◆李均濤

?

一種基于IMAP消息屬性的電子郵件防偽驗(yàn)證方法

◆李均濤

（貴州財(cái)經(jīng)大學(xué)信息學(xué)院 貴州 550025）

分析IMAP協(xié)議消息屬性，提出一種利用內(nèi)部時(shí)間屬性和唯一標(biāo)識(shí)符屬性進(jìn)行電子郵件防偽驗(yàn)證的方法，并用實(shí)例證明該方法的有效性。

電子郵件；IMAP協(xié)議；內(nèi)部時(shí)間屬性；唯一標(biāo)識(shí)符；安全驗(yàn)證

0 引言

在當(dāng)今網(wǎng)絡(luò)時(shí)代，利用偽造電子郵件的欺詐行為仍然時(shí)有發(fā)生，探尋此種行為的防范措施依舊勢(shì)在必行。電子郵件取證的傳統(tǒng)方法通常都是基于郵件頭信息的分析[1]，但其局限性在于有些郵件頭信息是可以偽造的。本文利用IMAP（Internet Mail Access Protocol，互聯(lián)網(wǎng)郵件訪問(wèn)協(xié)議[2]）的消息屬性，提出一種利用針對(duì)偽造郵件發(fā)送時(shí)間安全驗(yàn)證方法，并檢驗(yàn)其有效性。

1 電子郵件發(fā)送時(shí)間的偽造

偽造電子郵件的發(fā)送時(shí)間相對(duì)比較容易。例如偽造者在2018年9月的某一天想要制作一封電子郵件，讓它看起來(lái)像是他在一年前的2017年9月從他的網(wǎng)易電子郵件地址發(fā)送給其商業(yè)伙伴的21cn電子郵件地址。他可以使用收發(fā)郵件客戶端軟件，比如Foxmail，先將自己終端的系統(tǒng)時(shí)間修改成2017年9月的某一天，然后撰寫郵件，發(fā)送即可。對(duì)方收到的電子郵件如圖1所示，發(fā)送時(shí)間顯示正如偽造者所愿。

圖1 偽造了發(fā)送時(shí)間的電子郵件

那么，該如何找到真實(shí)的發(fā)送時(shí)間呢？對(duì)這一問(wèn)題我們首先想到的應(yīng)該是郵件頭信息，通過(guò)查看郵件頭看能否找到蛛絲馬跡。查詢到的郵件頭信息如圖2所示，其中的時(shí)間依然是一年前的。

圖2 郵件的頭信息

下面我們來(lái)探討可以用來(lái)考察電子郵件發(fā)送真實(shí)時(shí)間的關(guān)鍵數(shù)據(jù)點(diǎn)。

2 電子郵件的內(nèi)部日期

我們可以在IMAP服務(wù)器上檢查另一個(gè)數(shù)據(jù)點(diǎn)來(lái)驗(yàn)證郵件的時(shí)間——IMAP內(nèi)部日期消息屬性[2]。這個(gè)日期不是郵件本身的一部分，它由服務(wù)器保存，并指明服務(wù)器上郵件的日期和時(shí)間。在某種程度上，類似于文件系統(tǒng)的時(shí)間戳。

IMAP4協(xié)議的規(guī)格說(shuō)明書[2]表明，當(dāng)APPEND（新增）命令用于向郵箱服務(wù)器添加一個(gè)新郵件時(shí)，應(yīng)該給APPEND命令提供一個(gè)日期/時(shí)間參數(shù)，如果不提供，APPEND命令默認(rèn)情況下將使用服務(wù)器當(dāng)前日期和時(shí)間作為這個(gè)參數(shù)。

當(dāng)使用大多數(shù)主流電子郵件客戶端將郵件添加到郵件服務(wù)器中時(shí)，附加命令將在沒(méi)有日期/時(shí)間參數(shù)的情況下發(fā)布。因此，在大多數(shù)情況下，內(nèi)部日期消息屬性應(yīng)該反映消息被添加到郵箱服務(wù)器中的日期和時(shí)間。

在這種情況下，當(dāng)我們查看電子郵件取證收集器（Forensic Email Collector[2]，由美國(guó)Metaspike公司開(kāi)發(fā)的一款電子郵件取證工具軟件）提供的原始IMAP通信日志時(shí)，會(huì)看到圖3所示信息：

圖3 取證搜集到的信息

因此，盡管在消息頭中發(fā)現(xiàn)的起源日期是30/9/2017 12:07:41，但是服務(wù)器保存的內(nèi)部日期是9/30/2018 12:09:47。根據(jù)目前的發(fā)現(xiàn)，這條消息最初是在9/30/2017發(fā)送的，然后在9/30/2018被添加到郵箱中，這是郵件是否屬于偽造的關(guān)鍵線索。那么，是否能找到其他的證據(jù)來(lái)支持這一發(fā)現(xiàn)呢？

3 唯一標(biāo)識(shí)符（UID）屬性

IMAP協(xié)議將UID消息屬性[1]定義為唯一標(biāo)識(shí)符，該標(biāo)識(shí)符不能引用郵件文件夾中的任何其他消息。而且，UID值是以嚴(yán)格的升序方式分配的。添加到郵箱中的每個(gè)郵件都比以前的消息分配更高的UID。

因此，如果郵件是在事后被添加到郵箱中，那么與同一時(shí)期的其他真實(shí)郵件相比，它應(yīng)該有更大的UID值。在這種情況下，檢查采集到的日志，可以確認(rèn)可疑郵件實(shí)際上是“已發(fā)送”文件夾中最大的UID值和序列號(hào)。

正因?yàn)槿绱?，由電子郵件取證收集器按UID升序排列，它將是“已發(fā)送”文件夾中的最后一項(xiàng)。這可以證實(shí)我們的發(fā)現(xiàn)，在9月30日12:09:47，在我們檢查前不多久，偽造的信息才被添加到郵箱中。

4 擴(kuò)展調(diào)查

我們已經(jīng)從電子郵件消息本身和IMAP服務(wù)器中發(fā)現(xiàn)了一些證據(jù)，包含兩個(gè)日期：9/30/2017，電子郵件消息呈現(xiàn)的發(fā)送時(shí)間；以及9/30/2018，我們調(diào)查發(fā)現(xiàn)的電子郵件消息被添加到IMAP郵箱的時(shí)間。

如果條件允許，我們還可以追尋一下可疑電子郵件消息被創(chuàng)建和發(fā)送的工作站，查看那些偽造者的行為蹤跡，如Shellbags[3]，互聯(lián)網(wǎng)歷史，LNK文件和其他試圖在工作站上的相關(guān)活動(dòng)，發(fā)現(xiàn)可疑的郵件信息和IMAP服務(wù)器。甚至我們可能發(fā)現(xiàn)嫌疑人用來(lái)收發(fā)電子郵件的軟件，修改或偽造郵件并將其添加到IMAP服務(wù)器；或者可能會(huì)發(fā)現(xiàn)一些證據(jù)，表明嫌疑人在某個(gè)搜索引擎上搜索如何偽造電子郵件！

5 結(jié)束語(yǔ)

在驗(yàn)證電子郵件信息時(shí)，我們可以檢查一長(zhǎng)串的數(shù)據(jù)點(diǎn)。除了可以在電子郵件消息本身中找到的信息之外，電子郵件服務(wù)器通常還包含關(guān)于郵件的元數(shù)據(jù)，這些元數(shù)據(jù)存儲(chǔ)在消息之外。內(nèi)部日期和惟一標(biāo)識(shí)符（UID）消息屬性就是這樣的兩個(gè)數(shù)據(jù)點(diǎn)，可以用來(lái)幫助確認(rèn)在驗(yàn)證電子郵件期間的發(fā)現(xiàn)。

此外，當(dāng)查看整個(gè)IMAP郵箱時(shí)，我們還可以利用內(nèi)部日期和唯一標(biāo)識(shí)符（UID）消息屬性來(lái)快速識(shí)別和處理可疑的郵件消息，這些消息在頭日期和內(nèi)部日期以及序列號(hào)之間有顯著的差異。

[1]黃少榮,許學(xué)添.電子郵件的取證研究[J].網(wǎng)絡(luò)空間安全,2018.

[2]IETF．INTERNET MESSAGE ACCESS PROTOCOL - VERSION 4rev1[EB/OL]． [2003-3]https:// tools.ietf.org /html/rfc3501.

[3]Zhu Y, Gladyshev P, James J. Using Shellbag Information to Reconstruct User Activities[M]. Elsevier Science Publishers B.V. 2009.

貴州省研究生卓越人才計(jì)劃項(xiàng)目（黔教研合[2014]010號(hào)）。