本站小編為你精心準(zhǔn)備了電子郵件真實(shí)性技術(shù)探討參考范文，愿這些范文能點(diǎn)燃您思維的火花，激發(fā)您的寫(xiě)作靈感。歡迎深入閱讀并收藏。

《計(jì)算機(jī)與網(wǎng)絡(luò)雜志》2015年第二期

1電子郵件結(jié)構(gòu)分析

1.1郵件正文在郵件中第一個(gè)空行后，可以看到通過(guò)“Content-Type”中“boundary”相應(yīng)字段，這就是郵件正文的開(kāi)始，如郵件存在附件，在該字段“Content-Type”中會(huì)出現(xiàn)一個(gè)新的“boundary”所指引的邊界信息。該邊界信息所內(nèi)的內(nèi)容為郵件正文，如郵件不存在附件，郵件正文的邊界信息則以郵件頭中的“Content-Type”所提示的邊界信息為準(zhǔn)。郵件的正文存在2種形式，一種為“text/plain”是無(wú)格式正文，一種為“text/html”是html格式的正文，在網(wǎng)頁(yè)及客戶(hù)端中看的到郵件正文都是以“text/html”的格式所顯示。

1.2郵件附件在郵件正文邊界后的，會(huì)出現(xiàn)一個(gè)郵件頭中“Content-Type”所提示的邊界信息，這個(gè)邊界信息后的內(nèi)容為郵件附件，如存在多個(gè)附件，每個(gè)附件之間都會(huì)存在一條該邊界信息。在附件的“Content-Type”信息中包括類(lèi)型標(biāo)識(shí)和子類(lèi)型標(biāo)識(shí)，前者類(lèi)型標(biāo)識(shí)聲明了數(shù)據(jù)的類(lèi)型，后者子類(lèi)型標(biāo)識(shí)為這種數(shù)據(jù)類(lèi)型指定了特定的格式。附件類(lèi)型分為7種，分別是:文本(Text)、多文檔(mulipart)、消息(Message)、圖像(Image)、音頻(audio)、視頻(Video)和應(yīng)用(Application)。當(dāng)遇到未知的類(lèi)型如壓縮文件時(shí)，將會(huì)把未知類(lèi)型當(dāng)作“application/octet-stream”對(duì)待。

2郵件真實(shí)性分析

電子郵件真實(shí)性分析主要從以下幾個(gè)方面進(jìn)行分析。

2.1電子郵件客戶(hù)端分析電子郵件客戶(hù)端是日常辦公中經(jīng)常使用的郵件發(fā)送及接收所使用軟件，在使用方便快捷的同時(shí)也會(huì)在操作時(shí)產(chǎn)生相應(yīng)的記錄。打開(kāi)電子郵件客戶(hù)端，查看客戶(hù)端收件箱、發(fā)件箱和回收站是否存在與需要分析真實(shí)性的郵件相關(guān)的原郵件、轉(zhuǎn)發(fā)郵件、回復(fù)郵件和刪除郵件等內(nèi)容。在對(duì)LiveMail客戶(hù)端中的郵件真實(shí)性進(jìn)行分析時(shí)，應(yīng)查看郵件的流文件，在流文件中會(huì)記錄郵件的相關(guān)事件及大小屬性，該屬性不會(huì)因修改郵件而改變，在流文件中郵件的發(fā)送時(shí)間為0時(shí)區(qū)時(shí)間[2]。

2.2郵件內(nèi)容分析[3]⑴郵件關(guān)聯(lián)性分析查看客戶(hù)端中相關(guān)郵件：①發(fā)件箱：查看發(fā)件箱內(nèi)是否存在對(duì)懷疑修改的郵件的回復(fù)，如存在回復(fù)郵件，可以查看回復(fù)的郵件中的原郵件內(nèi)容與懷疑修改的郵件是否相同；②垃圾箱：查看垃圾箱內(nèi)是否存在被刪除的懷疑修改的郵件，如存在相關(guān)郵件，可以查看垃圾箱內(nèi)的相關(guān)郵件與懷疑修改的郵件是否相同。⑵郵件編碼分析郵件內(nèi)容的修改方式為將郵件的正文部分的編碼進(jìn)行解碼后修改，修改完成后將修改過(guò)的郵件內(nèi)容轉(zhuǎn)換為郵件原編碼格式后，對(duì)原編碼進(jìn)行替換。郵件內(nèi)容分為“Content-Type:text/plain”、“Content-Type:text/html”，郵件內(nèi)容的修改只有對(duì)郵件內(nèi)容的“text/html”編碼進(jìn)行修改后才可以在正常打開(kāi)郵件時(shí)顯示為已修改內(nèi)容，所以在對(duì)郵件內(nèi)容真實(shí)性進(jìn)行判別時(shí)可以對(duì)“Content-Type:text/plain”的內(nèi)容進(jìn)行解碼后查看內(nèi)容與郵件內(nèi)容是否一致[4,5]，如不一致則可以判斷郵件內(nèi)容經(jīng)過(guò)了修改。⑶郵件與硬盤(pán)關(guān)聯(lián)性分析查看郵件所在硬盤(pán)的是否安裝了360殺毒軟件，如安裝360殺毒軟件，首先查看懷疑修改的郵件的文件屬性，根據(jù)文件屬性所顯示的修改時(shí)間，查看相關(guān)硬盤(pán)中360殺毒軟件日志文件所記錄的修改時(shí)間當(dāng)天的計(jì)算機(jī)操作記錄日志[2]。根據(jù)屬性顯示的修改時(shí)間打開(kāi)相應(yīng)日志文件，點(diǎn)擊查找，輸入需要分析的郵件名稱(chēng)，進(jìn)行查找。在該日志中主要查看與需要分析真實(shí)性的郵件的文件屬性中修改時(shí)間相近的日志記錄中如否存在“記事本（notepad.exe）”調(diào)用了要查找的文件。⑷附件分析對(duì)郵件存在附件的郵件，可對(duì)附件主題和內(nèi)容進(jìn)行關(guān)鍵字設(shè)定，在郵件所在硬盤(pán)中對(duì)關(guān)鍵字進(jìn)行搜索。查找硬盤(pán)中是否存在與附件相同個(gè)文件。如郵件發(fā)送的方式為通過(guò)“foxmail客戶(hù)端”發(fā)送，在郵件頭的信息中也可對(duì)是否存在附件進(jìn)行鑒定，使用“foxmail客戶(hù)端”發(fā)送的郵件，在郵件頭“X-Has-Attach”中會(huì)存在不同的表現(xiàn)。如存在附件，顯示為“X-Has-Attach：yes”，如發(fā)送時(shí)不存在附件顯示為“X-Has-Attach：no”。根據(jù)郵件頭中“Content-Type”項(xiàng)中“boundary”中的Part內(nèi)容對(duì)郵件內(nèi)容進(jìn)行查找。根據(jù)上面的內(nèi)容可以對(duì)郵件中附件的名稱(chēng)及附件的類(lèi)型進(jìn)行分析，從而查看郵件中所包含的附件是否經(jīng)過(guò)修改。如郵件中“Content-Type”中所顯示的文件類(lèi)型為“image/jpeg”，但郵件附件名后綴為文檔文件，同時(shí)附件“filename”與“name”處文件名不符，由此可以判斷這個(gè)郵件的附件是經(jīng)過(guò)修改的。如附件內(nèi)容為文檔文件，可對(duì)郵件所在硬盤(pán)進(jìn)行關(guān)鍵字搜索，設(shè)置郵件附件內(nèi)容所包含的關(guān)鍵字，對(duì)郵件所在硬盤(pán)進(jìn)行檢索，查看是否存在相關(guān)的文檔。對(duì)搜索到的相關(guān)文檔與附件文檔進(jìn)行比對(duì)，查看是否存在差異。

2.3郵件頭分析⑴發(fā)件人真實(shí)性分析通過(guò)郵件頭的特征，對(duì)郵件發(fā)件人真實(shí)性的進(jìn)行分析。正常的郵件的發(fā)件人應(yīng)與第一項(xiàng)Received信息中的地址相符。通過(guò)對(duì)“網(wǎng)易”“、新浪”“、搜狐”、“QQ”和“foxmail客戶(hù)端”等目前較為常用的郵件服務(wù)器所發(fā)郵件的郵件頭進(jìn)行比對(duì)后發(fā)現(xiàn)，由于郵箱服務(wù)器不同，一些郵箱發(fā)出的郵件不會(huì)存在第一項(xiàng)Received信息，如“QQ”和“foxmail客戶(hù)端”發(fā)出的郵件就不存在第一項(xiàng)Received信息[6]，同時(shí)對(duì)發(fā)件人真實(shí)性的分析可以根據(jù)一些郵件服務(wù)器的Message-ID中的信息來(lái)進(jìn)行判斷，如“網(wǎng)易”和“搜狐”等郵箱服務(wù)器的Message-ID信息中會(huì)出現(xiàn)發(fā)件人地址。⑵發(fā)件時(shí)間真實(shí)性分析通過(guò)對(duì)郵件頭的分析，可以看到在Received信息中會(huì)存在時(shí)間信息，所以在對(duì)時(shí)間真實(shí)性的分析上應(yīng)注意郵件的發(fā)送時(shí)間，是否與Received信息中的時(shí)間相符。在關(guān)注發(fā)件時(shí)間是，也應(yīng)注意發(fā)件時(shí)間中的星期與發(fā)件日期是否相符[7]。在對(duì)發(fā)件人真實(shí)性分析時(shí)，提到過(guò)的Message-ID信息，在對(duì)時(shí)間真實(shí)性進(jìn)行分析時(shí)，也可以得到應(yīng)用，如“新浪”和“foxmail客戶(hù)端”所發(fā)郵件的Message-ID信息中會(huì)出現(xiàn)時(shí)間信息[8-10]，在這應(yīng)注意到新浪Message-ID的時(shí)間為0時(shí)區(qū)和我們相差8小時(shí)，所以時(shí)間加8h。

3結(jié)束語(yǔ)

電子郵件真實(shí)性的分析，不是對(duì)一個(gè)郵件個(gè)體的分析，是一個(gè)需要通過(guò)對(duì)郵件客戶(hù)端、郵件頭中Message-ID信息、Received信息、郵件正文編碼特征、郵件附件編碼特征及相關(guān)硬盤(pán)的檢驗(yàn)等多種方式相互結(jié)合從而得出結(jié)論的過(guò)程，同時(shí)在分析過(guò)程中要注意郵件特征的每一個(gè)細(xì)節(jié)及郵件特征的前后關(guān)聯(lián)性。在實(shí)際應(yīng)用過(guò)程中，對(duì)使用客戶(hù)端收發(fā)的電子郵件的修改，通過(guò)上述分析方法基本可以做到準(zhǔn)確的判斷。但目前在對(duì)使用網(wǎng)頁(yè)收發(fā)的電子郵件的真實(shí)性鑒定上還存在一定的難題，需要進(jìn)行深入的研究。

作者：劉奇?zhèn)挝唬汉颖边h(yuǎn)東通信系統(tǒng)工程有限公司