一種基于IMAP消息屬性的電子郵件防偽驗證方法

◆李均濤

?

一種基于IMAP消息屬性的電子郵件防偽驗證方法

◆李均濤

（貴州財經大學信息學院 貴州 550025）

分析IMAP協議消息屬性，提出一種利用內部時間屬性和唯一標識符屬性進行電子郵件防偽驗證的方法，并用實例證明該方法的有效性。

電子郵件；IMAP協議；內部時間屬性；唯一標識符；安全驗證

0 引言

在當今網絡時代，利用偽造電子郵件的欺詐行為仍然時有發生，探尋此種行為的防范措施依舊勢在必行。電子郵件取證的傳統方法通常都是基于郵件頭信息的分析[1]，但其局限性在于有些郵件頭信息是可以偽造的。本文利用IMAP（Internet Mail Access Protocol，互聯網郵件訪問協議[2]）的消息屬性，提出一種利用針對偽造郵件發送時間安全驗證方法，并檢驗其有效性。

1 電子郵件發送時間的偽造

偽造電子郵件的發送時間相對比較容易。例如偽造者在2018年9月的某一天想要制作一封電子郵件，讓它看起來像是他在一年前的2017年9月從他的網易電子郵件地址發送給其商業伙伴的21cn電子郵件地址。他可以使用收發郵件客戶端軟件，比如Foxmail，先將自己終端的系統時間修改成2017年9月的某一天，然后撰寫郵件，發送即可。對方收到的電子郵件如圖1所示，發送時間顯示正如偽造者所愿。

圖1 偽造了發送時間的電子郵件

那么，該如何找到真實的發送時間呢？對這一問題我們首先想到的應該是郵件頭信息，通過查看郵件頭看能否找到蛛絲馬跡。查詢到的郵件頭信息如圖2所示，其中的時間依然是一年前的。

圖2 郵件的頭信息

下面我們來探討可以用來考察電子郵件發送真實時間的關鍵數據點。

2 電子郵件的內部日期

我們可以在IMAP服務器上檢查另一個數據點來驗證郵件的時間——IMAP內部日期消息屬性[2]。這個日期不是郵件本身的一部分，它由服務器保存，并指明服務器上郵件的日期和時間。在某種程度上，類似于文件系統的時間戳。

IMAP4協議的規格說明書[2]表明，當APPEND（新增）命令用于向郵箱服務器添加一個新郵件時，應該給APPEND命令提供一個日期/時間參數，如果不提供，APPEND命令默認情況下將使用服務器當前日期和時間作為這個參數。

當使用大多數主流電子郵件客戶端將郵件添加到郵件服務器中時，附加命令將在沒有日期/時間參數的情況下發布。因此，在大多數情況下，內部日期消息屬性應該反映消息被添加到郵箱服務器中的日期和時間。

在這種情況下，當我們查看電子郵件取證收集器（Forensic Email Collector[2]，由美國Metaspike公司開發的一款電子郵件取證工具軟件）提供的原始IMAP通信日志時，會看到圖3所示信息：

圖3 取證搜集到的信息

因此，盡管在消息頭中發現的起源日期是30/9/2017 12:07:41，但是服務器保存的內部日期是9/30/2018 12:09:47。根據目前的發現，這條消息最初是在9/30/2017發送的，然后在9/30/2018被添加到郵箱中，這是郵件是否屬于偽造的關鍵線索。那么，是否能找到其他的證據來支持這一發現呢？

3 唯一標識符（UID）屬性

IMAP協議將UID消息屬性[1]定義為唯一標識符，該標識符不能引用郵件文件夾中的任何其他消息。而且，UID值是以嚴格的升序方式分配的。添加到郵箱中的每個郵件都比以前的消息分配更高的UID。

因此，如果郵件是在事后被添加到郵箱中，那么與同一時期的其他真實郵件相比，它應該有更大的UID值。在這種情況下，檢查采集到的日志，可以確認可疑郵件實際上是“已發送”文件夾中最大的UID值和序列號。

正因為如此，由電子郵件取證收集器按UID升序排列，它將是“已發送”文件夾中的最后一項。這可以證實我們的發現，在9月30日12:09:47，在我們檢查前不多久，偽造的信息才被添加到郵箱中。

4 擴展調查

我們已經從電子郵件消息本身和IMAP服務器中發現了一些證據，包含兩個日期：9/30/2017，電子郵件消息呈現的發送時間；以及9/30/2018，我們調查發現的電子郵件消息被添加到IMAP郵箱的時間。

如果條件允許，我們還可以追尋一下可疑電子郵件消息被創建和發送的工作站，查看那些偽造者的行為蹤跡，如Shellbags[3]，互聯網歷史，LNK文件和其他試圖在工作站上的相關活動，發現可疑的郵件信息和IMAP服務器。甚至我們可能發現嫌疑人用來收發電子郵件的軟件，修改或偽造郵件并將其添加到IMAP服務器；或者可能會發現一些證據，表明嫌疑人在某個搜索引擎上搜索如何偽造電子郵件！

5 結束語

在驗證電子郵件信息時，我們可以檢查一長串的數據點。除了可以在電子郵件消息本身中找到的信息之外，電子郵件服務器通常還包含關于郵件的元數據，這些元數據存儲在消息之外。內部日期和惟一標識符（UID）消息屬性就是這樣的兩個數據點，可以用來幫助確認在驗證電子郵件期間的發現。

此外，當查看整個IMAP郵箱時，我們還可以利用內部日期和唯一標識符（UID）消息屬性來快速識別和處理可疑的郵件消息，這些消息在頭日期和內部日期以及序列號之間有顯著的差異。

[1]黃少榮,許學添.電子郵件的取證研究[J].網絡空間安全,2018.

[2]IETF．INTERNET MESSAGE ACCESS PROTOCOL - VERSION 4rev1[EB/OL]． [2003-3]https:// tools.ietf.org /html/rfc3501.

[3]Zhu Y, Gladyshev P, James J. Using Shellbag Information to Reconstruct User Activities[M]. Elsevier Science Publishers B.V. 2009.

貴州省研究生卓越人才計劃項目（黔教研合[2014]010號）。