电子邮件取证分析——微软Exchange邮箱系统取证

合集下载

论电子邮件(E-mail)的证据属性(一)

论电子邮件（E-mail）的证据属性(一)“摘要”随着计算机技术的迅猛发展以及信息网络的建立和完善，以数字化形式出现电子邮件对传统的证据形式提出了挑战。

笔者以为电子邮件具备证据的客观性、关联性及合法性的基本特征，应将其纳入诉讼证据清单的范畴中去。

“关键词”电子邮件、证据属性随着计算机技术的迅猛发展以及信息网络的建立和完善，以电子数据形式出现的文字、图片、音像等正以日新月异的态势，冲击着原有的社会生活。

由于网络的虚拟性和开放性，使得建立在网络基础上的电子邮件与传统证据相比有许多迥然不同的地方，这无疑对传统法律制度提出了新的挑战。

就证据法律制度而言，电子邮件的证据属性问题，值得我们研究与探讨。

一、电子邮件及其特点电子邮件是通过Internet或Intranet等网络进行互传信息的数字化通讯方式。

作为信息世界的产物，其高效、便捷和经济性得到了人们的首肯。

人们从终端机输入文件、图像或声音等，就可以通过邮件服务器将电子邮件传达到另一终端机上。

从证据的本质上讲，电子邮件并不是传统意义的“原件”，它只是计算机能够识别的由“0”和“1”组成的一系列二进制编码，即“字符串”。

只有通过一定的输出设备，电子邮件才能被显示观看。

因此，与传统证据相比，电子邮件有以下特点：1.易破坏性。

电子邮件是用二进制数据“0”和“1”来表示的，并以数字编码的形式储存于介质之中。

因此，如果人为地对电子邮件进行删除、篡改，从技术角度上讲，不仅仅轻松、容易而且不留痕迹，很难查清。

轻易一个指令的键入，完全可以使其面目全非而且一经发件人从其“发件箱”，“回收站”中将文件删除，电子邮件便不见踪影。

这表明电子邮件具有易破坏性。

2.隐敝性。

在计算机内部，一切信息都被数字化了。

计算机通过二进制编码的形式将电子邮件中包含的图像、文字、声音等信息转化为一系列的电脉冲从而实现某种功能。

由此可见，电子邮件都是以无形的编码来传递的，如果没有一定的输出设备，电子邮件就看不见、摸不着，因而具有隐蔽性。

电子邮件如何取证、举证？

电子邮件如何取证、举证？
一、法院如何审查电子邮件真伪？
电子邮件十分方便、常用，不管是在公司内部员工之间，还是在公司与公司之间。

综合司法实践和相关规定，法院在审查电子邮件时通常注重如下五点：
第一，审查邮箱的取得方式。

第二，审查发件人、收件人。

第三，审查邮件到达时间。

第四，审查邮件正文的内容。

第五，邮件内容是否与其他证据相互印证，形成证据链条。

熊猫法律星球提醒大家一定要注意：法院审查当事人提交的已经公证机关公证的电子邮件，还需要审查是否符合《公证法》等规定，为合法有效的公证书！
二、取证过程中有哪些注意事项？
1、对电子邮件内容进行打印，打印件必须清晰、完整显示邮件的来源，包括发件人、收件人及邮件提供人，邮件的生成、接收时间及邮件内容。

2、收集和保存能与邮件内容相印证的其他证据，形成证据链。

三、如何在法院上出示电子邮件证据？
1、当事人对电子邮件已作公证的，可直接将公证机关出具的公证文书作为证据出示，一般不需要当庭演示邮件。

2、当事人对电子邮件没有作公证的，法院会要求当事人说明，必要时将计算机接入国际互联网，当庭演示登录邮箱，展示电子邮箱地址以及电子邮件内容，并下载电子邮件打印成纸质件。

四、相关规定
《上海市高级人民法院关于数据电文证据若干问题的解答》第七点
《浙江省高级人民法院民事审判第四庭关于涉外商事审判证据认定的意见》第二十条，二十一条，二十二条
《广州市南沙区人民法院（广东自由贸易区南沙片区人民法院）互联网电子数据证据举证、认证规程（试行）》第八条第一款第（二）项。

电子邮件取证中的关键问题

摘要：首先分析了电子邮件证据的特点，然后针对涉及电子邮件的案件中争议较多的焦点，提
出解决电子邮件取证中的几个关键问题的方法，即如何确定邮件的发送者、邮件到达时间以及确认收
２．ＰｅｏｐｌｅＳＣｏｕｒｔｏｆＳｈａｎｔｏｕＣｉｔｙＩ￣ｍｇｈｕＤｉｓｔｒｉｅｔ，Ｓｈａｎｔｏｕ５１５０００，Ｃｈｉｎａ）
Ａｂｓｔｒａｃｔ：Ｔｈｉｓｐａｐｅｒｆｉｒｓｔｌｙａｎａｌｙｚｅｓｔｈｅｃｈａｒａｃｔｅｒｉｓｔｉｃｓｏｆｅｍａｉｌｅｖｉｄｅｎｃｅ．Ｔｈｅｎ，ａｅｅｏｌ ’ ｄｉｎｇｔＩ）ｔｈｅｆｏｃｕｓｉｎｓｏｌｎｅｅｍａｉｌｃａｓｅｓ，
Ｋｅｙｐｒｏｂｌｅｍｓｉｎｅｍａｉｌｆｏｒｅｎｓｉｃｓ
ＪｉａｎｇＨｕａｎｇ．ＣｈｅｎＨａｉｌｉｎｇ
（１．ＤｅｐａｒｔｍｅｎｔｏｆＣｏｍｐｕｔｅｒ，ＳｈａｎｔｏｕＰｏｌｙｔｅｃｈｎｉＣ，Ｓｈａｎｔｏｕ５１５０４１，Ｃｈｉｎａ；
ＮｅｔｗｏｒｋａｎｄＣｏｍｍｕｎｉｃａｔｉｏｎ
电子邮件取证中的关键问题

电子取证面试题目(3篇)

第1篇一、基础知识1. 请简要介绍电子取证的概念及其在网络安全领域的应用。

2. 电子取证的基本流程包括哪些步骤？3. 请列举几种常见的电子取证工具。

4. 请解释什么是数字证据，并说明其特点。

5. 在电子取证过程中，如何确保证据的完整性和可靠性？6. 请简述电子取证在调查网络犯罪案件中的作用。

7. 电子取证过程中，如何处理证据的保密性和隐私性问题？8. 请说明电子取证在处理企业内部纠纷、知识产权保护等方面的应用。

9. 电子取证过程中，如何确保证据的时效性？10. 请简述电子取证在处理网络攻击、网络诈骗等犯罪案件中的作用。

二、技术技能1. 请介绍Windows操作系统中常见的取证工具，如：Windows资源管理器、事件查看器等。

2. 请介绍Linux操作系统中常见的取证工具，如：find、grep、ps等。

3. 请说明如何使用Regedit工具进行Windows注册表取证。

4. 请说明如何使用WinDbg工具进行内存取证。

5. 请介绍如何利用Wireshark工具进行网络流量取证。

6. 请说明如何使用X-Ways Forensics进行文件系统取证。

7. 请介绍如何使用Autopsy进行网页取证。

8. 请说明如何使用Volatility进行内存取证。

9. 请介绍如何利用RegRipper进行注册表取证。

10. 请说明如何使用Foremost进行文件恢复。

三、实战案例1. 请简述一起网络攻击案件的取证过程。

2. 请简述一起网络诈骗案件的取证过程。

3. 请简述一起企业内部纠纷案件的取证过程。

4. 请简述一起知识产权保护案件的取证过程。

5. 请简述一起计算机犯罪案件的取证过程。

6. 请简述一起计算机病毒感染案件的取证过程。

7. 请简述一起计算机数据丢失案件的取证过程。

8. 请简述一起手机取证案件的取证过程。

9. 请简述一起网络钓鱼案件的取证过程。

10. 请简述一起电子邮件取证案件的取证过程。

四、法律知识1. 请列举我国与电子取证相关的法律法规。

微软邮件系统Exchange 2013系列(八)配置Exchange证书-生成证书需求文件

微软邮件系统Exchange 2013系列（八）配置Exchange证书-生成证书需求文件熟悉Exchange的知道, Exchange需要证书支持，exchange安装之后会默认开启ssl，在IE中只能使用https来访问owa。

如果没有证书，使用owa时是会有告警提示。

要想取消警告信息，需为Exchange服务器颁发受信任的证书（默认Exchange安装好后会为自己签发一个自签名证书）。

要为Exchange颁发证书就需要在企业中的CA服务器为Exchange颁发证书或者在公网CA机构为Exchange申请证书(公网一般采用申请证书后绑定企业域名的方式)。

此处我们采用搭建自己的企业CA来实现，这也是多数企业采用的解决方案。

1、安装企业CA以管理员身份登录DC 服务器（此处我们将CA搭建在我们的域控中，生产环境建议独立部署）。

打开服务器管理器---添加角色和功能---Active Directory证书服务点击“下一步”选择证书颁发机构、证书颁发机构web注册，点击“下一步”点击“下一步”点击“安装”，完成后点击“关闭”2、配置企业CA在服务器管理器上，选择通知（黄色叹号）---配置目标服务器上的Active Directory证书服务点击“下一步”选择证书颁发机构和证书颁发机构web注册，点击“下一步”选择“企业CA”点击“下一步”选择“根CA”点击“下一步”点击“下一步”点击“下一步”点击“下一步”选择证书默认有效期，点击“下一步”选择证书存放位置，点击“下一步”选择配置完成后选择“关闭”，完成证书服务器配置3、生成Exchange证书请求文件在浏览器中输入https:///ECP 打开EAC，输入用户名和密码转到“服务器”---“证书”。

在“证书”页面，确保在“选择服务器”字段中选择了客户端访问服务器（这里首先配置cas01），然后单击“”在“新建Exchange 证书”向导中，选择“创建从证书颁发机构获取证书的请求”，然后单击“下一步”。

邮件取证

Open Relays
哄骗者试图通过Open Relays来隐藏他自己以及隐藏用以发送邮件的系统的IP地址通过Open relays发送邮件时，邮件仍然会自动的包含邮件实际发送者的IP地址如果组合其它技术，Open relays往往会成为调查者的一大障碍
使用Open Relays时如何查找证据？
可以通过查看pop3uidl.dbx来查看可疑计算机上用户曾经接收过那些邮件，即使用户已e.dbx
针对IMAP邮件账号所用的。那么什么是IMAP邮件账号呢？一般来说，我们所使用的邮件账号都是POP3，无法先预览电子邮箱中的邮件，必须将邮件下载到本地后才能阅读。而如果你的ISP服务商提供的是支持IMAP 的邮件账号的话，你就可以直接连接到服务器上浏览你的电子邮件，直接在服务器上管理你的邮件，如：决定哪些需要下载、哪些可以直接删除等，就像OE 5中的Hotmail账号一样
如果已经卸载了Outlook Express或已经删除DBX文件：
通过数据恢复软件(如：MedAnalyze恢复删除的dbx文件。尽量恢复所有的dbx文件。
查看DBX文件的邮件信息
如果邮件没有被删除可用如下两种方法查看MAIL：
在Outlook Express客户端软件中直接查看
如果邮件被删除可用如下三种方法查看MAIL：
可以在目录中找到文件：李向.nsf
安装Paraben Network Examinar 后双击该文件
三. Lotus Notes邮件取证
方法一：打开该 Notes邮件文件:
先改名为：李向.nsf 为ss.nsf
安装Paraben Network E-Mail Examiner后双击该文件打开
三. Lotus Notes邮件取证

Exchange 证书基础知识

对称加密特点：对称加密的特点是加密和解密通过一个相同的密钥。

比如，我们要加密一组数字一组数字：12345密钥：10算法：原数字乘于密钥加密后的结果：123450解密的人也是通过密钥10，拿123450除以10 就得到了原来的数字12345，当然算法和密钥都不会这么简单。

缺点：对称加密的一个不便之处就是密钥的分发，因为当A发一封加密的信给B的时候，B要想读这封信，就必须知道密钥，但是怎么传递密钥呢？如果通过一封没有加密的信传递密钥，那么很容易就被截取了。

常见的对成加密算法: DES ,3DES, RC5非对称加密非对成加密有一对密钥，私钥和公钥，当使用其中一个来加密的时候，必须用另外一个来解密。

这样就把密钥分发的问题解决了，公钥可以随便分发，公钥是大家都知道的，私钥只有私钥持有人才有。

当 A 需要发信给 B 的时候，就使用 B 的公钥把这封信加密，然后发送给B，只有B有私钥，所以只有B能够读取这封信。

这样即使别人也知道公钥，但是却看不到信的内容。

但是非对称加密有个缺点，就是需要复杂的计算，这要耗费很多CPU，并且一般非对称加密的密钥都很长，1024 bit 或者2048 bit。

所以一般不会用非对称加密算法来数据，只用来加密密钥（对称加密的密钥），实际的加密过程还是使用对称加密。

常见的对成加密算法：Diffie-Hellman，RSARSA算法是很常用的算法，硬件解码的话，DES对称算法要比RSA 快1000倍。

在Exchange 2007 中，当使用New-ExchangeCertificate 来申请证书的时候，可以使用参数KeySize, 这个参数可以指定与要创建的证书关联的RSA 公钥的大小（位）。

可接受的值是4096、2048 和1024。

默认值为2048。

下图中可以看到，证书的公钥使用RSA算法，公钥长度1024 bits来进行加密的哈希哈希是用来保证一段数据不被更改，保证数据的完整性。

电子邮件的研究与取证

Ｄａｅ：Ｔｅｕ１０９５０：７ＧＭＴｔｕ．Ｊｎ２０１：８１
Ｘ — ａｌｒ —Ｍｉ：ＭｉｒｓｆＯｕｌｏｋＥｐｅｓ６０９０２０ｅｃｏｏｔｔｏｘｒｓ０２０．１８
在这个过程中，邮件头将三次被加到邮件中：在编辑时由邮件客户程序加入：邮件传输到ｍａｌｌａｃｍ时被ｍａ．ｌｈ．ｍ加ｉｐｏ．ｈａｉｐａｃｌａｏ入：当从ｍａ．ｐａｃｒ传送到ｍａｌｅａｃｒ时被ｍａｌｅａｃｍｉｌｈ．ｎｌａｏｉｔ．ｎ．ｂｏｉｔ．ｏ．ｂ
电子邮件的研究与取证
王晨（同济大学北京网络行业协会电子数据司法鉴定中心）
摘要：电子邮件已经成为网民最常使用的网络服务。在很多计算机犯罪到Ｂ使用的ＭＴＡ邮件服务器（ｉｅａｃｒ）并储存在该服务器ｍａｌｔｏｂｎ案件以及商业和民事纠纷中都涉及电子邮件的调查和取证。检查电子邮件需中，到Ｂ使用自己的客户端与该邮件服务器连接，时ｍａｌｅａ直这ｉｔ．．ｂ要注意其传输原理、邮件头和编码的特殊性，取证人员需要掌握相应的取证ｃｍｊ存储的邮件传送至的客户端上。ｏ，５－０Ｂ
件传输区分开。可用图２１的通讯模型示意图来表示其通讯过程。 —
Ｄａｅｔ：ＴｅｕＪｎ２０１：８１ｕ１０９０：７ＧＭＴ５Ｍｅｓｇ —Ｉ：ｓａｅｄ＜３８７４６４０００９＠ｍａｌｌｈ．Ａ０１９１３１ — ００２８ｉａｐａ．

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

电子邮件取证分析——微软Exchange邮
箱系统取证
作者：许子桓，查阳，蔡梓祺
来源：《中国新通信》 2018年第7期
一、电子邮件取证介绍
电子邮件取证属于计算机取证的范畴，是分析出电子邮件真正的发送者、接收者、发送时
间和发送地点的过程。

电子邮件的证据主要来自户邮箱、网络数据记录、服务器上的记录、用
户使用的硬盘等。

Exchange Server 是Microsoft 公司推出的一套功能丰富的电子邮件服务组件，可以与Outlook个人电子邮件系统配合使用。

鉴于其强大的邮件业务处理功能，目前国内
外大部分大型公司都以这款Exchange 邮箱来作为公司内部的的办公邮件系统。

以下的部分我
们将剖析Exchange 的邮件取证分析功能。

二、电子邮件取证分析——针对微软Exchange 邮箱系统取证分析
关于Exchange 2016 的框架，可以从Microsoft 官网的技术文档上获得Exchange 2016
的架构。

在Microsoft 本地环境中，数据库可用性组 (DAG) 是Exchange 邮箱系统的核心功能模块，其内部是一组邮箱服务器。

它向前处理来自因特网的客户端访问并与边缘传输服务器进
行交互，向后负责一组数据库的管理，而且还要提供数据库、网络和服务器故障的数据库级自
动恢复功能。

更详细地说，邮箱服务器提供能够接受所有协议（SMTP，HTTP 等）的客户端访问服务。

这些前端服务负责将连接路由代理服务器到邮箱服务器上相应的后端服务。

对于用户来说，客户端不必直接连接最深层的数据库，而是由邮箱服务器负责中间的一系列操作。

当用户
通过Exchange 的客户端发送邮件时，邮件至少需要遍历一台MIcrosoft 的本地邮箱服务器，
这成为了邮件取证的有力支撑。

Exchange 提供了邮件追踪功能。

Exchange 的邮件服务器对处
理过的每一封邮件生成邮件追踪日志，包括经过邮箱服务器和边缘传输服务器的邮件的所有的
操作行为。

日志文件包含有邮件的详细信息，其字段达30 条，除了常见的发送时间、接收时间、发
件人、收件人、邮件主题、使用协议之外，还包括IP 地址，邮件标识符，邮件传输规则等信息，这些信息为一封单薄的邮件提供大量的证据信息。

然而，由于数据库容量的限制，邮件追踪日志并不会记录邮件的内容。

因此在取证工作中，已删除邮件的恢复工作显得尤为重要。

在Exchange 的应用场景中，用户一般使用Outlook 作
为个人电子邮件收发软件，与Exchange 搭配使用。

当用户删除电子邮件、联系人时，邮件系
统会将其自动移动到邮箱中的“已删除邮件”文件夹中。

用户可以在这个文件夹中将被删除的
信息恢复。

若用户在“已删除邮件”文件夹中将文件彻底删除，即一般意义上的从个人客户端
上删除邮件后，管理员仍然可以通过Exchange 服务器端的shell——Exchange Management Shell（EMS）来搜索这些已经被删除的邮件。

要想搜索这些邮件，管理员必须知道源邮箱，目
标邮箱，以及搜索条件，通过构造形如以下的语句:
Search -Mailbox “Chirs” -SearchQuery “from:’Michelle’”
-TargetMailbox “Discovery Search Mailbox”
-TargetFolder “Chris Recovery”
-LogLevel Full
以尝试恢复邮件。

若成功搜索需要恢复的邮件，管理员可以登录到目标邮箱以检查。

这些功能是电子邮件取证工作的一个典型应用，为电子邮件的取证分析工作提供大量帮助。

三、电子邮件取证所面临的问题
（1）电子邮件欺骗：这种方式是指修改邮件的实际发送者，邮件发送者使用工具将他的IP 地址换成其他的IP 地址。

（2）邮件中继：也就是使用其它的邮件服务器发送电子邮件。

正确配置的邮件服务器只处理系统内的用户发送的邮件，不会对系统外的IP 地址发送的邮件进行中继。

一旦邮件服务器配置不当，就可能会被他人利用。

（3）电子邮件账户的盗用：这很容易理解，一旦黑客获取了某人的电子邮箱的用户名和密码后。

就很难追踪到真正的发送者。

（4）免费的电子邮箱：很多人都使用免费的电子邮箱，这些邮箱申请者的信息往往是虚假的。

（5）目前越来越多的web 邮件( 通过浏览器在线收发的邮件) 服务商, 对用户提供了加密的登录方式, 这对于离线的取证工作, 无疑增加了很大的难度。

取证人员在使用者的硬盘中往往只能够看到用户所使用邮件服务商的网页框架, 而无法看到其邮件内容。

这也是今后日趋成熟的电子邮件取证技术所需要研究的内容之一。