Phenquestions
E-mail-arkitektur:
Når en bruger sender en e-mail, går e-mailen ikke direkte ind på mailserveren i modtagerens ende. snarere passerer det gennem forskellige mailservere.
MUA er programmet i klientenden, der bruges til at læse og komponere e-mails. Der er forskellige MUA'er som Gmail, Outlook osv. Hver gang MUA sender en besked, går den til MTA, der afkoder beskeden og identificerer den placering, den er beregnet til at blive sendt ved at læse headerinformation og ændrer dens header ved at tilføje data og derefter sende den til MTA i den modtagende ende. Den sidste MTA til stede lige før MUA afkoder meddelelsen og sender den til MUA i den modtagende ende. Derfor kan vi i e-mail-overskriften finde oplysninger om flere servere.
Analyse af e-mail-header:
E-mail-retsmedicin starter med studiet af e-mail header da den indeholder en stor mængde information om e-mail-beskeden. Denne analyse består af både undersøgelsen af indholdsindholdet og e-mail-overskriften, der indeholder informationen om den givne e-mail. E-mail-header-analyse hjælper med at identificere de fleste af de e-mail-relaterede forbrydelser som spear phishing, spamming, e-mail-spoofing osv. Spoofing er en teknik, hvor man kan foregive at være en anden, og en normal bruger ville tro et øjeblik, at det er hans ven eller en person, han allerede kender. Det er bare, at nogen sender e-mails fra deres vens falske e-mail-adresse, og det er ikke, at deres konto er hacket.
Ved at analysere e-mail-overskrifter kan man vide, om den e-mail, han modtog, er fra en falsk e-mail-adresse eller en rigtig. Sådan ser en e-mail-overskrift ud:
Leveret til: [email protected]Modtaget: inden 2002: a0c: f2c8: 0: 0: 0: 0: 0 med SMTP-id c8csp401046qvm;
Ons, 29 jul 2020 05:51:21 -0700 (PDT)
X-modtaget: inden 2002: a92: 5e1d :: med SMTP id s29mr19048560ilb.245.1596027080539;
Ons, 29 Jul 2020 05:51:20 -0700 (PDT)
ARC-forsegling: i = 1; a = rsa-sha256; t = 1596027080; cv = ingen;
d = google.com; s = bue-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Or2Q ==
ARC-Message-Signature: i = 1; a = rsa-sha256; c = afslappet / afslappet; d = google.com; s = bue-20160816;
h = til: emne: besked-id: dato: fra: mime-version: dkim-signatur;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxQTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1aks = =
ARC-godkendelsesresultater: i = 1; mx.google.com;
dkim = pass [e-mail-beskyttet] overskrift.s = 20161025 overskrift.b = JygmyFja;
spf = pass (google.com: domæne for [e-mailbeskyttet] angiver 209.85.22000 som
tilladt afsender) [e-mailbeskyttet];
dmarc = pass (p = INGEN sp = KARANTÆN dis = INGEN) overskrift.fra = gmail.com
Retursti: <[email protected]>
Modtaget: fra mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])
af mx.google.com med SMTPS-id n84sor2004452iod.19.2020.07.29.00.00.00
til <[email protected]>
(Google Transport Security);
Ons, 29 Jul 2020 05:51:20 -0700 (PDT)
Modtaget SPF: pass (google.com: domæne for [e-mailbeskyttet] angiver 209.85.000.00
som tilladt afsender) client-ip = 209.85.000.00;
Godkendelses-resultater: mx.google.com;
dkim = pass [email protected] overskrift.s = 20161025 overskrift.b = JygmyFja;
spf = pass (google.com: domæne af [e-mailbeskyttet] angiver
209.85.000.00 som tilladt afsender) [e-mailbeskyttet];
dmarc = pass (p = INGEN sp = KARANTÆN dis = INGEN) overskrift.fra = gmail.com
DKIM-signatur: v = 1; a = rsa-sha256; c = afslappet / afslappet;
d = gmail.com; s = 20161025;
h = mime-version: fra: dato: besked-id: emne: til;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
X-Google-DKIM-signatur: v = 1; a = rsa-sha256; c = afslappet / afslappet;
d = 1e100.net; s = 20161025;
h = x-gm-besked-tilstand: mime-version: fra: dato: besked-id: emne: til;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
X-Gm-meddelelsesstatus: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
X-Google-Smtp-kilde: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
X-modtaget: inden 2002: a05: 0000: 0b :: med SMTP-id v11mr21571925jao.122.1596027079698;
Ons, 29 Jul 2020 05:51:19 -0700 (PDT)
MIME-version: 1.0
Fra: Marcus Stoinis <[email protected]>
Dato: Ons, 29. juli 2020 17:51:03 +0500
Besked-ID: <[email protected]om>
Emne:
Til: [email protected]
Indholdstype: multipart / alternativ; grænse = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Indholdstype: tekst / almindeligt; charset = "UTF-8"
For at forstå headeroplysningerne skal man forstå det strukturerede sæt felter i tabellen.
X-tilsyneladende til: Dette felt er nyttigt, når e-mailen sendes til mere end en modtager som f.eks. Bcc eller en mailingliste. Dette felt indeholder en adresse til TIL felt, men i tilfælde af bcc skal X-tilsyneladende til felt er anderledes. Så dette felt fortæller modtagerens adresse på trods af, at e-mailen sendes som enten cc, bcc eller af en eller anden mailingliste.
Retursti: Feltet Retursti indeholder den e-mail-adresse, som afsenderen angav i Fra-feltet.
Modtaget SPF: Dette felt indeholder det domæne, hvorfra mailen kommer. I dette tilfælde er det
Modtaget SPF: pass (google.com: domæne for [e-mailbeskyttet] angiver 209.85.000.00 som tilladt afsender) client-ip = 209.85.000.00;
X-spam-forhold: Der er en spamfiltreringssoftware på den modtagende server eller MUA, der beregner spamscoren. Hvis spam-score overstiger en bestemt grænse, sendes meddelelsen automatisk til spam-mappen. Flere MUA'er bruger forskellige feltnavne til spamscores som f.eks X-spam-forhold, X-spam-status, X-spam-flag, X-spam-niveau etc.
Modtaget: Dette felt indeholder IP-adressen på den sidste MTA-server ved afsendelsesenden, som derefter sender e-mailen til MTA i den modtagende ende. Nogle steder kan dette ses under X-stammer fra Mark.
X-sigtehoved: Dette felt angiver navnet og versionen af beskedfiltreringssystemet. Dette refererer til det sprog, der bruges til at specificere betingelser for filtrering af e-mail-beskeder.
X-spam-tegnsæt: Dette felt indeholder oplysningerne om tegnsæt, der bruges til at filtrere e-mails som UTF osv. UTF er et godt tegnsæt, der har evnen til at være bagudkompatibel med ASCII.
X-løst til: Dette felt indeholder modtagerens e-mail-adresse, eller vi kan sige adressen på den mailserver, som en afsenders MDA leverer til. De fleste gange, X-leveret til, og dette felt indeholder den samme adresse.
Godkendelsesresultater: Dette felt fortæller, om den modtagne mail fra det givne domæne er bestået DKIM underskrifter og Domænenøgler underskrift eller ej. I dette tilfælde gør det det.
Godkendelses-resultater: mx.google.com;dkim = pass [e-mail-beskyttet] overskrift.s = 20161025 overskrift.b = JygmyFja;
spf = pass (google.com: domæne af [e-mailbeskyttet] angiver
209.85.000.00 som tilladt afsender)
Modtaget: Det første modtagne felt indeholder sporingsinformation, da maskinens IP sender en besked. Det viser maskinens navn og dens IP-adresse. Den nøjagtige dato og det tidspunkt, hvor meddelelsen er modtaget, kan ses i dette felt.
Modtaget: fra mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])af mx.google.com med SMTPS-id n84sor2004452iod.19.2020.07.29.00.00.00
til <[email protected]>
(Google Transport Security);
Ons, 29 Jul 2020 05:51:20 -0700 (PDT)
Til, fra og emne: Felterne "Til", "fra" og "emne" indeholder oplysningerne om modtagerens e-mail-adresse, afsenderens e-mail-adresse og det emne, der er angivet på tidspunktet for afsendelse af e-mailen af henholdsvis afsender. Emnefeltet er tomt, hvis afsenderen forlader det på den måde.
MIME-overskrifter: Til MUA at udføre korrekt afkodning, så beskeden sendes sikkert til klienten, MIME overførselskodning, MIME indhold, dets version og længde er et vigtigt emne.
MIME-version: 1.0Indholdstype: tekst / almindeligt; charset = "UTF-8"
Indholdstype: multipart / alternativ; grænse = "00000000000023294e05ab94032b"
Besked-id: Message-id indeholder et domænenavn tilføjet med det unikke nummer af den afsendende server.
Besked-ID: <[email protected]om>Serverundersøgelse:
I denne type undersøgelse udforskes duplikater af overførte meddelelser og medarbejderlogfiler for at skelne kilden til en e-mail. Selvom kunderne (afsendere eller modtagere) sletter deres e-mail-meddelelser, som ikke kan gendannes, kan disse meddelelser blive logget af servere (fuldmægtige eller tjenesteudbydere) i store portioner. Disse fuldmagter gemmer en kopi af alle meddelelser efter deres overførsel. Yderligere kan logfiler, der holdes ope af arbejdere, koncentreres for at følge placeringen af pc'en, der er ansvarlig for udveksling af e-mail. Under alle omstændigheder gemmer proxy eller internetudbyder duplikaterne af e-mail- og serverlogfiler kun i nogen periode, og nogle samarbejder muligvis ikke med retsmedicinske efterforskere. Endvidere kan SMTP-medarbejdere, der gemmer oplysninger som visumnummer og andre oplysninger vedrørende ejeren af postkassen, bruges til at skelne enkeltpersoner bag en e-mail-adresse.
Agn taktik:
I en undersøgelse af denne type en e-mail med http: “” tag, der har billedkilde på en hvilken som helst pc, der er kontrolleret af eksaminatorerne, sendes til afsenderen af den e-mail, der undersøges, der indeholder ægte (autentiske) e-mail-adresser. På det tidspunkt, hvor e-mailen åbnes, registreres et logafsnit indeholdende IP-adressen til den i den modtagende ende (afsender af den skyldige) på HTTP-serveren, en der er vært for billedet og i denne retning er afsenderen fulgte. Under alle omstændigheder, hvis personen i den modtagende ende bruger en proxy, spores proxyserverens IP-adresse.
Proxy-serveren indeholder en log, og den kan bruges yderligere til at følge afsenderen af den e-mail, der undersøges. Hvis selv proxyserverens log er utilgængelig på grund af en eller anden forklaring, kan eksaminatorer på det tidspunkt sende den grimme e-mail med Indlejret Java Applet der kører på modtagerens computersystem eller et HTML-side med Active X-objekt for at spore deres ønskede person.
Netværksenhedsundersøgelse:
Netværksenheder som firewalls, reuters, switche, modemer osv. indeholder logfiler, der kan bruges til at spore kilden til en e-mail. I denne type undersøgelse bruges disse logfiler til at undersøge kilden til en e-mail-besked. Dette er en meget kompleks form for retsmedicinsk undersøgelse og bruges sjældent. Det bruges ofte, når loggene fra Proxy- eller ISP-udbyderen ikke er tilgængelige af en eller anden grund som manglende vedligeholdelse, dovenskab eller manglende support fra ISP-udbyder.
Softwareindlejrede identifikatorer:
Nogle data om komponisten af e-mail-tilknyttede poster eller arkiver kan blive inkorporeret i meddelelsen af e-mail-softwaren, der bruges af afsenderen til at komponere mailen. Disse data kan blive husket for typen af brugerdefinerede overskrifter eller som MIME-indhold som et TNE-format. Undersøgelse af e-mail for disse finesser kan afsløre nogle vigtige data om afsenderens e-mail-præferencer og valg, der kan understøtte indsamling af bevis på klientsiden. Undersøgelsen kan afdække PST-dokumentnavne, MAC-adresse og så videre på den kunde-pc, der bruges til at sende e-mail-beskeder.
Vedhæftningsanalyse:
Blandt vira og malware sendes de fleste af dem via e-mail-forbindelser. Undersøgelse af vedhæftede filer er presserende og afgørende i enhver e-mail-relateret undersøgelse. Privat dataspild er et andet vigtigt undersøgelsesfelt. Der er software og værktøjer, der er tilgængelige til at inddrive e-mail-relaterede oplysninger, for eksempel vedhæftede filer fra harddiske i et computersystem. Til undersøgelse af tvivlsomme forbindelser uploader efterforskere vedhæftede filer i en online sandkasse, for eksempel VirusTotal for at kontrollere, om dokumentet er en malware eller ej. Uanset om det er, er det afgørende at administrere øverst på prioritetslisten, at uanset om en post gennemgår en vurdering, for eksempel VirusTotal, er dette ikke en sikkerhed for, at den er fuldstændig beskyttet. Hvis dette sker, er det en smart tanke at undersøge posten yderligere i en sandkassesituation, for eksempel Gøg.
Afsender mailer fingeraftryk:
Ved undersøgelse Modtaget felt i overskrifter, kan den software, der tager sig af e-mails i serverenden, identificeres. På den anden side efter at have undersøgt X-mailer felt, kan softwaren, der tager sig af e-mails i klientenden, identificeres. Disse overskriftsfelter viser software og deres versioner, der bruges i klientens ende til at sende e-mailen. Disse data om afsenderens klient-pc kan bruges til at hjælpe eksaminatorer med at formulere en stærk strategi, og dermed ender disse linjer med at være meget værdifulde.
E-mail-retsmedicinske værktøjer:
I det seneste årti er der oprettet et par e-mail-efterforskningsværktøjer eller -software. Men størstedelen af værktøjerne er skabt på en isoleret måde. Desuden skal de fleste af disse værktøjer ikke løse et bestemt problem med digital eller pc-forseelse. I stedet er de planlagt til at lede efter eller gendanne data. Der har været en forbedring af retsmedicinske værktøjer for at lette efterforskerens arbejde, og der er adskillige fantastiske værktøjer tilgængelige på internettet. Nogle værktøjer, der bruges til e-mail-kriminalteknisk analyse, er som under:
EmailTrackerPro:
EmailTrackerPro undersøger overskrifterne på en e-mail-besked for at genkende IP-adressen på den maskine, der sendte meddelelsen, så afsenderen kan findes. Det kan følge forskellige meddelelser på samme tid og effektivt overvåge dem. Placeringen af IP-adresser er nøgledata til at bestemme fareniveauet eller legitimiteten af en e-mail-besked. Dette fantastiske værktøj kan holde sig til den by, som e-mailen sandsynligvis stammer fra. Den genkender afsenderens internetudbyder og giver kontaktdata til yderligere undersøgelse. Den ægte vej til afsenderens IP-adresse registreres i en styretabel, hvilket giver ekstra områdedata for at hjælpe med at bestemme afsenderens faktiske område. Misbrugsrapporteringselementet i det meget godt kan bruges til at gøre yderligere undersøgelse enklere. For at beskytte mod spam-e-mail kontrollerer og verificerer den e-mails mod spam-sorte lister, for eksempel Spamcops. Det understøtter forskellige sprog, herunder japanske, russiske og kinesiske sprogfiltre sammen med engelsk. Et væsentligt element i dette værktøj er misbrugs afsløring, der kan lave en rapport, der kan sendes til afsenderens tjenesteudbyder (ISP). ISP kan derefter finde en måde at finde kontohavere og hjælpe med at lukke spam.
Xtraxtor:
Dette fantastiske værktøj Xtraxtor er lavet for at adskille e-mail-adresser, telefonnumre og beskeder fra forskellige filformater. Det skelner naturligvis standardområdet og undersøger hurtigt e-mailoplysningerne for dig. Klienter kan gøre det uden meget strækning udtrække e-mail-adresser fra beskeder og endda fra vedhæftede filer. Xtraxtor genopretter slettede og ikke-rensede meddelelser fra adskillige postkassekonfigurationer og IMAP-mailkonti. Derudover har den en let at lære grænseflade og god hjælpefunktion for at gøre brugeraktivitet enklere, og det sparer en masse tid med sin hurtige e-mail, forbereder motor- og afkoblingsfunktioner. Xtraxtor er kompatibel med Macs MBOX-filer og Linux-systemer og kan levere kraftige funktioner for at finde relevant info.
Advik (værktøj til sikkerhedskopiering af e-mail):
Advik, Backup-værktøj til e-mail, er et meget godt værktøj, der bruges til at overføre eller eksportere alle e-mails fra ens postkasse, inklusive alle mapper som sendt, kladder, indbakke, spam osv. Brugeren kan downloade sikkerhedskopien af enhver e-mail-konto uden megen anstrengelse. Konvertering af e-mail-backup i forskellige filformater er en anden fantastisk funktion i dette fantastiske værktøj. Dets vigtigste funktion er Advance Filter. Denne mulighed kan spare enorm tid ved at eksportere vores behovs meddelelser fra postkassen på ingen tid. IMAP funktion giver mulighed for at hente e-mails fra skybaserede lagre og kan bruges med alle e-mail-tjenesteudbydere. Advik kan bruges til at gemme sikkerhedskopier af vores ønskede placering og understøtter flere sprog sammen med engelsk, inklusive japansk, spansk og fransk.
Systools MailXaminer:
Med hjælp fra dette værktøj har en klient tilladelse til at ændre deres jagtkanaler, der er afhængige af situationerne. Det giver klienter et alternativ til at kigge ind i meddelelser og forbindelser. Hvad mere er, dette retsmedicinske e-mail-værktøj tilbyder desuden en altomfattende hjælp til videnskabelig e-mail-undersøgelse af både arbejdsområde og elektroniske e-mailadministrationer. Det lader eksaminatorer behandle mere end en enkelt sag igennem igennem på en legitim måde. Ligeledes kan specialister med hjælp fra dette e-mail-analyseværktøj endda se detaljerne i chatten, udføre opkaldsundersøgelse og se meddelelsesoplysninger mellem forskellige klienter i Skype-applikationen. Hovedfunktionerne i denne software er, at den understøtter flere sprog sammen med engelsk, herunder japansk, spansk og fransk og kinesisk, og det format, hvori det gendanner slettede mails, er retligt acceptabelt. Det giver en loghåndteringsvisning, hvor et godt overblik over alle aktiviteter vises. Systools MailXaminer er kompatibel med dd, e01, lynlås og mange andre formater.
Adcomplain:
Der er et værktøj kaldet Forklare der bruges til rapportering af kommercielle mails og botnet-indlæg og også annoncer som "tjen hurtige penge", "hurtige penge" osv. Adcomplain udfører selv headeranalyse på e-mail-afsenderen efter at have identificeret sådan e-mail og rapporterer den til afsenderens internetudbyder.
Konklusion:
E-mail bruges af næsten enhver person, der bruger internettjenester over hele verden. Svindlere og internetkriminelle kan smede e-mail-overskrifter og sende e-mails med ondsindet og bedragerisk indhold anonymt, hvilket kan føre til datakompromiser og hacks. Og det er det, der øger vigtigheden af e-mail-retsmedicinsk undersøgelse. Cyberkriminelle bruger flere måder og teknikker for at lyve om deres identiteter som:
- Spoofing:
For at skjule sin egen identitet smeder dårlige mennesker overskrifterne på e-mail og udfylder den med de forkerte oplysninger. Når e-mail-spoofing kombineres med IP-spoofing, er det meget vanskeligt at spore den faktiske person bag det.
- Uautoriserede netværk:
De netværk, der allerede er kompromitteret (inklusive kablet og trådløs begge) bruges til at sende spam-e-mails for at skjule identitet.
- Åbn mailrelæer:
Et forkert konfigureret mailrelæ accepterer mails fra alle computere inklusive dem, det ikke skal accepteres fra. Derefter videresender det det til et andet system, som også skal acceptere posten fra bestemte computere. Denne type mail-videresendelse kaldes et åbent mail-videresendelse. Den slags relæ bruges af svindlere og hackere til at skjule deres identitet.
- Åbn proxy:
Maskinen, der giver brugere eller computere mulighed for at oprette forbindelse til andre computersystemer kaldes en proxyserver. Der er forskellige typer proxyservere som en virksomheds proxyserver, gennemsigtig proxyserver osv. afhængigt af typen af anonymitet, de giver. Den åbne proxyserver sporer ikke optegnelser over brugeraktiviteter og vedligeholder ikke logfiler i modsætning til andre proxyservere, der opretholder optegnelser over brugeraktiviteter med de rette tidsstempler. Disse former for proxyservere (åbne proxyservere) giver anonymitet og privatliv, der er værdifuldt for svindleren eller den dårlige person.
- Anonymiserere:
Anonymiserere eller re-mailere er de websteder, der fungerer under dække af at beskytte brugerens privatliv på internettet og gøre dem anonyme ved forsætligt at slippe overskrifterne fra e-mailen og ikke vedligeholde serverlogfiler.
- SSH-tunnel:
På internettet betyder en tunnel en sikker sti for data, der rejser i et ikke-betroet netværk. Tunneling kan udføres på forskellige måder, der afhænger af den anvendte software og teknik. Brug af SSH-funktion SSH-portvideresendelsestunnel kan etableres, og der oprettes en krypteret tunnel, der bruger SSH-protokolforbindelsen. Svindlere bruger SSH-tunneling til at sende e-mails for at skjule deres identitet.
- Botnet:
Udtrykket bot hentet fra “ro-bot” i sin konventionelle struktur bruges til at skildre et indhold eller et sæt indhold eller et program beregnet til at udføre foruddefinerede værker igen og igen og derfor i kølvandet på at blive aktiveret bevidst eller gennem en systeminfektion. På trods af at bots startede som et nyttigt element til at formidle kedelige og kedelige aktiviteter, alligevel bliver de misbrugt til ondsindede formål. Bots, der bruges til at udføre rigtige øvelser på en mekaniseret måde kaldes venlige bots, og dem, der er beregnet til ondartet mål, kaldes ondsindede bots. Et botnet er et system af bots, der er begrænset af en botmaster. En botmaster kan bestille sine kontrollerede bots (ondartede bots), der kører på undergravede pc'er over hele kloden for at sende e-mail til nogle tildelte placeringer, mens de skjuler dens karakter og begår en e-mail-fidus eller e-mail-svindel.
- Uopsporelige internetforbindelser:
Internetcafé, universitetscampus, forskellige organisationer giver internetadgang til brugere ved at dele internettet. I dette tilfælde, hvis en korrekt log ikke opretholdes af brugernes aktiviteter, er det meget let at udføre ulovlige aktiviteter og e-mail-svindel og slippe af med det.
Forensisk analyse via e-mail bruges til at finde den egentlige afsender og modtager af en e-mail, dato og klokkeslæt for modtagelse og info om mellemliggende enheder, der er involveret i levering af meddelelsen. Der er også forskellige værktøjer til rådighed for at fremskynde opgaverne og nemt finde de ønskede søgeord. Disse værktøjer analyserer e-mail-overskrifterne og giver den retsmedicinske efterforsker det ønskede resultat på ingen tid.
