是9/30/201812:09:47。根据目前的发现,这条消息最初是在9/30/2017发送的,然后在9/30/2018被添加到邮箱中,这是邮件是否属于伪造的关键线索。那么,是否能找到其他的证据来支持这一发现呢?

3唯一标识符(UID)属性

IMAP协议将UID消息属性[1]定义为唯一标识符,该标识符不能引用邮件文件夹中的任何其他消息。而且,UID值是以严格的升序方式分配的。添加到邮箱中的每个邮件都比以前的消息分配更高的UID。因此,如果邮件是在事后被添加到邮箱中,那么与同一时期的其他真实邮件相比,它应该有更大的UID值。在这种情况下,检查采集到的日志,可以确认可疑邮件实际上是“已发送”文件夹中最大的UID值和序列号。正因为如此,由电子邮件取证收集器按UID升序排列,它将是“已发送”文件夹中的最后一项。这可以证实我们的发现,在9月30日12:09:47,在我们检查前不多久,伪造的信息才被添加到邮箱中。

4扩展调查

我们已经从电子邮件消息本身和IMAP服务器中发现了一些证据,包含两个日期:9/30/2017,电子邮件消息呈现的发送时间;以及9/30/2018,我们调查发现的电子邮件消息被添加到IMAP邮箱的时间。如果条件允许,我们还可以追寻一下可疑电子邮件消息被创建和发送的工作站,查看那些伪造者的行为踪迹,如Shellbags[3],互联网历史,LNK文件和其他试图在工作站上的相关活动,发现可疑的邮件信息和IMAP服务器。甚至我们可能发现嫌疑人用来收发电子邮件的软件,修改或伪造邮件并将其添加到IMAP服务器;或者可能会发现一些证据,表明嫌疑人在某个搜索引擎上搜索如何伪造电子邮件!

5结束语

在验证电子邮件信息时,我们可以检查一长串的数据点。除了可以在电子邮件消息本身中找到的信息之外,电子邮件服务器通常还包含关于邮件的元数据,这些元数据存储在消息之外。内部日期和惟一标识符(UID)消息属性就是这样的两个数据点,可以用来帮助确认在验证电子邮件期间的发现。此外,当查看整个IMAP邮箱时,我们还可以利用内部日期和唯一标识符(UID)消息属性来快速识别和处理可疑的邮件消息,这些消息在头日期和内部日期以及序列号之间有显著的差异。

作者:李均涛 单位:贵州财经大学信息学院

学术网收录7500余种,种类遍及
时政、文学、生活、娱乐、教育、学术等
诸多门类等进行了详细的介绍。

电子邮件论文
@2008-2012 学术网
出版物经营许可证 音像制品经营许可证
主机备案:200812150017
值班电话
0825-6697555
0825-6698000

夜间值班
400-888-7501

投诉中心
13378216660
咨询电话
唐老师:13982502101
涂老师:18782589406
文老师:15882538696
孙老师:15982560046
何老师:15828985996
江老师:15228695391
易老师:15228695316
其它老师...
咨询QQ
89937509
89937310
89903980
89937302
89937305
89937307
89937308
业务
综合介绍
在线投稿
支付方式
常见问题
会员评价
官网授权
经营许可
关于我们
网站简介
版权声明
友情链接
人员招聘
联系我们