电子邮件来源分析
时间:2020-12-13 08:02:07 来源:柠檬阅读网 本文已影响 人 
(河南省开封人民警察学校,河南 开封 475001)
摘 要:文章探讨了识别伪造电子邮件的方法,以帮助 人们识别伪造的电子邮件。
关键词:识别;
电子邮件;
伪造
中图分类号:TP393.098 文献标识码:A 文章编 号:1007—6921(2009)06—0114—02
电子邮件是目前被广泛应用的一种通信形式,承载着大量通信信息,2000年的日平均发送量 已高达100亿封,当然电子邮件也会被不法分子利用危害社会,我国北京、广东、湖北相继 出现了多起利用电子邮件进行敲诈勒索的恶性案件,因此,对电子邮件查证、追源必然成为 取证调查工作的重要内容。
1 电子邮件的基本工作原理
TCP/IP协议应用层中包含的SMTP与传输系统和机制无关,仅要求可靠的数据流通道,在TCP 上它使用端口25进行传输,SMTP的一个重要特点是可以在交互的通信系统中转发邮件。SMTP 邮件传输机制允许将邮件直接传给对方,也允许通过一个或几个中间服务器转发,发件时首 先由发件方提出申请,要求与收件方建立双向的通信渠道,收件方服务器确认建立连接后, 双方可以开始通信。
电子邮件与普通邮件有类似的地方,发信者需要注明收件人的姓名与地址(即邮件地址), 发送方服务器把邮件传到收件方服务器,收件方服务器再把邮件分发到收件人的邮箱中。在 邮件传输过程中涉及帮助用户读写邮件的邮件用户代理MUA,负责把邮件从一个服务器传到 另一个服务器或邮件投递代理的邮件传输代理MTA,把邮件分发到用户邮箱的邮件投递代理M DA,邮件传输过程示意如图1所示。
如果下游服务器暂时不能接收邮件,邮件在传输代理的队列中暂存,等待以后发送。
通过SMTP传送的电子邮件遵循RFC822定义的统一格式,该格式由消息头部、空白行和邮件消 息主体组成。由于RFC822只能包含ASCII文本消息,限制了非文本文件的使用,人们在此基 础上进行了必要的扩展,设计了多用途因特网邮件扩展(MIME),并在RFC1521中定义, MI ME通过提供对不同数据类型及复杂消息体的支持扩展了电子邮件的概念。
2 电子邮件头解析
邮件消息头部由独立的行组成,每行包括字段名,接着是冒号,然后是该字段有关的特定信 息也称字段体。常见的头部字段名如表1、2所示,了解各个字段名的含义可以容易看懂电子 邮件头部信息。
电子邮件可以正确发送和接收的关键,是每一封电子邮件都包含有与发送和接收相关的详细 信息头部,其中内容指示邮件正确到达目的地。当MTA收到邮件时,会在其顶部加上MTA的名 字和当前时间以及其他一些技术信息,这些内容被称为Received头。每一个MTA在收到消息 时都会在消息的顶部添加Received头,新的内容在最上面,第一个处理邮件的计算机位于邮 件头的底部。
在邮件头中包含两种确认发件人身份的关键信息,Message ID和Received。Message ID是全 球惟一的标示,两个不同的电子邮件不会有相同的Message ID,MTA多使用当前日期和时间 、MTA的域名、发件人的账户信息建立Message ID,如下所示:
Message ID:<20070509179343.1649C124@mail.14m18.com>为2007年5月9日用户C124从mail .14m18.com 发出的电子邮件。
3 识别伪造电子邮件的方法
伪造电子邮件有两种方式,一是伪造邮件内容,诱使别人上当,网络钓鱼犯罪活动其中很重 要的一项任务就是伪造电子邮件;
二是伪造电子邮件头信息,其目的是隐藏自己逃避打击。
伪造电子邮件内容相当容易,伪造虚假的信息来源也不是十分困难,所以伪造内容的电子邮 件一般也会同时伪造电子邮件头部信息。伪造电子邮件的简单方法如下:
一台MTA使用简单邮件传输协议指示另一台MTA发送一封电子邮件到目的地最少仅需要4条命 令,个人用户也可以用相同命令直接指挥一台MTA。下面是一个典型的电子邮件交互过程:
mailserver.bt.com(发送方)establishes a connection to ba.org(接收方)
220 ba.org ESMTP Sendmail 8.9.3/8.9.1;Tue,16 May 2007 12:51:50 -0700(EDT)
HELO mailserver.bt.com
250 ba.org Hello mailserver.bt.com,pleased to meet you
MAIL FROM:<jb@mailserver.bt.com>
250 <jb@mailserver.bt.com> ...Sender ok
VRFY <mickiel>
252 Cannot VRFY user; try RCPT to attempt delivery (or try finger)
RCPT TO:<mickiel>
250 <mickiel> ... Recipient ok
DATA
354 Enter mail ,end with “.” On a line by itself
Hi,
Just a quick message to demonstrate some of the SMTP commands.
.
250 MAA25178 Message accepted for delivery
QUIT
221 s1.cfe.fit.edu delivering mail
在上面的SMTP会话中,HELO命令说明了发送主机;
MAIL FROM:命令向接收机表示有来自指 定用户的邮件;
RCPT TO:指定邮件的发往去处;
DATA命令开始消息正文,其后所有文本作 为邮件消息对待,这里可以插入假消息头伪造邮件头部信息。接收机响应DATA,指示发送主 机以单独一行的点号结束邮件消息;
QUIT命令将递交邮件消息并结束连接。很显然在邮件交 互过程中很容易伪造Received头。
利用代理服务器连接到SMTP中继发送邮件,也是电子邮件伪造者隐藏真实IP地址的常用手段 。虽然有些Web代理增加了一个包含发件人IP地址的X-Forwarded-For头,但是这个信息不会 保留在电子邮件消息头中,使定位电子邮件原始地址更加困难。
识别恶意电子邮件是自我保护的重要基础,对于特殊的电子邮件进行追踪查获邮件发送者才 可能是解决问题的根本,无论是识别恶意邮件还是追踪邮件源,分析邮件头部信息都是直接 途径。电子邮件头部信息的分析方法主要有:IP地址关联、MTA间信息关联、发送转发时间 关系分析等。
[参考文献]
[1] 蔡伟鸿,汤立浩.电子邮件分析系统的设计[J].汕头大学学报, 2004,(2):75 ~78.
[2] 谢希仁.计算机网络[M].大连:大连理工大学出版社.
[3] Jonathan. Simple mail transfer protocol[S]. RFC821.1982.
[4] 蔡伟鸿,汤立浩.电子邮件分析系统的设计[J].汕头大学学报,2004,(2):75 ~78.
