电子邮件的研究与取证.docx

--------------------------校验:_____________-----------------------日期:_____________电子邮件的研究与取证电子邮件的研究与取证1电子邮件系统组成电子邮件系统的主要组成部分包括,邮件用户代理MUA(MailUserAgent)就是用户与电子邮件系统的接口,提供用户编辑、发送、接收、阅读和处理电子邮件的功能。Outlook,Foxmail等都是很受欢迎的电子邮件用户代理。邮件传送代理MTA(MailTransferAgent)是电子邮件系统的核心,运行于后台,主要将邮件通过网络发送给目的MTA、接收邮件并报告邮件传送的情况(己交付、被拒绝、丢失等)。用户不直接和MTA交互,邮件发送队列和邮箱起缓冲的作用,可以使用户收发邮件与实际的邮件传输分开。 2电子邮件的传输原理 SMTP(SimpleMailTransferProtocol)即简单邮件传输协议,是为了保证电子邮件的可靠高效的传送。SMTP协议是存储转发协议,是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式意味着它允许邮件通过一系列的服务器发送到最终目的地。SMTP协议属于TCP/IP协议族,的邮件传输区分开。可用图2-1的通讯模型示意图来表示其通讯过程。 POP3协议(PostOfficeProtocol3)是C/S结构的脱机模型的电子邮件协议,目前已发展到第三版,称POP3。的邮件服务器和下载电子邮件的电子协议。POP3允许用户从服务器上把邮件存储到本地主机(即自己的计算机)上,同时删除保存在邮件服务器上的邮件。在POP3协议中有三种状态,认可状态,处理状态和更新状态。当客户机与服务器建立联系时,一旦客户机提供了自己身份并成功确认,即由认可状态转入处理状态,在完成相应的操作后客户机发出quit命令,则进入更新状态,更新之后最后重返认可状态。如图2-2。下面通过一个例子说明整个邮件传输过程及邮件的信头变化。 Date:Tue,Jun1200915:08:17GMT Subject:Hi! Date:Tue,Jun1200915:08:17GMT Message-Id: Subject:Hi! Date:Tue,Jun1200915:08:17GMT Message-Id: Subject:Hi! 在邮件头的各行中值得一提的是“Message-Id”,这是由发件方的邮件服务器赋给这封邮件的编号。与其他编号不同,这个编号自始至终跟随邮件,这就表示了这封电子邮件的惟一性,在取证过程中也具有特殊意义。 3电子邮件的编码方式 对电子邮件进行编码的意义电子邮件一般在传输过程中都要对文件进行编码,因为电子邮件只能传送ASCII码格式的文字信息,ASCII码为7位代码。非ASCII格式的文件在传送中必须经过编码工具编成相应的ASCII码进行传输,在接收到后接收端再根据编码规则进行解码。由于国内通行的大部分邮件服务器都能够处理GB内码文件,所以可以直接传送文件而不需要编码,但如果要将中文邮件发到国外或在某些不支持8位(非标准ASCII码格式)的某些邮件主机上传输,就会产生乱码。具体地说就是在直接发送中文或非ASCII码的邮件时邮件主机无法处理,便会把文件中每个字符的第八位都滤掉(截去第八位)从而使一些信息和原始信息截然不同,或邮件完全损坏成为乱码无法阅读。这也是目前造成邮件乱码的主要原因之一。电子邮件的主流。使用这种标准,用户根本不需要知道它是如何编码/解码的,所有工作由电子邮件软件自动完成。由于MIME的方便性,愈来愈多的电子邮件软件采用这种方式。使用MIME标准进行传送的邮件一般包含MIME头(MIMEHeader)。 4电子邮件的取证电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。电子邮件的证据来源主要包括:用户的邮箱,网络上传输数据的记录,服务器上的记录,用户使用的硬盘等,以及对于使用web方式的发送和接收邮件的网页历史记录、的临时文件、网页缓存以及Cookie等。对于司法鉴定取证工作,涉及最多也是最重要的是用户使用的硬盘和邮件服务器的硬盘,因为在这两个地方往往有整个邮件的完整内容。以下主要讨论对用户使用的硬盘所进行的电子邮件取证。,默认的存储路径为“\DocumentsandSettings\(UserName)\LocalSettings\ApplicationData\Microsoft\Outlook”。,默认的存储路径为“