一种基于IMAP消息属性的电子邮件防伪验证方法

2018-12-08李均涛

网络安全技术与应用 2018年12期

关键词：标识符电子邮件邮件

◆李均涛

◆李均涛

（贵州财经大学信息学院贵州 550025）

分析IMAP协议消息属性，提出一种利用内部时间属性和唯一标识符属性进行电子邮件防伪验证的方法，并用实例证明该方法的有效性。

电子邮件；IMAP协议；内部时间属性；唯一标识符；安全验证

0 引言

在当今网络时代，利用伪造电子邮件的欺诈行为仍然时有发生，探寻此种行为的防范措施依旧势在必行。电子邮件取证的传统方法通常都是基于邮件头信息的分析[1]，但其局限性在于有些邮件头信息是可以伪造的。本文利用IMAP（Internet Mail Access Protocol，互联网邮件访问协议[2]）的消息属性，提出一种利用针对伪造邮件发送时间安全验证方法，并检验其有效性。

1 电子邮件发送时间的伪造

伪造电子邮件的发送时间相对比较容易。例如伪造者在2018年9月的某一天想要制作一封电子邮件，让它看起来像是他在一年前的2017年9月从他的网易电子邮件地址发送给其商业伙伴的21cn电子邮件地址。他可以使用收发邮件客户端软件，比如Foxmail，先将自己终端的系统时间修改成2017年9月的某一天，然后撰写邮件，发送即可。对方收到的电子邮件如图1所示，发送时间显示正如伪造者所愿。

图1 伪造了发送时间的电子邮件

那么，该如何找到真实的发送时间呢？对这一问题我们首先想到的应该是邮件头信息，通过查看邮件头看能否找到蛛丝马迹。查询到的邮件头信息如图2所示，其中的时间依然是一年前的。

图2 邮件的头信息

下面我们来探讨可以用来考察电子邮件发送真实时间的关键数据点。

2 电子邮件的内部日期

我们可以在IMAP服务器上检查另一个数据点来验证邮件的时间——IMAP内部日期消息属性[2]。这个日期不是邮件本身的一部分，它由服务器保存，并指明服务器上邮件的日期和时间。在某种程度上，类似于文件系统的时间戳。

IMAP4协议的规格说明书[2]表明，当APPEND（新增）命令用于向邮箱服务器添加一个新邮件时，应该给APPEND命令提供一个日期/时间参数，如果不提供，APPEND命令默认情况下将使用服务器当前日期和时间作为这个参数。

当使用大多数主流电子邮件客户端将邮件添加到邮件服务器中时，附加命令将在没有日期/时间参数的情况下发布。因此，在大多数情况下，内部日期消息属性应该反映消息被添加到邮箱服务器中的日期和时间。

在这种情况下，当我们查看电子邮件取证收集器（Forensic Email Collector[2]，由美国Metaspike公司开发的一款电子邮件取证工具软件）提供的原始IMAP通信日志时，会看到图3所示信息：

图3 取证搜集到的信息

因此，尽管在消息头中发现的起源日期是30/9/2017 12:07:41，但是服务器保存的内部日期是9/30/2018 12:09:47。根据目前的发现，这条消息最初是在9/30/2017发送的，然后在9/30/2018被添加到邮箱中，这是邮件是否属于伪造的关键线索。那么，是否能找到其他的证据来支持这一发现呢？

3 唯一标识符（UID）属性

IMAP协议将UID消息属性[1]定义为唯一标识符，该标识符不能引用邮件文件夹中的任何其他消息。而且，UID值是以严格的升序方式分配的。添加到邮箱中的每个邮件都比以前的消息分配更高的UID。

因此，如果邮件是在事后被添加到邮箱中，那么与同一时期的其他真实邮件相比，它应该有更大的UID值。在这种情况下，检查采集到的日志，可以确认可疑邮件实际上是“已发送”文件夹中最大的UID值和序列号。

正因为如此，由电子邮件取证收集器按UID升序排列，它将是“已发送”文件夹中的最后一项。这可以证实我们的发现，在9月30日12:09:47，在我们检查前不多久，伪造的信息才被添加到邮箱中。

4 扩展调查

我们已经从电子邮件消息本身和IMAP服务器中发现了一些证据，包含两个日期：9/30/2017，电子邮件消息呈现的发送时间；以及9/30/2018，我们调查发现的电子邮件消息被添加到IMAP邮箱的时间。

如果条件允许，我们还可以追寻一下可疑电子邮件消息被创建和发送的工作站，查看那些伪造者的行为踪迹，如Shellbags[3]，互联网历史，LNK文件和其他试图在工作站上的相关活动，发现可疑的邮件信息和IMAP服务器。甚至我们可能发现嫌疑人用来收发电子邮件的软件，修改或伪造邮件并将其添加到IMAP服务器；或者可能会发现一些证据，表明嫌疑人在某个搜索引擎上搜索如何伪造电子邮件！