Escolar Documentos
Profissional Documentos
Cultura Documentos
mensagens eletrônicas
(e-mails)
ANÁLISE DE E-MAILS
12
Como identificar o autor
de um e-mail
– Os remetentes das mensagens criminosas fazem uso
de ardis para permanecerem incógnitos
– Muitas vezes se torna muito difícil a identificação dos
remetentes
– O caminho é por meio dos cabeçalhos completos de
internet das mensagens eletrônicas.
Como encontrar os cabeçalhos
de um e-mail
– Cada provedor de e-mail coloca os cabeçalhos das
mensagens em locais diferentes
– No Microsoft Outlook:
• Clicar na mensagem com o botão direito
• Clicar no botão “opções de mensagem”
• No final da tela há a janela “cabeçalhos de internet”
• Copiar esses dados e colar em um arquivo.
Como encontrar os cabeçalhos
de um e-mail
– No Google:
• Abrir a mensagem
• Nas opções da mensagem, escolher “Mostrar Original”
– No Yahoo
• Clique no ícone “Mais” sobre a mensagem
• Selecione a opção “Visualizar mensagem raw” do menu.
Como encontrar os cabeçalhos
de um e-mail
– A identificação do remetente da mensagem pode ser
facilmente adulterada
– Os cabeçalhos completos de internet contêm as informações
mais confiáveis
• Lista de servidores por onde a mensagem trafegou
• Cabeçalho “Received:”
Possui
Corpo da Lista de Registros no
conteúdo mensagem
Anexos
contatos calendário
relevante?
Estrutura dos e-mails
– Os e-mails possuem estrutura muito simples. São
divididos em três partes:
• Cabeçalho
• Corpo da mensagem
• Anexos
Informações presentes nos
e-mails
Cabeçalho
Corpo da Mensagem
Anexos
Cabeçalho
– Componente essencial pois fornece o envelope que
uma mensagem utiliza para chegar ao destino
correto
– Funciona como um registro de viagem, pois informa:
• de onde saiu
• qual o momento
• as rotas por onde passou
• quando chegou
Cabeçalho
– Existe uma grande quantidade de campos, mas o perito
deve se concentrar nos dados que podem ligar uma
mensagem a um computador
– Deve-se ter muito cuidado pois grande parte do
cabeçalho pode ser forjado
Cabeçalho
– Além dos campos “De”, “Para”, “CC”, “CCO”, “Assunto”
e “Data”, existem 4 cabeçalhos adicionais que devem
ser investigados:
• Message-ID
• Received
• X-Originatin-IP (ou X-IP)
• X-Mailer
Cabeçalho
– Message-ID – informado pelo servidor de e-mail de origem e
consiste em um identificador único adicionado no nome do
servidor com um símbolo de “@”
– É semelhante a um número de rastreamento da mensagem
e é registrado (logado) pelos servidores que recebem a
mensagem
– Pesquisas nos logs dos servidores por esse campo fornecem
evidências da passagem da mensagem
Cabeçalho
– Message-ID – são utilizados para agrupar mensagens
formando uma “conversa”
– Existem dois outros campos opcionais (“References” e “In-
Reply-To”) que ajudam no agrupamento das mensagens
através de seu ID
– Como o identificador é único, ele é um ótimo termo de
pesquisa para auxiliar na identificação de mensagens
relevantes
Cabeçalho
– Received – você pode rastrear por onde a mensagem
passou olhando os registros de “Received” começando
pelo registro mais próximo ao corpo da mensagem indo
para o mais distante (esse é o caminho da mensagem)
– Cada servidor no caminho adiciona uma entrada
“Received” contendo o IP, nome do servidor, data,
horário e fuso
Cabeçalho
– É possível que sejam forjadas alguns desses registros,
entretanto aqueles criados pelos servidores devem ser
confiáveis
– Exemplo:
Received: from NAM01-BY2-obe.outbound.protection.outlook.com
(mail-by2nam01on0096.outbound.protection.outlook.com.
[104.47.34.96])
by mx.google.com with ESMTPS id
v74si12815843pfd.77.2017.11.06.12.25.15
for <rodrigolange@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-SHA bits=128/128);
Mon, 06 Nov 2017 12:25:18 -0800 (PST)
Cabeçalho
– X-Originating-IP (ou X-IP) – um campo opcional que
identifica o computador utilizado para o envio da
mensagem. Pode ser forjado, mas necessita controle
sobre o servidor de e-mails de origem
– Recentemente está sendo retirado pelos servidores em
virtude de problemas relacionados à privacidade
Cabeçalho
– X-Originating-IP (ou X-IP) – exemplo
Accept-Language: pt-BR, en-US
Content-Language: pt-BR
X-MS-Has-Attach: yes
X-MS-TNEF-Correlator:
x-originating-ip: [186.248.103.118]
x-ms-publictraffictype: Email
x-microsoft-exchange-diagnostics:
1;RO1PR80MB0089;6:DH3V4lVADIvP+JB+/EBysEbpkWbUao/Xnc9SHiFvwIo8DnnAXyUAddFwFJ
hZ
Cabeçalho
– X-Mailer – identifica o cliente de e-mail utilizado para
criação da mensagem
– Sua inclusão é opcional e pode ser um bom indicador se
o aplicativo utilizado era local ou baseado na web (ex:
webmail)
– Deve ser incluído pelo servidor de e-mails de origem da
mensagem
Cabeçalho
– X-Mailer – exemplo
X-Mailer: YahoomailWebService/0.8.116.338427
Cabeçalho
– Se a investigação estiver ocorrendo em ambientes
Windows, uma funcionalidade que possivelmente está
sendo utilizada é a Microsoft Messaging Application
Programming Interface (MAPI)
– São cabeçalhos adicionais que podem fornecer
informações muito importantes sobre a mensagem
Cabeçalho
– Os principais campos de interesse são:
• Mapi-Client-Submit-Time – momento em que o cliente
enviou a mensagem
• Mapi-Conversation-Index – registra cada mensagem que
faz parte de uma conversa, inclusive com informações
sobre cada mensagem da conversa
Cabeçalho
– Os principais campos de interesse são:
• Mapi-EntryID – é um registro único que identifica o local
onde a mensagem está armazenada (ex: um arquivo PST).
Isso auxilia identificar o local caso o criminoso utilize mais
de um local de armazenamento
• Mapi-Message-Flags e Pr_Last_Verb_Executed –
possuem várias informações sobre o estado da mensagem
(ex: lida, não lida, não enviada, é resposta, foi
reencaminhada, etc)
Cabeçalho - exemplos
Received: from mail.litwareinc.com ([10.54.108.101]) by mail.proseware.com
with Microsoft SMTPSVC (6.0.3790.0);
Wed, 12 Dec 20016 13:39:22 -0800
Este parâmetro especifica a versão do protocolo MIME que foi usada pelo remetente.
Extensões Multi função para Mensagens de Internet (sigla MIME do inglês
Multipurpose Internet Mail Extensions) é uma norma da internet para o formato das
mensagens de correio eletrônico.
O protocolo básico de transmissão de e-mail pela Internet, SMTP, suporta apenas 7-
bit de caracteres ASCII. Isto limita as mensagens de e-mails, incluindo somente os
caracteres usados na língua inglesa.
Cabeçalho - exemplos
MIME-Version: 1.0
O MIME provê mecanismos para o envio de outros tipos de informações por e-mail,
incluindo caracteres não utilizados no idioma inglês, usando codificações diferentes
do ASCII, assim como formatos binários contendo imagens, sons, filmes, e programas
de computador. MIME é também um componente fundamental de comunicação de
protocolos como o HTTP, que requer que os dados sejam transmitidos em contextos
semelhantes a mensagens de email, mesmo que o dado a ser transmitido não seja
realmente um e-mail.
Cabeçalho - exemplos
Content-Type: multipart/mixed