Phenquestions
E-postarkitektur:
Når en bruker sender en e-post, går ikke e-posten direkte til e-postserveren på mottakerens slutt. det går heller gjennom forskjellige e-postservere.
MUA er programmet i klientenden som brukes til å lese og komponere e-post. Det er forskjellige MUA-er som Gmail, Outlook osv. Hver gang MUA sender en melding, går den til MTA som dekoder meldingen og identifiserer plasseringen den er ment å bli sendt ved å lese topptekstinformasjon og endrer toppteksten ved å legge til data og deretter sende den til MTA ved mottakersiden. Den siste MTA til stede rett før MUA dekoder meldingen og sender den til MUA ved mottakersiden. Derfor kan vi i e-postoverskriften finne informasjon om flere servere.
Analyse av topptekst på e-post:
Forensics for e-post starter med studiet av e-post Overskrift siden den inneholder enorme mengder informasjon om e-postmeldingen. Denne analysen består av både studiet av innholdet og e-postoverskriften som inneholder informasjonen om den gitte e-posten. E-posthodeanalyse hjelper deg med å identifisere de fleste e-postrelaterte forbrytelsene som spear phishing, spamming, e-post spoofing etc. Spoofing er en teknikk der man kan late som om man er en annen, og en vanlig bruker vil tro et øyeblikk at det er hans venn eller en person han allerede kjenner. Det er bare det at noen sender e-post fra vennens falske e-postadresse, og det er ikke det at kontoen deres er hacket.
Ved å analysere e-postoverskrifter kan man vite om e-posten han mottok er fra en falsk e-postadresse eller en ekte. Slik ser en e-postoverskrift ut:
Leveres til: [e-postbeskyttet]Mottatt: innen 2002: a0c: f2c8: 0: 0: 0: 0: 0 med SMTP-id c8csp401046qvm;
Ons, 29 jul 2020 05:51:21 -0700 (PDT)
X-mottatt: innen 2002: a92: 5e1d :: med SMTP-id s29mr19048560ilb.245.1596027080539;
Ons, 29 jul 2020 05:51:20 -0700 (PDT)
ARC-Seal: i = 1; a = rsa-sha256; t = 1596027080; cv = ingen;
d = google.com; s = bue-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Or2Q ==
ARC-Message-Signature: i = 1; a = rsa-sha256; c = avslappet / avslappet; d = google.com; s = bue-20160816;
h = til: emne: melding-id: dato: fra: mime-versjon: dkim-signatur;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxQTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
ARC-autentisering-resultater: i = 1; mx.Google.com;
dkim = pass [e-postbeskyttet] overskrift.s = 20161025 topptekst.b = JygmyFja;
spf = pass (google.com: domene til [e-postbeskyttet] angir 209.85.22000 as
tillatt avsender) [e-postbeskyttet];
dmarc = pass (p = INGEN sp = KARANTEN dis = INGEN) overskrift.fra = gmail.com
Retursti: <[email protected]>
Mottatt: fra mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])
av mx.Google.com med SMTPS id n84sor2004452iod.19.2020.07.29.00.00.00
til <[email protected]>
(Google Transport Security);
Ons, 29 jul 2020 05:51:20 -0700 (PDT)
Mottatt SPF: pass (google.com: domene til [e-postbeskyttet] angir 209.85.000.00
som tillatt avsender) client-ip = 209.85.000.00;
Autentisering-resultater: mx.Google.com;
dkim = pass [e-postbeskyttet] overskrift.s = 20161025 topptekst.b = JygmyFja;
spf = pass (google.com: domene til [e-postbeskyttet] angir
209.85.000.00 som tillatt avsender) [e-postbeskyttet];
dmarc = pass (p = INGEN sp = KARANTEN dis = INGEN) overskrift.fra = gmail.com
DKIM-signatur: v = 1; a = rsa-sha256; c = avslappet / avslappet;
d = gmail.com; s = 20161025;
h = mime-versjon: fra: dato: meldings-id: emne: til;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
X-Google-DKIM-signatur: v = 1; a = rsa-sha256; c = avslappet / avslappet;
d = 1e100.nett; s = 20161025;
h = x-gm-meldingsstatus: mime-versjon: fra: dato: meldings-id: emne: til;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
X-Gm-meldingsstatus: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
X-Google-Smtp-kilde: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
X-mottatt: innen 2002: a05: 0000: 0b :: med SMTP-id v11mr21571925jao.122.1596027079698;
Ons 29. juli 2020 05:51:19 -0700 (PDT)
MIME-versjon: 1.0
Fra: Marcus Stoinis <[email protected]>
Dato: ons, 29. juli 2020 17:51:03 +0500
Meldings-ID: <[email protected]om>
Emne:
Til: [e-postbeskyttet]
Innholdstype: flerdelt / alternativ; border = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Innholdstype: tekst / vanlig; charset = "UTF-8"
For å forstå topptekstinformasjonen, må man forstå det strukturerte feltsettet i tabellen.
X-tilsynelatende til: Dette feltet er nyttig når e-posten sendes til mer enn én mottaker, for eksempel bcc eller en adresseliste. Dette feltet inneholder en adresse til TIL felt, men i tilfelle bcc, vil X-Tilsynelatende til feltet er annerledes. Så dette feltet forteller adressen til mottakeren til tross for at e-posten blir sendt som cc, bcc eller av noen adresseliste.
Retursti: Retursti-feltet inneholder e-postadressen som avsenderen spesifiserte i Fra-feltet.
Mottatt SPF: Dette feltet inneholder domenet som e-post har kommet fra. I dette tilfellet er det
Mottatt SPF: pass (google.com: domene til [e-postbeskyttet] angir 209.85.000.00 som tillatt avsender) client-ip = 209.85.000.00;
X-spam-forhold: Det er en søppelpostfilteringsprogramvare på mottakerserveren eller MUA som beregner spampoengene. Hvis spam-poengsummen overstiger en viss grense, sendes meldingen automatisk til spam-mappen. Flere MUA-er bruker forskjellige feltnavn for spam-score som X-spam-forhold, X-spam-status, X-spam-flagg, X-spam-nivå etc.
Mottatt: Dette feltet inneholder IP-adressen til den siste MTA-serveren ved sendingens slutt, som deretter sender e-posten til MTA ved mottakersiden. Noen steder kan dette sees under X-opprinnelse til felt.
X-sil header: Dette feltet spesifiserer navnet og versjonen av meldingsfiltreringssystemet. Dette refererer til språket som brukes til å spesifisere betingelser for filtrering av e-postmeldinger.
X-spam-tegnsett: Dette feltet inneholder informasjonen om tegnsett som brukes til å filtrere e-post som UTF osv. UTF er et godt tegnsett som har muligheten til å være bakoverkompatibel med ASCII.
X-løst til: Dette feltet inneholder mottakerens e-postadresse, eller vi kan si adressen til e-postserveren som MDA til en avsender leverer til. Mesteparten av tiden, X-levert til, og dette feltet inneholder samme adresse.
Autentiseringsresultater: Dette feltet forteller om mottatt e-post fra det gitte domenet har passert DKIM signaturer og Domenenøkler signatur eller ikke. I dette tilfellet gjør det det.
Autentisering-resultater: mx.Google.com;dkim = pass [e-postbeskyttet] overskrift.s = 20161025 topptekst.b = JygmyFja;
spf = pass (google.com: domene til [e-postbeskyttet] angir
209.85.000.00 som tillatt avsender)
Mottatt: Det første mottatte feltet inneholder sporingsinformasjon når maskinens IP sender en melding. Den viser maskinens navn og IP-adresse. Den nøyaktige datoen og klokkeslettet meldingen er mottatt kan ses i dette feltet.
Mottatt: fra mail-sor-f41.Google.com (mail-sor-f41.Google.com. [209.85.000.00])av mx.Google.com med SMTPS id n84sor2004452iod.19.2020.07.29.00.00.00
til <[email protected]>
(Google Transport Security);
Ons, 29 jul 2020 05:51:20 -0700 (PDT)
Til, fra og emne: Feltene "Til", "fra" og "emne" inneholder informasjonen om mottakerens e-postadresse, avsenderens e-postadresse og emnet som er angitt på tidspunktet for sending av e-posten fra henholdsvis avsender. Emnefeltet er tomt i tilfelle avsenderen forlater det slik.
MIME-overskrifter: Til MUA å utføre riktig dekoding slik at meldingen blir sendt trygt til klienten, MIME overføringskoding, MIME innhold, versjon og lengde er et viktig tema.
MIME-versjon: 1.0Innholdstype: tekst / vanlig; charset = "UTF-8"
Innholdstype: flerdelt / alternativ; grense = "00000000000023294e05ab94032b"
Meldings-ID: Meldings-ID inneholder et domenenavn som er lagt til med det unike nummeret fra den sendende serveren.
Meldings-ID: <[email protected]om>Serverundersøkelse:
I denne typen etterforskning blir duplikater av formidlede meldinger og arbeidslogger utforsket for å skille kilden til en e-post. Selv om kundene (avsendere eller mottakere) sletter e-postmeldingene som ikke kan gjenopprettes, kan disse meldingene logges av servere (fullmektiger eller tjenesteleverandører) i store deler. Disse fullmaktene lagrer et duplikat av alle meldinger etter overføring. Videre kan logger som holdes opp av arbeidere konsentreres for å følge plasseringen av PCen som er ansvarlig for å utveksle e-post. I alle fall lagrer Proxy eller ISP duplikatene av e-post og serverlogger bare i en periode, og noen samarbeider kanskje ikke med rettsmedisinske etterforskere. Videre kan SMTP-arbeidere som lagrer informasjon som Visa-nummer og annen informasjon knyttet til eieren av postkassen, brukes til å skille personer som står bak en e-postadresse.
Agnetaktikk:
I en etterforskning av denne typen, en e-post med http: “” tag som har bildekilde på hvilken som helst PC som er kontrollert av undersøkere, sendes til avsenderen av e-posten som er under etterforskning som inneholder ekte (autentiske) e-postadresser. På det tidspunktet da e-posten åpnes, registreres en loggdel som inneholder IP-adressen til den mottakende enden (avsenderen av den skyldige) på HTTP-serveren, en som er vert for bildet, og etter disse linjene er avsenderen fulgte. I alle fall, hvis personen ved mottakeren bruker en proxy, så spores IP-adressen til proxy-serveren.
Fullmaktsserveren inneholder en logg, og den kan brukes videre til å følge avsenderen av e-posten som undersøkes. I tilfelle at til og med proxy-serverens logg er utilgjengelig på grunn av en eller annen forklaring, kan det på det tidspunktet sensorene sende den ekkel e-postmeldingen som har Innebygd Java Applet som kjører på mottakerens datasystem eller et HTML-side med Active X-objekt for å spore opp ønsket person.
Nettverksenhetsetterforskning:
Nettverksenheter som brannmurer, reuters, brytere, modemer osv. inneholder logger som kan brukes til å spore kilden til en e-post. I denne typen undersøkelser brukes disse loggene for å undersøke kilden til en e-postmelding. Dette er en veldig kompleks type rettsmedisinsk etterforskning og brukes sjelden. Det brukes ofte når loggene til Proxy- eller ISP-leverandøren ikke er tilgjengelig av en eller annen grunn, for eksempel manglende vedlikehold, latskap eller mangel på støtte fra ISP-leverandøren.
Programvare innebygde identifikatorer:
Noen data om komponisten av e-postbaserte poster eller arkiver kan bli innlemmet i meldingen av e-postprogramvaren som brukes av avsenderen for å komponere e-posten. Disse dataene kan bli husket for typen tilpassede overskrifter eller som MIME-innhold som et TNE-format. Undersøk e-post for disse finessene kan avdekke viktige data om avsendernes e-postpreferanser og valg som kan støtte innsamling av klientsiden. Undersøkelsen kan avdekke PST-dokumentnavn, MAC-adresse og så videre på kunde-PC-en som brukes til å sende e-postmeldinger.
Vedleggsanalyse:
Blant virusene og skadelig programvare sendes de fleste av dem via e-postforbindelser. Undersøkelse av e-postvedlegg er presserende og avgjørende i enhver e-postrelatert undersøkelse. Privat datasøl er et annet viktig undersøkelsesfelt. Det er programvare og verktøy tilgjengelig for å hente inn e-postrelatert informasjon, for eksempel vedlegg fra harddisker i et datasystem. For å undersøke tvilsomme forbindelser, laster etterforskerne opp vedleggene i en online sandkasse, for eksempel VirusTotal for å sjekke om dokumentet er skadelig programvare eller ikke. Uansett om det er viktig, er det viktig å administrere øverst på prioritetslisten at uansett om en post går gjennom en vurdering, for eksempel VirusTotal, er dette ikke en forsikring om at den er fullstendig beskyttet. Hvis dette skjer, er det en smart tanke å undersøke posten videre i en sandkassesituasjon, for eksempel gjøk.
Avsenderfingeravtrykk for avsender:
På å undersøke Mottatt felt i overskrifter, kan programvaren som tar seg av e-post i serverenden identifiseres. På den annen side, etter å ha undersøkt X-mailer felt, kan programvaren som tar seg av e-post på klientsiden identifiseres. Disse topptekstfeltene viser programvare og deres versjoner som brukes på klientens slutt for å sende e-posten. Disse dataene om avsenderens klient-PC kan brukes til å hjelpe sensorer med å formulere en kraftig strategi, og dermed blir disse linjene veldig verdifulle.
E-post forensics verktøy:
I løpet av det siste tiåret har det blitt opprettet noen få e-post-etterforskningsverktøy eller programvare. Men de fleste verktøyene er laget på en isolert måte. Dessuten skal de fleste av disse verktøyene ikke løse et bestemt problem med digital eller PC-forseelse. I stedet er de planlagt å lete etter eller gjenopprette data. Det har vært en forbedring i rettsmedisinske verktøy for å lette etterforskerens arbeid, og det er mange fantastiske verktøy tilgjengelig på internett. Noen verktøy som brukes til kriminalteknisk analyse er som under:
EmailTrackerPro:
EmailTrackerPro undersøker overskriftene til en e-postmelding for å gjenkjenne IP-adressen til maskinen som sendte meldingen, slik at avsenderen kan bli funnet. Den kan følge forskjellige meldinger samtidig og effektivt overvåke dem. Plasseringen av IP-adresser er nøkkeldata for å bestemme farenivået eller legitimiteten til en e-postmelding. Dette fantastiske verktøyet kan holde seg til byen som e-posten med stor sannsynlighet stammer fra. Den gjenkjenner avsenderens ISP og gir kontaktdata for videre undersøkelse. Den reelle veien til avsenderens IP-adresse er redegjort for i en styretabell, som gir ekstra arealdata for å avgjøre avsenderens faktiske område. Misbruksrapporteringselementet i det kan godt brukes til å gjøre videre undersøkelse enklere. For å beskytte mot spam e-post, sjekker den og verifiserer e-post mot spam svartelister, for eksempel Spamcops. Den støtter forskjellige språk, inkludert japansk, russisk og kinesisk språkfilter sammen med engelsk. Et viktig element i dette verktøyet er misbruk som avslører som kan lage en rapport som kan sendes til tjenesteleverandøren (ISP) til avsenderen. Internett-leverandøren kan da finne en måte å finne kontoinnehavere og bidra til å stenge spam.
Xtraxtor:
Dette fantastiske verktøyet Xtraxtor er laget for å skille e-postadresser, telefonnumre og meldinger fra forskjellige filformater. Det skiller naturlig nok standardområdet og undersøker raskt e-postinformasjonen for deg. Klienter kan gjøre det uten mye strekk ut e-postadresser fra meldinger og til og med fra filvedlegg. Xtraxtor gjenoppretter slettede og rensede meldinger fra mange postkassekonfigurasjoner og IMAP-e-postkontoer. I tillegg har den et lettlært grensesnitt og god hjelpefunksjon for å gjøre brukeraktiviteten enklere, og det sparer masse tid med sin raske e-post, forbereder motor- og avdoppingsfunksjoner. Xtraxtor er kompatibel med Macs MBOX-filer og Linux-systemer og kan tilby kraftige funksjoner for å finne relevant informasjon.
Advik (Backup-verktøy for e-post):
Advik, Backup-verktøy for e-post, er et veldig bra verktøy som brukes til å overføre eller eksportere alle e-postmeldinger fra postkassen, inkludert alle mappene som sendt, kladder, innboks, spam osv. Brukeren kan laste ned sikkerhetskopien av enhver e-postkonto uten mye anstrengelse. Konvertering av sikkerhetskopiering av e-post i forskjellige filformater er en annen flott funksjon i dette fantastiske verktøyet. Hovedtrekket er Avansert filter. Dette alternativet kan spare enorm tid ved å eksportere meldingene om vårt behov fra postkassen på kort tid. IMAP funksjonen gir muligheten til å hente e-post fra skybaserte lagringer og kan brukes med alle e-posttjenesteleverandører. Advik kan brukes til å lagre sikkerhetskopier av ønsket sted og støtter flere språk sammen med engelsk, inkludert japansk, spansk og fransk.
Systools MailXaminer:
Med hjelp av dette verktøyet har en klient lov til å endre jaktkanalene sine avhengig av situasjonene. Det gir klienter et alternativ til å se på meldinger og forbindelser. Hva mer, dette rettsmedisinske e-postverktøyet tilbyr i tillegg en altomfattende hjelp for vitenskapelig e-postundersøkelse av både arbeidsområdet og elektroniske e-postadministrasjoner. Det lar sensorer håndtere mer enn en enkelt sak gjennom og på en legitim måte. På samme måte, med hjelp av dette e-postanalyseringsverktøyet, kan spesialister til og med se detaljene i chatten, utføre samtaleundersøkelser og vise meldingsdetaljer mellom forskjellige klienter i Skype-applikasjonen. Hovedfunksjonene i denne programvaren er at den støtter flere språk sammen med engelsk, inkludert japansk, spansk og fransk og kinesisk, og formatet der den henter inn slettede e-poster er akseptabelt. Det gir en loggstyringsvisning der en god oversikt over alle aktivitetene vises. Systools MailXaminer er kompatibel med dd, e01, glidelås og mange andre formater.
Forklare:
Det er et verktøy som heter Forklare som brukes til rapportering av kommersielle e-poster og botnet-innlegg, og også annonser som "tjen raske penger", "raske penger" osv. Adcomplain utfører selv headeranalyse på avsenderen av e-posten etter å ha identifisert slik e-post og rapporterer den til avsenderens ISP.
Konklusjon :
E-post brukes av nesten alle som bruker internettjenester over hele verden. Svindlere og nettkriminelle kan forfalske e-postoverskrifter og sende e-post med ondsinnet og bedragerisk innhold anonymt, noe som kan føre til datakompromisser og hack. Og dette er det som legger til viktigheten av rettsmedisinsk undersøkelse via e-post. Nettkriminelle bruker flere måter og teknikker for å lyve om identiteten deres som:
- Spoofing:
For å skjule sin egen identitet, falske dårlige mennesker overskriftene til e-post og fylle den med feil informasjon. Når e-postspoofing kombineres med IP-spoofing, er det veldig vanskelig å spore den faktiske personen bak den.
- Uautoriserte nettverk:
Nettverkene som allerede er i fare (inkludert kablet og trådløs begge deler) brukes til å sende spam-e-post for å skjule identitet.
- Åpne postreleer:
Et feilkonfigurert e-postrelé godtar e-post fra alle datamaskiner, inkludert de det ikke skal godtas fra. Deretter videresender den den til et annet system som også skal akseptere e-post fra bestemte datamaskiner. Denne typen mail-videresending kalles et open mail relay. Den slags stafett brukes av svindlere og hackere for å skjule identiteten deres.
- Åpne proxy:
Maskinen som lar brukere eller datamaskiner koble den til andre datasystemer, kalles a proxy-server. Det er forskjellige typer proxy-servere som en bedriftens proxy-server, gjennomsiktig proxy-server osv. avhengig av hvilken type anonymitet de gir. Den åpne proxy-serveren sporer ikke poster over brukeraktiviteter og vedlikeholder ikke logger, i motsetning til andre proxy-servere som fører poster over brukeraktiviteter med riktige tidsstempler. Slike proxy-servere (åpne proxy-servere) gir anonymitet og personvern som er verdifullt for svindleren eller den dårlige personen.
- Anonymiserere:
Anonymiserere eller re-mailere er nettsteder som opererer under dekke av å beskytte brukerens privatliv på internett og gjør dem anonyme ved å forsettlig slippe overskriftene fra e-posten og ikke vedlikeholde serverloggene.
- SSH Tunnel:
På internett betyr en tunnel en sikker sti for data som reiser i et ikke-klarert nettverk. Tunneling kan gjøres på forskjellige måter som avhenger av programvaren og teknikken som brukes. Ved å bruke SSH-funksjonen kan SSH-port videresendelsestunneler opprettes, og det blir opprettet en kryptert tunnel som bruker SSH-protokollforbindelsen. Svindlere bruker SSH-tunneling for å sende e-post for å skjule identiteten sin.
- Botnett:
Begrepet bot hentet fra "ro-bot" i sin konvensjonelle struktur brukes til å skildre et innhold eller innholdssett eller et program ment å utføre forhåndsdefinerte arbeider om og om igjen og følgelig i kjølvannet av å bli aktivert bevisst eller gjennom en systeminfeksjon. Til tross for at roboter startet som et nyttig element for å formidle kjedelige og kjedelige aktiviteter, men de blir misbrukt for ondsinnede formål. Bots som brukes til å fullføre virkelige øvelser på en mekanisert måte kalles snille bots, og de som er ment for ondartet mål er kjent som ondsinnede bots. Et botnet er et system med bots som er begrenset av en botmaster. En botmaster kan bestille sine kontrollerte bots (ondartede bots) som kjører på undergravde PC-er over hele kloden for å sende e-post til noen tildelte steder mens de skjuler karakteren og begår en e-post-svindel eller e-postsvindel.
- Sporbare internettforbindelser:
Internettkafé, universitetscampus, forskjellige organisasjoner gir internettilgang til brukere ved å dele internett. I dette tilfellet, hvis det ikke føres en riktig logg over brukernes aktiviteter, er det veldig enkelt å gjøre ulovlige aktiviteter og svindel via e-post og slippe unna med det.
Forensisk analyse via e-post brukes til å finne den faktiske avsenderen og mottakeren av en e-post, dato og klokkeslett den er mottatt, og informasjonen om mellomliggende enheter involvert i levering av meldingen. Det er også forskjellige verktøy tilgjengelig for å øke hastigheten på oppgavene og enkelt finne ønsket søkeord. Disse verktøyene analyserer e-postoverskriftene og gir rettsmedisinske etterforskere det ønskede resultatet på kort tid.
