Phenquestions
E-mailarchitectuur:
Wanneer een gebruiker een e-mail verzendt, gaat de e-mail niet rechtstreeks naar de mailserver aan het einde van de ontvanger; het gaat eerder door verschillende mailservers.
MUA is het programma aan de clientzijde dat wordt gebruikt om e-mails te lezen en op te stellen. Er zijn verschillende MUA's zoals Gmail, Outlook enz. Telkens wanneer MUA een bericht verzendt, gaat het naar MTA die het bericht decodeert en de locatie identificeert die het bedoeld is om te worden verzonden door koptekstinformatie te lezen en de koptekst aan te passen door gegevens toe te voegen en deze vervolgens door te geven aan MTA aan de ontvangende kant. De laatste MTA die vlak voor de MUA aanwezig is, decodeert het bericht en stuurt het naar MUA aan de ontvangende kant. Daarom kunnen we in de e-mailheader informatie vinden over meerdere servers.
Analyse van e-mailheader:
E-mail forensisch onderzoek begint met de studie van e-mail koptekst omdat het een enorme hoeveelheid informatie over het e-mailbericht bevat. Deze analyse bestaat uit zowel de studie van de inhoud als de e-mailheader met de informatie over de gegeven e-mail. E-mailheaderanalyse helpt bij het identificeren van de meeste e-mailgerelateerde misdaden zoals spear phishing, spamming, e-mailspoofing enz. Spoofing is een techniek waarmee men zich kan voordoen als iemand anders, en een normale gebruiker zou even denken dat het zijn vriend is of iemand die hij al kent. Het is alleen zo dat iemand e-mails verzendt vanaf het vervalste e-mailadres van een vriend, en het is niet dat hun account is gehackt.
Door e-mailheaders te analyseren, kan men weten of de e-mail die hij heeft ontvangen afkomstig is van een vervalst e-mailadres of van een echt e-mailadres. Zo ziet een e-mailheader eruit:
Bezorgd aan: [e-mail beveiligd]Ontvangen: tegen 2002:a0c:f2c8:0:0:0:0:0 met SMTP-id c8csp401046qvm;
wo, 29 jul 2020 05:51:21 -0700 (PDT)
X-Ontvangen: tegen 2002:a92:5e1d:: met SMTP-ID s29mr19048560ilb.245.1596027080539;
wo, 29 jul 2020 05:51:20 -0700 (PDT)
ARC-zegel: i=1; a=rsa-sha256; t=1596027080; cv=geen;
d=google.com; s=arc-20160816;
b=Um/is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i/vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR/HBQoZf6LOqlnTXJskXc58F+ik
4nuVw0zsWxWbnVI2mhHzra//g4L0p2/eAxXuQyJPdso/ObwQHJr6G0wUZ+CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL/sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT+DQY+ukoXRFQIWDNEfkB5l18GcSKurxn5/K8cPI/KdJNxCKVhTALdFW
Or2Q==
ARC-bericht-handtekening: i=1; a=rsa-sha256; c=ontspannen/ontspannen; d=google.com; s=arc-20160816;
h=to:subject:message-id:date:from:mime-version:dkim-signature;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=xs6WIoK/swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V+cMAi
DbkrMBVVxQTdw7+QWU0CMUimS1+8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO/+I
wbM+t6yT5kPC7iwg6k2IqPMb2+BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP//SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc/rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg==
ARC-authenticatie-resultaten: i=1; mx.google.com;
dkim=pass [email protected] header.s=20161025 koptekst.b=JygmyFja;
spf=pass (google.com: domein van [email protected] duidt 209 aan.85.22000 als
toegestane afzender) [e-mail beveiligd];
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) koptekst.van=gmail.com
Terugweg: <[email protected]>
Ontvangen: van mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])
door mx.google.com met SMTPS-id n84sor2004452iod.19.2020.07.29.00.00.00
voor <[email protected]>
(Google Transportbeveiliging);
wo, 29 jul 2020 05:51:20 -0700 (PDT)
Ontvangen-SPF: pas (google.com: domein van [email protected] duidt 209 aan.85.000.00
als toegestane afzender) client-ip=209.85.000.00;
Authenticatie-resultaten: mx.google.com;
dkim=pass [email protected] header.s=20161025 koptekst.b=JygmyFja;
spf=pass (google.com: domein van [e-mail beveiligd] geeft aan
209.85.000.00 als toegestane afzender) [email protected];
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) koptekst.van=gmail.com
DKIM-handtekening: v=1; a=rsa-sha256; c=ontspannen/ontspannen;
d=gmail.com; s=20161025;
h=mime-versie:van:datum:bericht-id:onderwerp:tot;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z/Oq0FdD3l+RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq+SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb+wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK+j+qgAMuGh7EScau+u6yjEAyZwoW/2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ==
X-Google-DKIM-handtekening: v=1; a=rsa-sha256; c=ontspannen/ontspannen;
d=1e100.netto; s=20161025;
h=x-gm-message-state:mime-version:from:date:message-id:subject:to;
bh=DYQlcmdIhSjkf9Cy8BJWGM+FXerhsisaYNX7ejF+n3g=;
b=Rqvb//v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI+wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g/v3XucAS/tgCzLTxUK8EpI0GdIqJj9lNZfCOEm+Bw/vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia+vEclI5vWdSarvPuwEq8objLX9ebN/aP0Ltq
FFIQ==
X-Gm-berichtstatus: AOAM532qePHWPL9up8ne/4rUXfRYiFKwq94KpVN551D9vW38aW/6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig==
X-Google-Smtp-bron: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai+UwJI00yVSjv05o/
N+ggdCRV4JKyZ+8/abtKcqVASW6sKDxG4l3SnGQ=
X-Ontvangen: tegen 2002:a05:0000:0b:: met SMTP-id v11mr21571925jao.122.1596027079698;
wo, 29 jul 2020 05:51:19 -0700 (PDT)
MIME-versie: 1.0
Van: Marcus Stoinis <[email protected]>
Datum: wo, 29 jul 2020 17:51:03 +0500
Bericht-ID: <[email protected]om>
Onderwerpen:
Aan: [e-mail beveiligd]
Inhoudstype: meerdelig/alternatief; grens = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Inhoudstype: tekst/plat; charset="UTF-8"
Om de koptekstinformatie te begrijpen, moet men de gestructureerde set velden in de tabel begrijpen.
X-blijkbaar om: Dit veld is handig wanneer de e-mail naar meer dan één ontvanger wordt verzonden, zoals bcc of een mailinglijst. Dit veld bevat een adres naar NAAR veld, maar in het geval van bcc, de X-Blijkbaar voor de veld is anders. Dit veld vertelt dus het adres van de ontvanger, ondanks dat de e-mail wordt verzonden als cc, bcc of door een mailinglijst.
Terugweg: Het veld Retourpad bevat het e-mailadres dat de afzender heeft opgegeven in het veld Van.
SPF ontvangen: Dit veld bevat het domein waar de mail vandaan komt. In dit geval is het
Ontvangen-SPF: pas (google.com: domein van [email protected] duidt 209 aan.85.000.00 als toegestane afzender) client-ip=209.85.000.00;
X-spamratio: Er is spamfiltersoftware op de ontvangende server of MUA die de spamscore berekent. Als de spamscore een bepaalde limiet overschrijdt, wordt het bericht automatisch naar de spammap gestuurd. Verschillende MUA's gebruiken verschillende veldnamen voor spamscores zoals: X-spamverhouding, X-spamstatus, X-spamvlag, X-spamniveau enz.
Ontvangen: Dit veld bevat het IP-adres van de laatste MTA-server aan de verzendende kant, die vervolgens de e-mail naar MTA aan de ontvangende kant stuurt. Op sommige plaatsen is dit te zien onder X-afkomstig uit veld-.
X-zeefkop: Dit veld specificeert de naam en versie van het berichtenfiltersysteem. Dit verwijst naar de taal die wordt gebruikt om voorwaarden op te geven voor het filteren van de e-mailberichten.
X-spam-tekensets: Dit veld bevat de informatie over tekensets die worden gebruikt voor het filteren van e-mails zoals UTF enz. UTF is een goede tekenset die achterwaarts compatibel kan zijn met ASCII.
X-opgelost naar: Dit veld bevat het e-mailadres van de ontvanger, of we kunnen zeggen het adres van de mailserver waarnaar de MDA van een afzender aflevert. Meestal, X-bezorgd aan, en dit veld bevat hetzelfde adres.
Authenticatie resultaten: Dit veld geeft aan of de ontvangen e-mail van het opgegeven domein is gepasseerd DKIM handtekeningen en Domeinsleutels handtekening of niet. In dit geval wel.
Authenticatie-resultaten: mx.google.com;dkim=pass [email protected] header.s=20161025 koptekst.b=JygmyFja;
spf=pass (google.com: domein van [email protected] geeft aan
209.85.000.00 als toegestane afzender)
Ontvangen: Het eerste ontvangen veld bevat traceerinformatie omdat het IP-adres van de machine een bericht verzendt. Het toont de naam van de machine en het IP-adres. De exacte datum en tijd waarop het bericht is ontvangen, kunt u in dit veld zien.
Ontvangen: van mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])door mx.google.com met SMTPS-id n84sor2004452iod.19.2020.07.29.00.00.00
voor <[email protected]>
(Google Transportbeveiliging);
wo, 29 jul 2020 05:51:20 -0700 (PDT)
Aan, van en onderwerp: De velden "Aan", "van" en "onderwerp" bevatten de informatie over het e-mailadres van de ontvanger, het e-mailadres van de afzender en het onderwerp dat is opgegeven op het moment dat de e-mail door de afzender wordt verzonden. Het onderwerpveld is leeg voor het geval de afzender het zo laat.
MIME-headers: Voor MUA om de juiste decodering uit te voeren, zodat het bericht veilig naar de client wordt verzonden, MIME overdracht codering, MIME inhoud, de versie en lengte zijn een belangrijk onderwerp.
MIME-versie: 1.0Inhoudstype: tekst/plat; charset="UTF-8"
Inhoudstype: meerdelig/alternatief; grens = "00000000000023294e05ab94032b"
Bericht-ID: Message-id bevat een domeinnaam waaraan het unieke nummer is toegevoegd door de verzendende server.
Bericht-ID: <[email protected]om>Serveronderzoek:
Bij dit type onderzoek worden duplicaten van verzonden berichten en werknemerslogboeken onderzocht om de bron van een e-mail te onderscheiden. Zelfs als de klanten (afzenders of begunstigden) hun e-mailberichten verwijderen die niet kunnen worden hersteld, kunnen deze berichten in grote delen worden vastgelegd door servers (Proxies of Service Providers). Deze proxy's slaan een duplicaat van alle berichten op na hun overdracht. Verder kunnen logboeken die door werknemers worden bijgehouden, worden geconcentreerd om de locatie van de pc te volgen die verantwoordelijk is voor het maken van de e-mailuitwisseling. In elk geval bewaren Proxy of ISP de duplicaten van e-mail- en serverlogboeken slechts voor een bepaalde periode en sommigen werken mogelijk niet samen met forensische onderzoekers. Verder kunnen SMTP-werknemers die informatie zoals Visa-nummer en andere informatie met betrekking tot de eigenaar van de mailbox opslaan, worden gebruikt om personen achter een e-mailadres te onderscheiden.
Aas tactiek:
In een onderzoek van dit type, een e-mail met http: “” tag met afbeeldingsbron op elke pc die door de examinatoren wordt gecontroleerd, wordt verzonden naar de afzender van de e-mail die wordt onderzocht en die echte (authentieke) e-mailadressen bevat. Op het moment dat de e-mail wordt geopend, wordt een loggedeelte met het IP-adres van degene aan de ontvangende kant (afzender van de boosdoener) vastgelegd op de HTTP-server, degene die de afbeelding host en langs deze lijnen is de afzender gevolgd. In ieder geval, als de persoon aan de ontvangende kant een proxy gebruikt, wordt het IP-adres van de proxyserver opgespoord.
De proxyserver bevat een logboek en dat kan verder worden gebruikt om de afzender van de onderzochte e-mail te volgen. In het geval dat zelfs het logboek van de proxyserver ontoegankelijk is vanwege een of andere verklaring, kunnen examinatoren op dat moment de vervelende e-mail sturen met Geïntegreerde Java Applet die draait op het computersysteem van de ontvanger of een HTML-pagina met Active X Object om hun gewenste persoon op te sporen.
Onderzoek naar netwerkapparatuur:
Netwerkapparaten zoals firewalls, reuters, switches, modems enz. logs bevatten die kunnen worden gebruikt bij het volgen van de bron van een e-mail. Bij dit soort onderzoek worden deze logs gebruikt om de bron van een e-mailbericht te onderzoeken. Dit is een zeer complexe vorm van forensisch onderzoek en wordt zelden gebruikt. Het wordt vaak gebruikt wanneer de logs van Proxy of ISP-provider om de een of andere reden niet beschikbaar zijn, zoals gebrek aan onderhoud, luiheid of gebrek aan ondersteuning van ISP-provider.
Software embedded identifiers:
Sommige gegevens over de opsteller van aan e-mail toegevoegde records of archieven kunnen in het bericht worden opgenomen door de e-mailsoftware die door de afzender wordt gebruikt voor het opstellen van de e-mail. Deze gegevens kunnen worden onthouden voor het type aangepaste kopteksten of als MIME-inhoud als een TNE-indeling. Onderzoek naar de e-mail voor deze subtiliteiten kan enkele essentiële gegevens over de e-mailvoorkeuren en keuzes van de afzenders aan het licht brengen die het verzamelen van bewijzen aan de clientzijde kunnen ondersteunen. Het onderzoek kan PST-documentnamen, MAC-adres, enzovoort van de klant-pc blootleggen die wordt gebruikt om e-mailberichten te verzenden.
Bijlage analyse:
Van de virussen en malware worden de meeste verzonden via e-mailverbindingen. Het onderzoeken van e-mailbijlagen is urgent en cruciaal bij elk e-mailgerelateerd onderzoek. Het morsen van privégegevens is een ander belangrijk onderzoeksterrein. Er zijn software en tools beschikbaar om e-mailgerelateerde informatie te recupereren, bijvoorbeeld bijlagen van harde schijven van een computersysteem. Voor het onderzoeken van dubieuze verbindingen uploaden onderzoekers de bijlagen naar een online sandbox, bijvoorbeeld VirusTotal om te controleren of het document malware is of niet. Hoe het ook zij, het is van cruciaal belang om bovenaan de prioriteitenlijst te staan dat ongeacht of een record een beoordeling doormaakt, bijvoorbeeld die van VirusTotal, dit geen garantie is dat het volledig is beschermd. Als dit gebeurt, is het een slimme gedachte om het record verder te onderzoeken in een sandbox-situatie, bijvoorbeeld Cuckoo.
Vingerafdrukken afzender mailer:
bij het onderzoeken Ontvangen veld in headers, kan de software die e-mails verzorgt aan de serverzijde worden geïdentificeerd. Aan de andere kant, bij het onderzoeken van de X-mailer veld, kan de software die e-mails aan de clientzijde verzorgt, worden geïdentificeerd. Deze koptekstvelden geven software en hun versies weer die aan het einde van de klant worden gebruikt om de e-mail te verzenden. Deze gegevens over de client-pc van de afzender kunnen worden gebruikt om examinatoren te helpen bij het formuleren van een krachtige strategie, en dus worden deze regels zeer waardevol.
Forensische tools voor e-mail:
In de afgelopen tien jaar zijn er een paar tools of software voor het onderzoeken van e-mailcriminaliteit gemaakt. Maar de meeste tools zijn op een geïsoleerde manier gemaakt. Bovendien is het niet de bedoeling dat de meeste van deze tools een bepaald probleem met digitale of pc-misstanden oplossen. In plaats daarvan zijn ze gepland om gegevens te zoeken of te herstellen. Er is een verbetering geweest in forensische hulpmiddelen om het werk van de onderzoeker te vergemakkelijken, en er zijn talloze geweldige hulpmiddelen beschikbaar op internet. Sommige tools die worden gebruikt voor forensische analyse van e-mail zijn zoals onder:
EmailTrackerPro :
EmailTrackerPro onderzoekt de headers van een e-mailbericht om het IP-adres te herkennen van de machine die het bericht heeft verzonden, zodat de afzender kan worden gevonden. Het kan verschillende berichten tegelijkertijd volgen en deze effectief monitoren. De locatie van IP-adressen zijn belangrijke gegevens voor het bepalen van het gevaarsniveau of de legitimiteit van een e-mailbericht. Deze geweldige tool kan vasthouden aan de stad waar de e-mail naar alle waarschijnlijkheid vandaan komt. Het herkent de ISP van de afzender en geeft contactgegevens voor verder onderzoek. De echte weg naar het IP-adres van de afzender wordt verantwoord in een stuurtabel, waardoor extra gebiedsgegevens worden gegeven om het werkelijke gebied van de afzender te bepalen. Het misbruikrapportage-element daarin kan heel goed worden gebruikt om verder onderzoek eenvoudiger te maken. Om te beschermen tegen spam-e-mail, controleert en verifieert het e-mails op de spam-blacklists, bijvoorbeeld Spamcops. Het ondersteunt verschillende talen, waaronder spamfilters in het Japans, Russisch en Chinees, samen met Engels. Een belangrijk onderdeel van deze tool is het aan het licht brengen van misbruik dat een melding kan maken die naar de Service Provider (ISP) van de afzender kan worden gestuurd. De ISP kan dan een manier vinden om accounthouders te vinden en spam te stoppen.
Xtraxtor :
Deze geweldige tool Xtraxtor is gemaakt om e-mailadressen, telefoonnummers en berichten van verschillende bestandsformaten te scheiden. Het onderscheidt natuurlijk het standaardgebied en onderzoekt snel de e-mailinformatie voor u. Klanten kunnen het zonder veel moeite e-mailadressen uit berichten en zelfs uit bestandsbijlagen halen. Xtraxtor herstelt gewiste en niet-opgeschoonde berichten van talrijke mailboxconfiguraties en IMAP-mailaccounts. Bovendien heeft het een eenvoudig te leren interface en een goede hulpfunctie om gebruikersactiviteiten eenvoudiger te maken, en het bespaart een hoop tijd met zijn snelle e-mail-, motor- en de-dubingfuncties. Xtraxtor is compatibel met Mac's MBOX-bestanden en Linux-systemen en kan krachtige functies bieden om relevante informatie te vinden.
Advik (E-mail back-uptool) :
Advik, e-mailback-uptool, is een zeer goede tool die wordt gebruikt om alle e-mails van iemands mailbox over te zetten of te exporteren, inclusief alle mappen zoals verzonden, concepten, inbox, spam enz. De gebruiker kan zonder veel moeite de back-up van elk e-mailaccount downloaden. Het converteren van e-mailback-up in verschillende bestandsindelingen is een andere geweldige functie van deze geweldige tool. Het belangrijkste kenmerk is: Geavanceerd filter. Deze optie kan enorm veel tijd besparen door de berichten van onze behoefte in een mum van tijd uit de mailbox te exporteren. IMAP functie geeft de mogelijkheid om e-mails op te halen uit cloudopslag en kan worden gebruikt met alle e-mailserviceproviders. Advik kan worden gebruikt om back-ups van onze gewenste locatie op te slaan en ondersteunt meerdere talen samen met Engels, waaronder Japans, Spaans en Frans.
Systools MailXaminer :
Met behulp van deze tool mag een klant zijn jachtkanalen wijzigen, afhankelijk van de situaties. Het geeft klanten een alternatief om in berichten en connecties te kijken. Bovendien biedt deze forensische e-mailtool bovendien een allesomvattende hulp voor wetenschappelijk e-mailonderzoek van zowel het werkgebied als elektronische e-mailadministraties. Het stelt examinatoren in staat om meer dan één zaak door en door op een legitieme manier af te handelen. Evenzo kunnen specialisten met behulp van deze e-mailanalysetool zelfs de details van de chat bekijken, oproeponderzoek uitvoeren en berichtdetails bekijken tussen verschillende clients van de Skype-toepassing. De belangrijkste kenmerken van deze software zijn dat het meerdere talen ondersteunt, samen met Engels, waaronder Japans, Spaans en Frans en Chinees en het formaat waarin het verwijderde e-mails terugbetaalt, is acceptabel voor de rechtbank. Het biedt een Log management view waarin een goed overzicht van alle activiteiten wordt getoond. Systools MailXaminer is compatibel met dd, e01, zip en vele andere formaten.
Reclame :
Er is een tool genaamd Adcomplain die wordt gebruikt voor het rapporteren van commerciële e-mails en botnet-posts en ook de advertenties zoals "snel geld verdienen", "snel geld" enz. Adcomplain voert zelf een header-analyse uit op de afzender van de e-mail na het identificeren van dergelijke e-mail en rapporteert deze aan de ISP van de afzender.
Conclusie :
E-mail wordt gebruikt door bijna iedereen die internetdiensten over de hele wereld gebruikt. Oplichters en cybercriminelen kunnen e-mailheaders vervalsen en anoniem e-mails met kwaadaardige en frauduleuze inhoud verzenden, wat kan leiden tot gegevenscompromissen en hacks. En dit is wat bijdraagt aan het belang van forensisch onderzoek per e-mail. Cybercriminelen gebruiken verschillende manieren en technieken om over hun identiteit te liegen, zoals:
- spoofing:
Om de eigen identiteit te verbergen, vervalsen slechte mensen de koppen van e-mail en vullen deze met de verkeerde informatie. Wanneer e-mailspoofing wordt gecombineerd met IP-spoofing, is het erg moeilijk om de werkelijke persoon erachter te achterhalen.
- Ongeautoriseerde netwerken:
De netwerken die al gecompromitteerd zijn (inclusief bekabelde en draadloze beide) worden gebruikt om spam-e-mails te verzenden om de identiteit te verbergen.
- E-mailrelays openen:
Een verkeerd geconfigureerde e-mailrelay accepteert e-mails van alle computers, inclusief de computers waarvan het niet zou moeten accepteren. Vervolgens stuurt het het door naar een ander systeem dat ook de e-mail van specifieke computers zou moeten accepteren. Dit type e-mailrelay wordt een open e-mailrelay genoemd. Dat soort relais wordt gebruikt door oplichters en hackers om hun identiteit te verbergen.
- Proxy openen:
De machine waarmee gebruikers of computers verbinding kunnen maken met andere computersystemen, wordt a proxy server. Er zijn verschillende soorten proxyservers, zoals een zakelijke proxyserver, transparante proxyserver, enz. afhankelijk van het type anonimiteit dat ze bieden. De open proxyserver houdt geen records bij van gebruikersactiviteiten en houdt geen logboeken bij, in tegenstelling tot andere proxyservers die records van gebruikersactiviteiten bijhouden met de juiste tijdstempels. Dit soort proxyservers (open proxyservers) bieden anonimiteit en privacy die waardevol is voor de oplichter of de slechte persoon.
- Anonimiseren:
Anonymizers of re-mailers zijn de websites die opereren onder het mom van het beschermen van de privacy van de gebruiker op het internet en deze anoniem maken door opzettelijk de headers uit de e-mail te verwijderen en door geen serverlogboeken bij te houden.
- SSH-tunnel:
Op internet betekent een tunnel een veilig pad voor gegevens die in een niet-vertrouwd netwerk reizen. Tunnelen kan op verschillende manieren, afhankelijk van de gebruikte software en techniek. SSH-functie gebruiken SSH-poortdoorsturing kan tunneling tot stand brengen en er wordt een versleutelde tunnel gemaakt die gebruikmaakt van de SSH-protocolverbinding. Oplichters gebruiken SSH-tunneling bij het verzenden van e-mails om hun identiteit te verbergen.
- Botnets:
De term bot die in zijn conventionele structuur van "robot" is afgeleid, wordt gebruikt om een inhoud of een reeks inhoud of een programma weer te geven dat bedoeld is om vooraf gedefinieerde werken steeds opnieuw uit te voeren en bijgevolg na opzettelijk of door een systeeminfectie te worden geactiveerd. Ondanks het feit dat bots begonnen als een nuttig element voor het overbrengen van sombere en vervelende activiteiten, worden ze toch misbruikt voor kwaadaardige doeleinden. Bots die worden gebruikt om echte oefeningen op een gemechaniseerde manier uit te voeren, worden vriendelijke bots genoemd, en bots die bedoeld zijn voor kwaadaardige doeleinden staan bekend als kwaadaardige bots. Een botnet is een systeem van bots dat wordt beperkt door een botmaster. Een botmaster kan zijn gecontroleerde bots (kwaadaardige bots) die op ondermijnde pc's over de hele wereld draaien, opdracht geven om e-mail naar bepaalde toegewezen locaties te sturen, terwijl hij zijn karakter verhult en een e-mailzwendel of e-mailfraude pleegt.
- Niet-traceerbare internetverbindingen:
Internetcafé, universiteitscampus, verschillende organisaties bieden internettoegang aan gebruikers door internet te delen. In dit geval, als er geen goed logboek wordt bijgehouden van de activiteiten van gebruikers, is het heel gemakkelijk om illegale activiteiten en e-mailscams te doen en ermee weg te komen.
Forensische analyse van e-mail wordt gebruikt om de daadwerkelijke afzender en ontvanger van een e-mail te vinden, de datum en tijd waarop deze is ontvangen en de informatie over tussenliggende apparaten die betrokken zijn bij de bezorging van het bericht. Er zijn ook verschillende tools beschikbaar om de taken te versnellen en de gewenste trefwoorden gemakkelijk te vinden. Deze tools analyseren de e-mailheaders en geven de forensisch onderzoeker in een mum van tijd het gewenste resultaat.
