美章网 资料文库 电子邮件真实性技术探讨范文

电子邮件真实性技术探讨范文

本站小编为你精心准备了电子邮件真实性技术探讨参考范文,愿这些范文能点燃您思维的火花,激发您的写作灵感。欢迎深入阅读并收藏。

电子邮件真实性技术探讨

《计算机与网络杂志》2015年第二期

1电子邮件结构分析

1.1邮件正文在邮件中第一个空行后,可以看到通过“Content-Type”中“boundary”相应字段,这就是邮件正文的开始,如邮件存在附件,在该字段“Content-Type”中会出现一个新的“boundary”所指引的边界信息。该边界信息所内的内容为邮件正文,如邮件不存在附件,邮件正文的边界信息则以邮件头中的“Content-Type”所提示的边界信息为准。邮件的正文存在2种形式,一种为“text/plain”是无格式正文,一种为“text/html”是html格式的正文,在网页及客户端中看的到邮件正文都是以“text/html”的格式所显示。

1.2邮件附件在邮件正文边界后的,会出现一个邮件头中“Content-Type”所提示的边界信息,这个边界信息后的内容为邮件附件,如存在多个附件,每个附件之间都会存在一条该边界信息。在附件的“Content-Type”信息中包括类型标识和子类型标识,前者类型标识声明了数据的类型,后者子类型标识为这种数据类型指定了特定的格式。附件类型分为7种,分别是:文本(Text)、多文档(mulipart)、消息(Message)、图像(Image)、音频(audio)、视频(Video)和应用(Application)。当遇到未知的类型如压缩文件时,将会把未知类型当作“application/octet-stream”对待。

2邮件真实性分析

电子邮件真实性分析主要从以下几个方面进行分析。

2.1电子邮件客户端分析电子邮件客户端是日常办公中经常使用的邮件发送及接收所使用软件,在使用方便快捷的同时也会在操作时产生相应的记录。打开电子邮件客户端,查看客户端收件箱、发件箱和回收站是否存在与需要分析真实性的邮件相关的原邮件、转发邮件、回复邮件和删除邮件等内容。在对LiveMail客户端中的邮件真实性进行分析时,应查看邮件的流文件,在流文件中会记录邮件的相关事件及大小属性,该属性不会因修改邮件而改变,在流文件中邮件的发送时间为0时区时间[2]。

2.2邮件内容分析[3]⑴邮件关联性分析查看客户端中相关邮件:①发件箱:查看发件箱内是否存在对怀疑修改的邮件的回复,如存在回复邮件,可以查看回复的邮件中的原邮件内容与怀疑修改的邮件是否相同;②垃圾箱:查看垃圾箱内是否存在被删除的怀疑修改的邮件,如存在相关邮件,可以查看垃圾箱内的相关邮件与怀疑修改的邮件是否相同。⑵邮件编码分析邮件内容的修改方式为将邮件的正文部分的编码进行解码后修改,修改完成后将修改过的邮件内容转换为邮件原编码格式后,对原编码进行替换。邮件内容分为“Content-Type:text/plain”、“Content-Type:text/html”,邮件内容的修改只有对邮件内容的“text/html”编码进行修改后才可以在正常打开邮件时显示为已修改内容,所以在对邮件内容真实性进行判别时可以对“Content-Type:text/plain”的内容进行解码后查看内容与邮件内容是否一致[4,5],如不一致则可以判断邮件内容经过了修改。⑶邮件与硬盘关联性分析查看邮件所在硬盘的是否安装了360杀毒软件,如安装360杀毒软件,首先查看怀疑修改的邮件的文件属性,根据文件属性所显示的修改时间,查看相关硬盘中360杀毒软件日志文件所记录的修改时间当天的计算机操作记录日志[2]。根据属性显示的修改时间打开相应日志文件,点击查找,输入需要分析的邮件名称,进行查找。在该日志中主要查看与需要分析真实性的邮件的文件属性中修改时间相近的日志记录中如否存在“记事本(notepad.exe)”调用了要查找的文件。⑷附件分析对邮件存在附件的邮件,可对附件主题和内容进行关键字设定,在邮件所在硬盘中对关键字进行搜索。查找硬盘中是否存在与附件相同个文件。如邮件发送的方式为通过“foxmail客户端”发送,在邮件头的信息中也可对是否存在附件进行鉴定,使用“foxmail客户端”发送的邮件,在邮件头“X-Has-Attach”中会存在不同的表现。如存在附件,显示为“X-Has-Attach:yes”,如发送时不存在附件显示为“X-Has-Attach:no”。根据邮件头中“Content-Type”项中“boundary”中的Part内容对邮件内容进行查找。根据上面的内容可以对邮件中附件的名称及附件的类型进行分析,从而查看邮件中所包含的附件是否经过修改。如邮件中“Content-Type”中所显示的文件类型为“image/jpeg”,但邮件附件名后缀为文档文件,同时附件“filename”与“name”处文件名不符,由此可以判断这个邮件的附件是经过修改的。如附件内容为文档文件,可对邮件所在硬盘进行关键字搜索,设置邮件附件内容所包含的关键字,对邮件所在硬盘进行检索,查看是否存在相关的文档。对搜索到的相关文档与附件文档进行比对,查看是否存在差异。

2.3邮件头分析⑴发件人真实性分析通过邮件头的特征,对邮件发件人真实性的进行分析。正常的邮件的发件人应与第一项Received信息中的地址相符。通过对“网易”“、新浪”“、搜狐”、“QQ”和“foxmail客户端”等目前较为常用的邮件服务器所发邮件的邮件头进行比对后发现,由于邮箱服务器不同,一些邮箱发出的邮件不会存在第一项Received信息,如“QQ”和“foxmail客户端”发出的邮件就不存在第一项Received信息[6],同时对发件人真实性的分析可以根据一些邮件服务器的Message-ID中的信息来进行判断,如“网易”和“搜狐”等邮箱服务器的Message-ID信息中会出现发件人地址。⑵发件时间真实性分析通过对邮件头的分析,可以看到在Received信息中会存在时间信息,所以在对时间真实性的分析上应注意邮件的发送时间,是否与Received信息中的时间相符。在关注发件时间是,也应注意发件时间中的星期与发件日期是否相符[7]。在对发件人真实性分析时,提到过的Message-ID信息,在对时间真实性进行分析时,也可以得到应用,如“新浪”和“foxmail客户端”所发邮件的Message-ID信息中会出现时间信息[8-10],在这应注意到新浪Message-ID的时间为0时区和我们相差8小时,所以时间加8h。

3结束语

电子邮件真实性的分析,不是对一个邮件个体的分析,是一个需要通过对邮件客户端、邮件头中Message-ID信息、Received信息、邮件正文编码特征、邮件附件编码特征及相关硬盘的检验等多种方式相互结合从而得出结论的过程,同时在分析过程中要注意邮件特征的每一个细节及邮件特征的前后关联性。在实际应用过程中,对使用客户端收发的电子邮件的修改,通过上述分析方法基本可以做到准确的判断。但目前在对使用网页收发的电子邮件的真实性鉴定上还存在一定的难题,需要进行深入的研究。

作者:刘奇伟单位:河北远东通信系统工程有限公司