Digital Forensics: Email Investigation

Digital Forensics: Email Investigation Part I.

เป็นงานแรกๆ ที่ admin  เริ่มทำ  โดยการหาข้อมูลจาก Email ว่าใครส่ง ส่งมาจากไหน ประเทศอะไร IP address อะไร บลาๆ

การสืบสวนหาผู้ส่งจดหมายอิเล็กทรอนิกส์ โดยวิเคราะห์จากอีเมล์เฮดเดอร์ (Email Header)
โดยทั่วไปการสืบสวนรวบรวมพยานหลักฐาน ในความผิดที่มีจดหมายอิเล็กทรอนิกส์ เข้ามาเกี่ยวข้องด้วยนั้น การวิเคราะห์ที่มาของจดหมายดังกล่าว นับเป็นขั้นตอนการดำเนินการหนึ่งซึ่งจะทำให้ผู้ทำการสืบสวน สามารถวิเคราะห์ได้ว่า จดหมายที่ถูกส่งมาจากผู้ส่งที่แท้จริงหรือไม่  หรือถูกปลอมแปลงโดยวิธีใด ซึ่้งนับเป็นส่วนสาระสำคัญต่อการสืบสวนเป็นอย่างยิ่ง

 

Email  Header เป็นส่วนหัวของอีเมล์  เป็นส่วนที่แสดงถึงรายละเอียดต่างๆของอีเมล์ ได้แก่ Message-ID: ของ E-mail (message header), วันที่และเวลาที่ส่ง, เซิร์ฟเวอร์ที่ใช้ส่งออกอีเมล์, ชื่อผู้รับ, ชื่อผู้ส่ง เช่น ข้อมูลเกี่ยวกับผู้รับ/ผู้ส่ง, IP ADDRESS, วันที่, เวลา EMAIL ที่คุณได้รับ บอกละเอียดถึงกับว่าถูกส่งมาจากคอมพิวเตอร์เครื่องใด รหัสเครื่องใด อย่างละเอียด ซึ่งรายละเอียดต่าง ๆ นี้จะไม่ปรากฏในเนื้อหาของ Email ทั่ว ๆ ไปที่เราเห็น  ส่วนหัวของอีเมล์(Email Header) ในแต่ละข้อมูลจะประกอบไปด้วยรายละเอียดดังต่อไปนี้

To: เก็บชื่อบัญชี Email ผู้รับ
Subject:- เก็บหัวเรื่อง
Date: เก็บวันเวลาที่อีเมลถูกส่ง
Message-ID: เก็บค่า ID ของ email จดหมายอิเล็กทรอนิกส์
Content: - เก็บค่ารูปแบบ email จดหมายอิเล็กทรอนิกส์
X-Mailer: เก็บค่าของซอฟต์แวร์ที่ใช้ในการส่ง Email จดหมายอิเล็กทรอนิกส์
X-Originating-IP : IP address ที่ส่ง Email จดหมายอิเล็กทรอนิกส์
Return-path: คือ บัญชีอีเมล์ต้นทาง (ผู้ส่ง)
Envelope-to: คือ บัญชีอีเมล์ปลายทาง (ผู้รับ)
Delivered-To: examplegolf@gmail.com เป็นการแจ้งว่าส่งเมลถึง Email account อะไร
Delivery-date: คือ วันที่และเวลาที่ข้อความอีเมล์มาถึงผู้รับ
Received: from ......... คือ ชื่อ Server ของผู้ส่ง และจะบอก IP Address ด้วยว่าต้นทางส่งมาจากที่ใด เก็บค่าส่งอีเมลว่าถูกส่งจากที่ใดบ้าง

ตัวอย่าง
#ผู้ส่งส่งจาก ip 171.101.200.246 : ซึ่งเป็น internet ของ TRUE ISP
Received: from cm-171-101-200-246.revip11.asianet.co.th ([171.101.200.246] helo=abc)
by ns.packetlove.com with esmtpa (Exim 4.84)
(envelope-from )
id 1aXRW2-00076Q-4a

SPF Record หรือ Sender Policy Framework คือ ค่าที่ระบุ Server email ที่ได้รับอนุญาติให้ส่ง email ในนาม Domain ผู้ส่งซึ่งจะระบุเป็น IP Address ของ mail server

ตัวอย่าง
#google.com ทำการเชค SPF ของ domain : systems.co.th เรียบร้อยอนุญาตให้รับเข้ามาได้
Received-SPF: pass (google.com: domain of abc@systems.co.th designates 103.246.123.123 as permitted sender) client-ip=103.246.123.123;
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of abc@systems.co.th designates 103.246.123.123 as permitted sender) smtp.mailfrom=abc@systems.co.th;

dkim=pass header.i=@systems.co.th


DKIM ย่อมาจากคำว่า Domain Keys Identified Mail ซึ่งตัว feature นี้จะเอาไว้คล้ายๆ เซ็นต์ลายเซ็นต์ของอีเมลเรา แล้วส่งออกไป เพื่อป้องกันการปลอมแปลงอีเมลในขาส่งออก โดยทางเซิฟเวอร์ปลายทางจะทำการตรวจสอบได้ โดยอาศัยการใช้ ลายเซ็นต์สาธารณะ

ตัวอย่าง 
# มีการ DKIM สำหรับ domain keys systems.co.th อย่างถูกต้อง
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=systems.co.th; s=x;
h=Content-Type:MIME-Version:Message-ID:Date:Subject:To:From; bh=WHJu+w3CuK2R;

b=fxoHVMzttU;

ตัวอย่าง 
#มีการรับอีเมลเข้ามาโดย IP 10.55.145.7 วันที่ 21 Feb 2016 , เวลา 02:45:31 ในส่วนของ timezone -0800 (PST) ถ้ามองให้เป็นเวลา (ICT) +0700 ต้องทำการ จะเท่ากับ
### +1500 -0800 = +0700 นะครับในกรณีนี้จะเป็น 02:45:31 + 15hr = 17:45:31 (ICT) เวลาไทยๆครับผม
Received: by 10.55.145.7 with SMTP id t7csp712793qkd;
Sun, 21 Feb 2016 02:45:31 -0800 (PST)
X-Received: by 10.66.62.134 with SMTP id y6mr30397395par.43.1456051531356;

Sun, 21 Feb 2016 02:45:31 -0800 (PST)

วิธี View Source เพื่อดู Header ของอีเมล์

ตัวอย่าง Email  ที่ส่งมาจาก google

ตัวอย่าง Spam 
เป็น Spam ที่ปลอมว่ามาจาก Samsung ส่งมาแต่  Message-ID เป็นของที่ไหนก็ไม่รู้ @localhost.localdomain

ทำการ Lookup ค่า SPF IP address   พบว่าเป็น IP ของ amazonaws.com

รายละเอียดเหล่านี้จะมีการบันทึกข้อมูลที่อีเมลเดินทาง จะอยู่ใน E-Mail Header

 E-mail and Social Media Investigations

อ่านเพิ่มเติม  Digital Forensics: Email Investigation Part II.

 Email Investigations An Introduction by Computer Crime and Intellectual Property Section (CCIPS)

ที่มา:

 https://bit.ly/2c0XTda

https://bit.ly/2Ja5t3D

https://bit.ly/2WCQWUq

spf-dkim-dmarc-howto-implement-working-for-what/

email-header

หมายเหตุ:เนื้อหาในเว็บไซต์นี้มีขึ้นเพื่อวัตถุประสงค์ในการให้ข้อมูลและเพื่อการศึกษาเท่านั้น

* หากมีข้อมูลข้อผิดพลาดประการใด ขออภัยมา ณ ที่นี้ด้วย  รบกวนแจ้ง Admin เพื่อแก้ไขต่อไป
ขอบคุณครับ

#WindowsForensic #computerforensic #ComputerForensics #dfir #forensics
#digitalforensics #investigation #cybercrime #fraud