Escolar Documentos
Profissional Documentos
Cultura Documentos
MT
CE-Conselho
D FE
Digital Princípios Forenses
Machine Translated by Google
Objetivos do Módulo
Nas últimas décadas, os serviços de e-mail têm sido amplamente utilizados para comunicação em todo o mundo para
troca de textos e mensagens multimídia. No entanto, isso também tornou o e-mail uma ferramenta poderosa para os
cibercriminosos espalharem mensagens maliciosas e realizarem atividades ilegais. O módulo atual pretende familiarizá-lo
com o assunto de crimes de e-mail e como eles ocorrem.
Ele se concentra principalmente nas etapas que um investigador precisa seguir em uma investigação de crime por e-mail.
Fluxo do módulo
1 2
Entenda o e-mail Entenda o crime por e-mail
Fundamentos Investigação e suas etapas
Um número crescente de empresas está usando o e-mail como seu principal meio de comunicação.
A crescente dependência de e-mails também deu origem a crimes de e-mail. Portanto, os investigadores
forenses precisam ter um entendimento completo de um sistema de e-mail e sua arquitetura interna,
juntamente com os componentes que trabalham juntos para entregar um e-mail de um remetente aos
destinatários. Esta seção discute os fundamentos de um sistema de e-mail.
E-mail é uma abreviação de “correio eletrônico”, que é usado para enviar, receber e salvar mensagens em
sistemas de comunicação eletrônica. Com a crescente dependência da tecnologia, o e-mail se tornou um dos
modos de comunicação mais populares.
Um sistema de e-mail funciona na arquitetura básica cliente-servidor. Ele permite que os clientes enviem/
recebam e-mails por meio de servidores de e-mail que se comunicam entre si. A maioria dos sistemas de e-
mail possui editores de texto com opções básicas de formatação que permitem aos clientes redigir mensagens
de texto e enviá-las a um ou mais destinatários. Depois de enviada, a mensagem passa por vários servidores
e fica guardada na caixa de correio do destinatário até que este a recupere.
Agente de usuário de correio (MUA) Agente de Transferência de Correio (MTA) Agente de entrega de correspondência (MDA)
ÿ Também conhecido como cliente de e-mail, ÿ O MTA também é conhecido como ÿ MDA é um aplicativo
MUA é um aplicativo que servidor de correio que responsável por receber uma
permite aos usuários ler, redigir aceita as mensagens de e- mensagem de e-mail do MTA e
e enviar e-mails de seus mail do remetente e as armazená -la na caixa postal do
endereços de e-mail configurados encaminha para o seu destino destinatário
ÿ Existem dois clientes de e-mail ÿ Exemplos incluem Sendmail, ÿ Exemplo inclui pombal
comumente usados: Exim e Postfix
ÿ SMTP (Simple Mail Transfer ÿ POP3 (Protocolo Post Office ÿ Protocolo de Acesso a Mensagens da Internet
Protocol) é um servidor de e-mail de versão 3) é um protocolo de Internet (IMAP) é um protocolo de internet
saída que permite ao usuário enviar e usado para recuperar e-mails de um projetado para acessar e-mail em um
-mails para um endereço de e-mail válido servidor de correio servidor de e-mail
Existem vários componentes da comunicação por e-mail que desempenham funções específicas quando uma
mensagem de e-mail é transmitida de um remetente para um destinatário.
ÿ Agente do usuário de correio: Também conhecido como cliente de e-mail, o agente do usuário de e-mail (MUA)
é um aplicativo de desktop para leitura, envio e organização de e-mails. Ele fornece uma interface para os
usuários receberem, redigirem ou enviarem emails de seus endereços de email configurados.
Um usuário precisa definir e configurar seu endereço de e-mail antes de usar o cliente de e-mail.
A configuração inclui a emissão de IDs de e-mail, senhas, endereço Post Office Protocol versão 3 (POP3)/Internet
Message Access Protocol (IMAP) e Simple Mail Transfer Protocol (SMTP), um número de porta e outras
preferências relacionadas. Existem muitos clientes de e-mail autônomos e baseados na Web, como Claws Mail,
Thunderbird, Mailbird, Zimbra Desktop, Gmail e Outlook.com. O cliente de e-mail se torna ativo somente quando o
usuário o executa.
Todos os servidores MTA conversam entre si através do protocolo SMTP. Alguns exemplos de MTA incluem
Sendmail, Exim e Postflix.
ÿ Agente de entrega de correspondência: O agente de entrega de correspondência (MDA) é o servidor que recebe a
mensagem de e-mail do último MTA e a mantém na caixa de correio do destinatário. Dovecot é um exemplo de
MDA.
ÿ Servidor SMTP: O SMTP é um servidor de e-mail de saída que permite ao usuário enviar e-mails para um endereço
de e-mail válido. Os usuários não podem usar o servidor SMTP para receber e-mails; no entanto, em conjunto com
o Post Office Protocol (POP) ou IMAP, eles podem usar o SMTP para receber e-mails com configuração adequada.
Qualquer servidor SMTP recebe um endereço do cliente de e-mail do usuário no seguinte formato:
smtp.serveraddress.com (por exemplo, o endereço do servidor SMTP do Gmail seria smtp.gmail.com).
Quando um usuário envia um e-mail para um destinatário específico, ele primeiro chega ao servidor SMTP que
processa a mensagem para determinar o endereço do destinatário e, em seguida, o retransmite para o servidor
específico. Todos os servidores SMTP geralmente escutam a porta 25. No entanto, os servidores SMTP de saída
usam a porta 587 para conexões de segurança da camada de transporte e a porta 465 para conexões SSL (Secure
Sockets Layer).
ÿ Servidor POP3: POP3 é um protocolo simples para recuperar e-mails de um servidor de e-mail. Quando o servidor
POP recebe e-mails, eles são armazenados no servidor até e a menos que o usuário solicite.
O servidor POP3 não permite o conceito de pastas; ele considera a caixa de correio no servidor como seu único
repositório. Uma vez que o usuário se conecta ao servidor de correio para recuperar seus e-mails usando o cliente
de e-mail, os e-mails são baixados automaticamente do servidor de e-mail para o disco rígido do usuário e não são
mais armazenados no servidor, a menos que o usuário especifique para manter uma cópia dele.
Como os clientes de e-mail implementados em POP3 baixam e-mails no sistema, um usuário pode ler e-mails
mesmo quando não há conectividade com a Internet. No entanto, como os e-mails são armazenados no disco
rígido, os usuários não podem acessá-los de máquinas remotas.
ÿ Servidor IMAP: Os servidores IMAP são semelhantes aos servidores POP3. Como o POP3, o IMAP lida com o e-
mail recebido. Por padrão, o servidor IMAP escuta na porta 143 e o IMAPS (IMAP sobre SSL) escuta na porta 993.
O IMAP armazena e-mails no servidor de e-mail e permite que os usuários visualizem e trabalhem em seus e-
mails, como se os e-mails estivessem armazenados em seus sistemas locais. Isso permite que os usuários
organizem todos os e-mails, dependendo de suas necessidades. Ao contrário do POP3, o IMAP não move o
servidor de correio para a caixa de correio do usuário.
Ele atua como um servidor remoto que armazena todos os e-mails do usuário no servidor de e-mail. IMAP permite
clientes de e-mail para recuperar partes de extensões de correio da Internet multiuso (MIME) na forma de uma
mensagem inteira ou em vários bits, permitindo que os clientes recuperem apenas a parte de texto do e-mail sem
baixar o anexo. Este protocolo armazena uma cópia de todos os e-mails no servidor, mesmo que o usuário os
baixe em seu sistema. Como resultado, os usuários podem acessá-los de qualquer sistema ou dispositivo de
computação.
Fluxo Típico de um
E-mail
SMTP
POP3/
IMAP
SMTP SMTP
Quando um usuário envia uma mensagem de e-mail para qualquer destinatário, ela passa por vários estágios antes
de chegar ao seu destino. Um cenário é apresentado a seguir para elaborar essas etapas:
ÿ Considere que um usuário de e-mail chamado Bob deseja enviar uma mensagem de e-mail para outro usuário
de e-mail chamado Alice. Ele compõe uma mensagem usando seu cliente de e-mail ou MUA ou um e-mail
baseado na web como o Yahoo!, especifica o endereço de e-mail de Alice e pressiona o botão enviar.
ÿ A mensagem de e-mail é recebida por um servidor MTA via SMTP que descriptografa as informações do
cabeçalho e procura o nome de domínio no endereço de e-mail de Alice. Este método
permite que o servidor MTA determine o servidor de e-mail de destino e passe a mensagem para o MTA
correspondente.
ÿ Cada vez que um servidor MTA recebe uma mensagem durante o processo de entrega de correspondência, ele
modifica suas informações de cabeçalho. Quando chega ao último MTA, é transferido para o MDA, que
guarda a mensagem na caixa postal de Alice.
ÿ O MUA de Alice então recupera a mensagem usando POP3 ou IMAP, e Alice finalmente consegue ler a
mensagem.
Compreendendo as partes de
uma mensagem de e-mail
abril de 2020 19:52 Para: ford90hen@outlook.com Os cabeçalhos de e-mail contêm informações sobre
Assunto: Quando podemos nos encontrar a origem do e-mail , como o endereço de onde veio,
novamente? o roteamento, a hora da mensagem e a linha de
assunto
Olá Henry,
Os exemplos incluem Para, Cc, Bcc, De, Mensagem
Quando podemos nos reunir para trabalhar em
nosso projeto? Estou disponível a qualquer hora
Id, Responder a, Remetente, Assunto, Versão MIME
esta semana após as 17:00. Mas eu tenho alguns e Prioridade
outros compromissos na próxima semana. Eu
gostaria de me encontrar antes de nossa próxima
Corpo
aula, então envie-me um e-mail e deixe-me saber o
Esta parte contém a mensagem real enviada por
que funcionaria para você.
e-mail em HTML ou texto sem formatação
Obrigado!
Pode incluir imagens e hiperlinks
Cumprimentos,
A mensagem de e-mail é um texto breve e informal enviado ou recebido através de uma rede. As mensagens de e-mail são
mensagens de texto simples que também podem incluir anexos, como arquivos de imagem e planilhas.
Vários destinatários podem receber mensagens de e-mail ao mesmo tempo.
No momento, o RFC 5322 define o formato de mensagem de e-mail da Internet e o RFC 2045 até o RFC 2049 define os anexos de
conteúdo multimídia — juntos, eles são chamados de extensões de correio da Internet multiuso (MIME).
1. Cabeçalho da mensagem
o Para especifica a quem a mensagem é endereçada. Observe que o cabeçalho “Para” nem sempre contém o endereço
do destinatário.
o Cc significa “cópia carbono”. Este cabeçalho especifica destinatários adicionais além daqueles listados no cabeçalho
“Para”. A diferença entre “To” e “Cc” é essencialmente conotativa; alguns remetentes também lidam com eles de
maneira diferente ao gerar respostas.
o Cco significa “cópia oculta”. Este cabeçalho envia cópias de e-mails para pessoas que podem não querer receber
respostas ou aparecer nos cabeçalhos. As cópias ocultas são populares entre os spammers porque confundem
muitos usuários inexperientes que recebem um e-mail que não tem seu endereço ou não parece ser para eles.
o Reply-To especifica um endereço para enviar respostas. Embora esse cabeçalho tenha muitos usos legítimos,
também é amplamente usado por spammers para desviar críticas. Ocasionalmente, um spammer nativo
solicitará respostas por e-mail e usará o cabeçalho "Responder para" para coletá-las, mas, com mais
frequência, o endereço especificado no lixo eletrônico é inválido ou é de uma vítima inocente.
o Remetente é incomum em e-mail (“X-Sender” é geralmente usado em seu lugar), mas aparece ocasionalmente,
especialmente em cópias de postagens da Usenet. Deve identificar o remetente; no caso de postagens da
Usenet, é um identificador mais confiável do que a linha “De”.
o Assunto é um campo totalmente livre especificado pelo remetente para descrever o assunto
da mensagem
o Data especifica a data de criação e envio do e-mail. Se o computador do remetente omitir esse cabeçalho, um
servidor de correio ou alguma outra máquina pode adicioná-lo, mesmo ao longo da rota.
o Prioridade é um cabeçalho essencialmente de formato livre que atribui uma prioridade ao e-mail. A maioria
dos softwares o ignora. Os spammers costumam usá-lo na tentativa de fazer com que suas mensagens
sejam lidas.
2. Corpo da mensagem
O corpo do e-mail transmite a mensagem e às vezes inclui um bloco de assinatura no final. Uma linha em branco
separa o cabeçalho e o corpo. Em um e-mail, o corpo ou texto sempre vem após as linhas do cabeçalho.
O corpo do e-mail é a mensagem principal do e-mail que contém texto, imagens, hiperlinks e outros dados (como
anexos). O corpo do e-mail exibe anexos separados que aparecem alinhados com o texto. O padrão de e-mail
da Internet não estabeleceu nenhuma limitação no tamanho do corpo de um e-mail. No entanto, servidores de
correio individuais têm limites de tamanho de mensagem.
3. Assinatura
Uma assinatura de e-mail é uma pequena quantidade de informações adicionais anexadas no final da mensagem
de e-mail que consiste no nome e detalhes de contato do remetente do e-mail. Pode conter texto simples ou
imagens.
Fluxo do módulo
1 2
Entenda o e-mail Entenda o crime por e-mail
Fundamentos Investigação e suas etapas
A investigação de crimes por e-mail envolve o exame da origem e do conteúdo das mensagens de e-mail como prova
Isso permite que os investigadores identifiquem o tipo de fraude por e-mail realizada, o criminoso e sua intenção maliciosa
A investigação de crimes por e-mail envolve a extração, aquisição, análise e recuperação de mensagens de e-mail
relacionadas a qualquer cibercrime. A análise detalhada das mensagens de e-mail ajuda os investigadores a reunir
evidências úteis, como a data e a hora em que a mensagem de e-mail foi enviada, o endereço IP real do remetente
e do destinatário e qual mecanismo de falsificação foi usado. Os investigadores precisam usar muitas ferramentas
forenses para extrair metadados de cabeçalhos de e-mail. Isso os ajuda a localizar o criminoso por trás do crime e
relatar as descobertas para processá-los no tribunal.
ÿ Spamming de E-mail
O spam não é solicitado por e-mail comercial ou lixo eletrônico. O correio de spam envolve o envio do
mesmo conteúdo para um grande número de endereços ao mesmo tempo. O spam ou lixo eletrônico
preenche as caixas de correio e impede que os usuários acessem seus emails regulares. Esses e-mails
regulares começam a ser devolvidos porque o servidor excedeu seu limite de capacidade. Spammers
escondem suas identidades falsificando o cabeçalho do e-mail. Para evitar a obtenção de respostas de
destinatários irritados, os spammers fornecem informações enganosas nos campos FROM e REPLY-TO e
as publicam em uma lista de discussão ou grupo de notícias.
ÿ Phishing
O phishing surgiu como um método eficaz para roubar dados pessoais e confidenciais dos usuários. É um golpe
da Internet que engana os usuários para que divulguem suas informações pessoais e confidenciais, fazendo
declarações e ofertas interessantes. Os phishers podem atacar os usuários enviando mensagens em massa para
milhões de endereços de e-mail em todo o mundo.
O ataque de phishing engana e convence o usuário com conteúdo técnico falso junto com práticas de engenharia
social. A principal tarefa dos phishers é fazer com que as vítimas acreditem que os sites de phishing são legítimos.
As fontes que podem ser personificadas incluem páginas da web, mensagens instantâneas, e-mails e Internet
Relay Chat. A maioria dos ataques de phishing é feita por e-mail, onde o usuário recebe um e-mail que o engana
para seguir o link fornecido, levando-o a um site de phishing. O e-mail pode conter uma mensagem informando
que uma determinada transação ocorreu na conta do usuário e pode ter um link para verificar seu saldo ou pode
conter um link para realizar uma verificação de segurança da conta do usuário.
o Spear Phishing ocorre quando, em vez de enviar milhares de e-mails, alguns invasores usam conteúdo
especializado de engenharia social direcionado a um funcionário específico ou a um pequeno grupo de
funcionários de uma organização específica para roubar dados confidenciais, como informações financeiras e
segredos comerciais. As mensagens de spear phishing parecem ser de uma fonte confiável com um site de
aparência oficial. O e-mail também parece ser de um indivíduo da empresa do destinatário, geralmente alguém
em posição de autoridade.
No entanto, a mensagem é realmente enviada por um invasor que tenta obter informações críticas sobre um
destinatário específico e sua organização, como credenciais de login, detalhes de cartão de crédito, números
de contas bancárias, senhas, documentos confidenciais, informações financeiras e segredos comerciais.
Spear phishing gera uma taxa de resposta mais alta em comparação com um ataque de phishing normal, pois
parece ser de um confiável
fonte da empresa.
o Whaling é um tipo de ataque de phishing que visa executivos de alto nível, como CEOs, CFOs, políticos e celebridades
que têm acesso total a informações confidenciais e altamente valiosas. É um truque de engenharia social no qual o
invasor engana a vítima para revelar informações corporativas e pessoais críticas (como detalhes de contas bancárias,
detalhes de funcionários, informações de clientes e detalhes de cartão de crédito), geralmente por e-mail ou falsificação
de site. Whaling é diferente de um ataque de phishing; nesse caso, o e-mail ou site usado para o ataque é
cuidadosamente projetado para atingir alguém da liderança executiva em particular.
o Pharming é uma técnica de engenharia social na qual um invasor executa programas maliciosos no computador ou
servidor da vítima. Quando a vítima insere qualquer URL ou nome de domínio, ela redireciona automaticamente o
tráfego da vítima para um site controlado pelo invasor. Esse ataque também é conhecido como “Phishing sem isca”: o
invasor rouba informações confidenciais, como credenciais, dados bancários e outras informações relacionadas a
serviços baseados na web. Os ataques de pharming podem ser executados de duas maneiras, ou seja, envenenamento
de cache do Sistema de Nomes de Domínio (DNS) e modificação do arquivo do host.
o Spimming ou “spam sobre mensagens instantâneas” (SPIM) explora plataformas de mensagens instantâneas e usa
mensagens instantâneas como uma ferramenta para espalhar spam. Uma pessoa que gera spam por meio de
mensagens instantâneas é chamada de spimmer. Um spimmer geralmente usa bots (um aplicativo que executa tarefas
automatizadas pela rede) para coletar IDs de mensagens instantâneas e encaminhar a mensagem de spam para eles.
As mensagens SPIM, semelhantes aos spams de e-mail, geralmente incluem anúncios e malware como anexo ou
hiperlink incorporado. Um usuário que clica no anexo é redirecionado para um site malicioso, que coleta informações
financeiras e pessoais, como credenciais, contas bancárias e detalhes de cartão de crédito.
ÿ Bombardeio de Correio
O bombardeio por e-mail refere-se ao processo de envio repetido de uma mensagem de e-mail para um endereço específico
no site de uma vítima específica. Em muitos casos, as mensagens serão preenchidas com dados inúteis destinados a
consumir mais capacidade do sistema e da rede.
Várias contas no site de destino podem sofrer abuso, aumentando o impacto da negação de serviço. Mail bombing é um ato
intencional de enviar várias cópias de conteúdo idêntico para o mesmo destinatário. O principal objetivo por trás disso é
sobrecarregar o servidor de e-mail e degradar o sistema de comunicação, tornando-o inutilizável. Normalmente, um homem-
bomba e a vítima se conhecem. Postagens em grupos de notícias que não concordam com a opinião do destinatário também
resultam em bombardeio de e-mail. O alvo em tais casos pode ser uma máquina específica ou uma pessoa em particular. O
bombardeio de e-mails é mais abusivo do que o spam porque não apenas envia e-mails em quantidades excessivas para
um indivíduo, mas também impede que outros usuários acessem seus e-mails usando o mesmo servidor.
ÿ Tempestades de Correio
Uma tempestade de correio ocorre quando os computadores começam a se comunicar sem intervenção humana.
A enxurrada de correspondências indesejadas enviadas por acidente é uma tempestade de correspondências. Uso de listas
de e-mail, encaminhamento automático de e-mails, resposta automática e presença de mais de um e-mail
endereço são as várias causas de uma tempestade de correio. O código de software malicioso também é escrito
para criar tempestades de e-mail, como a mensagem “Melissa, I-Care-For-U”. As tempestades de correio
atrapalham os sistemas de comunicação e os tornam inoperáveis.
ÿ Fraude de Identidade
Fraude de identidade é a recuperação ilegítima e uso de dados pessoais de outras pessoas para ganhos maliciosos
e monetários. O roubo de identidade é um crime que está rapidamente ganhando popularidade. É o ato intencional
de roubar a identidade de alguém para obter benefícios monetários. Os criminosos obtêm informações pessoais
sobre uma pessoa e as usam indevidamente, causando grandes perdas financeiras à vítima.
Sites de compras on-line com representações falsas e e-mails de spam com ofertas irresistíveis são os meios mais
comuns usados para obter os números do cartão de crédito da vítima.
Depois que o usuário faz um pedido online, os criminosos podem interceptar a mensagem de e-mail e usá-la. Os
criminosos não apenas retiram grandes quantias de dinheiro das contas das vítimas, mas também podem levá-las
à falência.
ÿ Ciberperseguição
Cyberstalking é um crime em que os invasores perseguem um indivíduo, um grupo ou uma organização usando e-
mails ou mensagens instantâneas. Os invasores tentam ameaçar, fazer acusações falsas, difamar, caluniar,
caluniar ou roubar a identidade da(s) vítima(s) como parte do cyberstalking. O perseguidor pode ser alguém
associado a uma vítima ou a um estranho.
ÿ Rapto de Criança
O sequestro de crianças é o crime de remover ou reter, deter ou ocultar indevidamente uma criança ou bebê. O
rapto é definido como tirar uma pessoa por persuasão, fraude ou força aberta ou violência. Existem dois tipos de
rapto de crianças: o rapto parental e o rapto por um estranho. Os sequestros de crianças pelos pais são o tipo mais
comum, enquanto o sequestro por um estranho será classificado como sequestro.
Para encontrar, extrair e analisar evidências relacionadas a e-mails, um investigador deve seguir uma série de etapas definidas
e praticadas. Isso não apenas facilitará o processo de coleta de evidências, mas também ajudará o investigador a manter a
conformidade e a integridade.
Algumas das etapas vitais a serem seguidas durante a condução de uma investigação de crime por e-mail são as seguintes:
Se a vítima for uma organização corporativa, o investigador deve obter permissão das autoridades
envolvidas e colaborar com a rede interna e os administradores do sistema para entender suas
políticas e cumprir seus regulamentos de segurança de dados.
ÿ O suspeito tem uma conta de e-mail baseada na web na qual o crime foi
ocorreu
Uma vez que o computador e as contas de e-mail foram apreendidos, o próximo passo é adquirir os dados de e-mail para
análise forense. A aquisição de dados de e-mail depende dos seguintes cenários:
ÿ O suspeito tem acedido a e-mails através de clientes de e-mail baseados no ambiente de trabalho, como o Outlook
e Mozilla Thunderbird
ÿ O suspeito tem uma conta de e-mail baseada na web a que acedeu através do navegador
O investigador precisa escolher o processo de aquisição de acordo com a situação na cena do crime.
Quando um crime de e-mail é suspeito de ter ocorrido na máquina de um usuário usando clientes de e-mail, as
principais fontes de evidência são as pastas locais e arquivos arquivados armazenados por esses programas que
contêm informações sobre todas as atividades de e-mail.
Muitos usuários preferem clientes de e-mail baseados em desktop, como Microsoft Outlook, Mozilla Thunderbird
e Apple Mail, para enviar/receber e-mails. Quando um crime de e-mail é suspeito de ter ocorrido na máquina de
um usuário usando clientes de e-mail, as principais fontes de evidência são as pastas locais e arquivos
armazenados por esses programas que contêm informações sobre todas as atividades de e-mail. O trabalho do
investigador forense é localizar as pastas locais e extrair todas as mensagens de e-mail usando a ferramenta
forense correta e armazenar as cópias em um local seguro.
Arquivos/bancos de dados de e-mail locais criados por clientes de e-mail podem ser salvos em vários locais no
computador do suspeito. O investigador precisa identificar cuidadosamente todos os arquivos de e-mail locais e
adquirir as mensagens de e-mail relevantes relacionadas ao crime.
ÿ Quando os usuários configuram suas contas de e-mail no Outlook, ele cria uma cópia local
de todas as informações de e-mail em dois tipos de formatos de arquivo:
ÿ Certos tipos de contas POP usam o arquivo .pst para salvar as informações da
caixa de correio no computador local
Para saber a localização dos dados do Outlook 2016 Auto Archive na máquina
do suspeito, navegue até Arquivo > Opções > Avançado >
Configurações de arquivamento automático
Quando uma conta de e-mail é sincronizada com o aplicativo da área de trabalho do Microsoft Outlook, ela cria uma cópia
local de todas as pastas de e-mail nos dois formatos a seguir:
Geralmente, as contas pop armazenam todas as informações de e-mail em um formato de arquivo .pst no Outlook.
As mensagens de e-mail, contato, calendário e outros dados de tarefas são baixados automaticamente
do servidor de correio e salvo localmente no disco rígido. No Outlook 2013 e versões anteriores, os arquivos .pst
eram usados por contas IMAP. No entanto, no Outlook 2016, as mensagens de email de todas as contas IMAP são
salvas no formato de arquivo .ost . A localização padrão dos arquivos .pst no Outlook 2016 é C:\Users\%USERNAME%
\Documents\Outlook Files
Tipos de conta como Outlook.com, Outlook para Office 365, Microsoft Exchange e IMAP copiam todos os componentes
da caixa de correio no formato de arquivo .ost . Como e-mails, contatos, calendário e outros dados não são retirados
do servidor, como contas pop, os usuários podem acessar seus e-mails mesmo quando não possuem conexão com
a Internet. Todas as informações da caixa de correio são atualizadas quando a conexão é reativada. Por padrão, o
arquivo .ost no Outlook 2016 é salvo no seguinte local: C:\Users\%USERNAME%\AppData\Local\Microsoft\Outlook.
Figura 11.4: Arquivo .ost e sua localização conforme criado pelo Microsoft Outlook
O investigador também pode extrair artefatos relacionados a e-mail de arquivos, uma pasta padrão criada pelo aplicativo
Outlook que permite aos usuários salvar e-mails antigos. Os recursos de AutoArquivar estão disponíveis nas versões do
Outlook 2013, 2016 e 2019 e permitem que os usuários arquivem emails automaticamente em intervalos regulares. Esses
arquivos compactados são armazenados no formato .pst .
Para determinar a localização do arquivo do Outlook, o investigador precisa obter as credenciais do suspeito, abrir o aplicativo
Outlook e navegar até Arquivo ÿ Opções ÿ Avançado ÿ Configurações de autoarquivamento.
https:// www.systoolsgroup.com
ÿ Você pode selecionar o tipo de arquivo exportado e o formato do nome e coletar as mensagens de
e-mail selecionadas na pasta de destino escolhida
https:// www.systoolsgroup.com
Como investigador forense, você pode usar ferramentas como SysTools MailPro+ para adquirir dados de
arquivos de e-mail locais armazenados pelo Thunderbird. Eles podem selecionar um ou mais arquivos mbox ou
pastas de e-mail locais específicas para aquisição e análise forense. As figuras abaixo mostram a aquisição da
pasta Lixeira de uma conta de e-mail suspeita usando o SysTools MailPro+
Figura 11.7: Analisando e-mails recuperados da pasta Lixeira de uma conta de e-mail suspeita
Figura 11.8: Examinando a visualização HTML de uma mensagem de e-mail recuperada de uma conta de e-mail suspeita
Figura 11.9: Recuperando o anexo de uma mensagem de e-mail recuperada de uma conta de e-mail suspeita
Selecione todas as mensagens de e-mail de valor comprobatório e clique no botão 'Exportar' para adquiri-las. Você
pode selecionar o tipo de arquivo exportado e o formato do nome e coletar as mensagens de e-mail selecionadas
na pasta de destino escolhida.
Figura 11.10: Selecionando formato de saída, destino e convenção de nomenclatura ao exportar mensagens de e-mail recuperadas
SysTools Mailpro+
É um utilitário versátil e completo para visualizar, pesquisar e exportar e-mails de vários clientes de e-mail.
Características
ÿ Pesquise e-mails nos arquivos de e-mail de origem com apenas alguns cliques
ÿ Exporte e-mails para os tipos de arquivo .pst, .pdf, .msg, .html, .eml, .tiff e .csv
Visualizando e-mails
Esta ferramenta fornece uma visualização de e-mails em vários modos, como mostrado abaixo:
Ele mostra e-mails junto com atributos como Para, CC, BCC, Assunto, Data e Hora
ÿ Visão Hexadecimal
ÿ Visualização de Propriedades
Ele exibe propriedades associadas a e-mails, como sinalizadores de mensagem, destinatários e remetentes
Ele fornece detalhes de visualização, como X-Priority, ID da mensagem, Thread-Index, Content-Type e outras informações
ÿ Visualização MIME
ÿ Visualização HTML
ÿ Visualização RTF
ÿ Visualização de Anexos
ÿ Visão Hierárquica
Corpo do e-mail
3 Um corpo de e-mail falsificado pode conter links/hiperlinks diretos
projetados para induzir os usuários a fornecer detalhes confidenciais
Anexo do email
Os invasores podem incorporar arquivos javascript, VBScript
4 ou .exe maliciosos nos documentos e arquivos PDF enviados como
anexos. Você precisa examinar esses anexos
dentro de um ambiente forense controlado.
Os investigadores forenses devem examinar de perto as seguintes áreas ao inspecionar as mensagens de e-mail
adquiridas:
1. Assunto
Este campo de um e-mail informa o destinatário sobre a mensagem que o e-mail pretende transmitir. A
maioria dos e-mails falsificados é projetada para criar uma sensação de pânico/urgência que induz a vítima
a abrir o e-mail e examinar seu conteúdo.
Os invasores enganam os usuários-alvo fazendo com que os e-mails suspeitos pareçam autênticos. Por
exemplo, um e-mail que aparece em nome de um banco, mas que usa uma conta do Gmail em vez do
domínio do respectivo banco, é um forte indicador de falsificação.
3. Corpo do e-mail
O corpo do e-mail contém a mensagem principal do e-mail. Um corpo de e-mail falsificado pode incluir links/
hiperlinks diretos que induzem os usuários a fornecer detalhes confidenciais. O corpo de um e-mail falsificado
geralmente tem linguagem/frases mal estruturadas que não parecem profissionais.
4. Anexo de e-mail
Os invasores geralmente enviam documentos ou cópias em PDF com extensões como .exe, .vbs, .js, .wsf
e .zip como anexos em e-mails. Esses anexos são projetados para executar programas ocultos, como
spyware e malware, no sistema de computação do usuário, que podem comprometer dados confidenciais.
3
As informações do cabeçalho do e-mail podem ser recuperadas após a aquisição
das mensagens de e-mail
Os cabeçalhos de e-mail são um componente vital de um e-mail que pode ajudar os investigadores a rastrear
a origem de um e-mail. Esses cabeçalhos fornecem informações sobre o remetente e o destinatário do e-
mail. Esses detalhes sobre a fonte e o(s) destinatário(s) são fornecidos usando os cabeçalhos “De” e “Para”,
respectivamente.
Os cabeçalhos também contêm informações sobre o caminho percorrido por um e-mail durante o trânsito.
Cada MTA que recebe a mensagem de e-mail, à medida que ela viaja de sua origem para o destino, altera a
seção do cabeçalho do e-mail. Portanto, os investigadores devem examinar a seção do cabeçalho do e-mail
e, assim, obter dados cruciais de valor probatório e rastrear o perpetrador.
Os investigadores podem recuperar informações de cabeçalho de qualquer mensagem de e-mail após sua
aquisição. Caso tenham acesso físico ao sistema do suspeito, podem usar o mesmo programa de e-mail
usado pelo suspeito para visualizar os e-mails. O procedimento para recuperar cabeçalhos de e-mail difere
em cada programa de e-mail.
ícone de propriedades
2. Revise todas as mensagens de e-mail da conta de e-mail do suspeito e clique duas vezes no e-mail
mensagem que deseja salvar
3. Clique no botão Arquivo localizado no canto superior esquerdo e depois no ícone Propriedades.
4. Quando a janela Propriedades for aberta, selecione o texto do cabeçalho da mensagem da Internet
caixa de cabeçalhos
Assim, você pode salvar o texto dos cabeçalhos de todas as mensagens de e-mail necessárias para conduzir uma
investigação mais aprofundada sobre elas.
Recuperando
cabeçalhos de e-mail
no Microsoft Outlook.com
3. Clique no botão suspenso Mais ações, navegue até a opção Exibir detalhes da mensagem
e clique nele
4. Selecione o texto do cabeçalho da mensagem na caixa Detalhes da mensagem, copie e cole o texto em
qualquer editor de texto e salve o arquivo
Figura 11.15: Texto do cabeçalho da mensagem conforme encontrado na caixa Detalhes da mensagem
Recuperando
Cabeçalhos de e-
mail no Gmail
4. Selecione o texto do cabeçalho da mensagem, copie e cole o texto em qualquer editor de texto e salve o
arquivo
06 usadas para oferecer suporte a anexos que não sejam de texto, como
vídeo, imagens e áudio, e a versão padrão é 1.0
ÿ O número de cabeçalhos recebidos encontrados em uma mensagem de e-mail depende dos servidores de e-mail que processaram a mensagem conforme ela foi
viajou da origem ao destino
ÿ Os investigadores devem começar com o cabeçalho recebido mais abaixo (B), pois é o mais próximo da fonte e, em seguida, mover-se em direção ao topo
cabeçalhos (A)
ÿ Aqui, o cabeçalho B mostra o nome de domínio do qual a mensagem de e-mail se originou (sonic302-
19.consmr.mail.sg3.yahoo.com), o endereço IP associado (106.10.242.139) e a data e hora em PDT
08 Return-Path
endereço de e-mail do remetente e o endereço do caminho de retorno forem diferentes, isso geralmente indica falsificação de e-mail
09 Recebido-SPF
ÿ Sender Policy Framework ou SPF refere-se ao processo que permite às organizações mencionar servidores que podem
enviar e-mails em nome de seus domínios
ÿ Um cabeçalho de e-mail mostrando uma falha na verificação de SPF pode ajudar a detectar mensagens de spam
O campo "b=" inclui a assinatura DKIM que deve ser calculada de acordo com o campo de cabeçalho
mencionado no campo "h="
A análise de cabeçalhos de e-mail é um aspecto crucial das investigações de crimes por e-mail, pois eles armazenam
metadados de e-mail e outras informações. Os seguintes detalhes estão contidos nos cabeçalhos do e-mail:
1. Carimbo de data/hora
2. De
Este cabeçalho exibe o ID de e-mail do remetente conforme visto no final do destinatário. O cabeçalho “De” pode
ser falsificado no caso de e-mails de spam.
3. Para
4. ID da mensagem
Cada mensagem de e-mail tem um ID exclusivo associado a ela. Dois e-mails, mesmo na mesma cadeia de e-
mail, não podem ter o mesmo ID de mensagem. Esses IDs de mensagem são gerados pelo servidor MTA/mail
globalmente exclusivo do sistema de envio de email. O ID de mensagem exclusivo globalmente de uma mensagem
de e-mail é um indicador de sua autenticidade. A parte antes do “@” em um ID de mensagem denota o carimbo
de data/hora associado a essa mensagem de e-mail específica. A parte do ID da mensagem após “@” denota o
nome de domínio totalmente qualificado (FQDN), que mostra o nome de domínio completo de um host/servidor na
Internet.
5. Assunto
6. MIME
O Multi-Purpose Internet Mail Extension (MIME) permite que os usuários de e-mail enviem arquivos de mídia como
áudio, vídeo e imagens como parte da mensagem de e-mail
o MIME-Version: Este cabeçalho mostra que a mensagem está no formato MIME. Por padrão,
este cabeçalho é definido com um valor de 1,0.
o Content-Type: Este cabeçalho especifica o tipo de conteúdo e subtipo em uma mensagem como
como o seguinte:
o Disposição de Conteúdo: Este cabeçalho especifica como uma mensagem, ou parte de seu corpo, deve ser
apresentado
7. Cabeçalho Recebido
O cabeçalho recebido contém detalhes de todos os servidores de correio através dos quais uma mensagem de
e-mail passa enquanto está em trânsito. Esses cabeçalhos são gerados sempre que um e-mail é transmitido
por meio de um servidor de e-mail/MTA em sua rota para o destinatário.
Sempre que qualquer servidor SMTP recebe uma mensagem de e-mail, um cabeçalho recebido é adicionado
ao e-mail. No cabeçalho do e-mail, os cabeçalhos recebidos são colocados na ordem inversa, de modo que o
cabeçalho recebido mais recente ou o último gerado apareça primeiro (no topo marcado por A na figura abaixo)
e o cabeçalho recebido que foi gerado primeiro apareça por último (no fundo marcado por B na figura abaixo).
Portanto, os investigadores precisam começar a examinar o cabeçalho recebido mais abaixo, pois ele reflete
informações sobre o servidor de correio do remetente. Em seguida, eles podem prosseguir para o topo, que
fornecerá dados sobre o servidor de correio e o endereço IP associado ao destinatário.
Na figura abaixo, o cabeçalho B mostra o nome de domínio do qual a mensagem de e-mail se originou
(sonic302-19.consmr.mail.sg3.yahoo.com), o endereço IP associado (106.10.242.139) e a data e hora no
PDT.
8. Caminho de Retorno
Este cabeçalho é usado para especificar o endereço de e-mail para o qual uma mensagem de e-mail será
enviada/devolvida se não chegar ao destinatário pretendido. Quando um e-mail não chega ao destinatário
pretendido, ele é devolvido. Ou seja, ele é devolvido ao remetente do e-mail, a menos que o remetente
especifique um endereço de e-mail diferente para onde os e-mails devolvidos devem ser enviados. Se o
endereço do caminho de retorno e o endereço de e-mail do remetente forem diferentes, isso é um indicador
de spam/spoofing.
9. Recebido-SPF
O Sender Policy Framework (SPF) impede a falsificação do endereço do remetente. O SPF permite que as
organizações designem servidores que podem enviar e-mails em nome de seus domínios. A estrutura
implementa um registro SPF, que se refere a um registro DNS adicionado à zona DNS do domínio de uma
organização. Dentro do registro SPF, uma organização pode definir os nomes de host e/ou endereços IP
autorizados a enviar e-mails de seu domínio.
Por meio da implementação do SPF, os resultados das trocas de e-mail podem ser os seguintes.
o Received-SPF: None: significa que nenhum registro SPF foi encontrado para o domínio.
o Received-SPF: Neutro: significa que o endereço IP do remetente não está autorizado nem restrito a enviar
e-mails em nome do domínio da organização. Um resultado neutro é tratado da mesma maneira que um
resultado “Nenhum”.
o Received-SPF: Pass: Isso significa que o endereço IP do remetente está autorizado a enviar e-mails do
domínio.
o Received-SPF - fail, or hard fail: Isso significa que o e-mail foi rejeitado pelo trocador de e-mails do
destinatário porque o endereço IP do remetente não está autorizado a enviar e-mails do domínio. A falha
grave do SPF é executada adicionando um mecanismo “-all” a um registro SPF.
No exemplo acima, “-all' significa que os remetentes que não estão listados no registro DNS mencionado
(ou seja, 207.84.200.37) devem ser tratados como não autorizados e os e-mails deles devem ser rejeitados.
Apenas o endereço IP 207.84.200.37 está autorizado a enviar e-mails.
o Received-SPF: Softfail: Isso significa que existe a possibilidade de que os endereços IP possam ou não ter
autorização para enviar e-mails em nome do domínio mencionado.
No exemplo acima, o símbolo “~” indica que os e-mails provenientes de qualquer servidor não mencionado
aqui serão entregues, mas tratados como um softfail. Nesse caso, o provedor de caixa de correio marca a
mensagem como spam ou lixo eletrônico. Somente emails provenientes do Microsoft Office 365 serão
marcados como SPF PASS.
DomainKeys Identified Mail (DKIM) refere-se a um método de autenticação de e-mail que ajuda a proteger os
remetentes e destinatários de e-mails contra phishing, spoofing e spam.
A técnica verifica se a mensagem de e-mail recebida pelo destinatário foi enviada de um servidor de e-mail
legítimo. Esse método de autenticação de e-mail usa criptografia de chave pública para detectar e impedir a
entrega de e-mails maliciosos. Essa assinatura digital/DKIM é protegida por criptografia. O DKIM também
garante que os e-mails e seus conteúdos não sejam alterados durante o trânsito entre os servidores do
remetente e do destinatário. A maioria dos provedores de serviços de e-mail procura assinaturas DKIM em e-
mails.
O servidor de correio que recebe o e-mail pode validar a assinatura DKIM do remetente com a ajuda da chave
criptográfica pública registrada no DNS. O servidor de entrada usa essa chave pública para descriptografar a
assinatura (um valor de hash) e verificá-la com um valor de hash recém-calculado. Se os valores de dois hash
corresponderem, a mensagem será considerada autêntica e inalterada.
d=gmail.com; s=20161025pm;
h=mime-version:from:date:message-id:assunto:para;
bh=RqIJ8naev02DhEPJtlFAsdUqiGR7RyzmJ9cSxw5KzCY=;
b=BYQQZk7S77sJJef1WEXGyTmfb8sUF6S7W8wi93lhh7WthcGjc2lk/ NfpgqVpeXrhHP
Ujuv36G1DVe6TBzdHsjdDLzs4b3sATMSAZNZAEdA44Tm5ooGJbhBQ8iNjRgD7eYWeEPL
cF0U/ eBBU1Nteh9MOqxIBJYJ1ZHGB+dz9zyfsyQAiHik3Db1GLhXCvfYdkEWydjGN2CH
7/ IdO3IJccF5z5sVwPYDz69dCKmyl3IWckXU/ KU+xRVX4NjffZoWHBoxOK47H7YcJZye
lDIQ=
o v=1: Mostra a versão DKIM utilizada pelo servidor de envio, cujo valor é 1
o a=rsa-sha256: O campo “a=” indica o algoritmo hash utilizado para a geração da chave privada ou
pública. rsa-sha1 e rsa-sha256 são os dois algoritmos de assinatura oficialmente suportados para
gerar valores de hash para a chave privada/pública
o s=20161025pm: O campo “s=” refere-se ao seletor para identificar a chave DKIM pública
o b=: Contém a assinatura DKIM que deve ser calculada de acordo com o cabeçalho
campo fornecido no campo “h=”
https:// tools.verifyemailaddress.io
https:// www.glocksoft.com
https:// centralops.net
Um endereço de e-mail válido é aquele para o qual os e-mails podem ser enviados com sucesso. Pode autenticar a identidade
de uma pessoa ou entidade/organização. Se os investigadores forenses encontrarem um endereço de e-mail suspeito durante
a investigação do cabeçalho do e-mail, eles devem usar ferramentas online como “Dossiê de e-mail” para verificar a autenticidade
do endereço de e-mail.
ÿ Pasta de E-mail
Esta ferramenta fornece um campo para inserir um endereço de e-mail para que sua legitimidade possa ser verificada.
A ferramenta fornece informações sobre endereços de e-mail, que incluem registros de troca de correspondência. O
Dossiê de e-mail inicia sessões SMTP para verificar a aceitação de um endereço de e-mail, mas na verdade não envia
um e-mail. Quando um endereço de e-mail é válido/autêntico, a ferramenta fornece o resultado “3 – SMTP” no campo
“taxa de confiança”.
Algumas outras ferramentas para verificar a autenticidade dos endereços de e-mail são as seguintes:
ÿ Comece a partir da entrada de cabeçalho recebida mais abaixo e, em seguida, ÿ Procure os detalhes do endereço IP coletados do
prossiga para o topo para localizar o ID de e-mail e o endereço IP do cabeçalho no site whatismyipaddress
invasor
ÿ Você pode ver que o endereço IP está registrado sob o nome de
ÿ Aqui, a entrada de cabeçalho recebida destacada mostra a mensagem
host emkei.cz para uma organização chamada Liberty Global,
originada de um site chamado emkei.cz com o endereço IP 93.99.104.210,
localizada na República Tcheca, Europa
que indica fortemente falsificação de e-mail
ÿ Você pode ver que o campo SPF recebido abaixo está mostrando um softfail
que indica que o domínio de jose.regan@gmail.com ou o remetente não
permite que o IP do servidor 93.99.104.210 envie e-mails em seu nome
ÿ Esta falha de validação é um sinal de que a mensagem pode ter sido falsificada
Se um e-mail for identificado como suspeito, suas partes principais, incluindo o campo de assunto, o
corpo do e-mail, os cabeçalhos de e-mail, como os cabeçalhos recebidos, o Received-SPF e a ID da
mensagem, devem ser examinados minuciosamente para investigar e determinar se o e-mail for
malicioso ou forjado/falsificado.
Abaixo são apresentados alguns dos componentes que os investigadores devem examinar para entender
se uma mensagem de e-mail é genuína ou falsificada:
Ao examinar uma mensagem de e-mail suspeita, os investigadores devem seguir de perto o assunto,
o conteúdo do corpo e o anexo do e-mail para extrair dados de valor probatório. A captura de tela
abaixo mostra uma mensagem de e-mail cuja linha de assunto é escrita de maneira a criar um senso
de urgência no destinatário e, assim, manipular o leitor a clicar no e-mail para ler a mensagem.
Além disso, o corpo do e-mail contém um link para a página de login do Twitter. No entanto, passar
o ponteiro do mouse sobre o link fornecido revela um endereço IP (10.0.0.32) na parte inferior
esquerda da janela do e-mail que parece suspeito porque parece um endereço IP privado.
2. Verificando o link
Se algum link suspeito for encontrado no corpo do e-mail, o investigador pode examinar o link
abrindo-o em um ambiente forense controlado. A captura de tela abaixo mostra que o link,
uma vez clicado, redireciona para uma página da Web onde o navegador mostra “10.0.0.32/
explore” no espaço da URL, em vez da URL da página de login do Twitter.
A página aberta, no entanto, contém campos para nomes de usuário e senhas do Twitter. Se
o usuário de destino fornecer suas credenciais por engano, o invasor obterá uma impressão
em sua máquina de ataque.
Para encontrar informações sobre o servidor de correio, o endereço IP e o nome do host usado pelo
invasor/remetente, o investigador precisa examinar as entradas de cabeçalho recebidas no cabeçalho
do email. Detalhes sobre o nome do host, servidor de e-mail e endereço IP usados pelo invasor são
revelados no cabeçalho recebido na parte inferior.
A captura de tela acima reflete o conteúdo do cabeçalho recebido na parte inferior, que revela que a
mensagem de e-mail se originou de um site chamado emkei.cz com um endereço IP de 93.99.104.210.
O nome do site e o endereço IP mostrados devem levantar suspeitas, pois essas descobertas são fortes
indicadores de falsificação de e-mail.
Os investigadores podem estudar ainda mais o endereço IP obtido da entrada do cabeçalho recebido
no site whatismyipaddress.com. A captura de tela abaixo reconfirma que o endereço IP pertence ao
nome do host emkei.cz. Está associado a uma organização chamada Liberty Global, localizada na
República Tcheca, na Europa. Essas descobertas apontam ainda para falsificação de e-mail.
Os investigadores também devem examinar o campo de cabeçalho Received-SPF para verificar qualquer
falha de autenticação SPF.
A captura de tela abaixo mostra que o campo Received-SPF está exibindo um resultado “softfail”, o que
significa que o domínio de jose.regan@gmail.com (ID de e-mail do remetente conforme mostrado no e-
mail) não autorizou o endereço IP 93.99 .104.210 para enviar e-mails em seu nome.
Essa falha de autenticação é outro indicador de falsificação de uma mensagem de e-mail.
Assim que o ID do e-mail do remetente for obtido, o investigador deve usar o Dossiê de e-mail para verificar
se o endereço de e-mail do remetente mostrado na mensagem é autêntico.
A captura de tela abaixo foi tirada do Dossiê de e-mail, que mostra o endereço de e-mail válido. Com essa
descoberta, o investigador pode determinar que a conta de e-mail do usuário chamado Jose Regan pode
ter sido comprometida pelo invasor ou o ID foi obtido por meio de técnicas de engenharia social.
7. Examinando o ID da mensagem
A captura de tela abaixo destacando o ID da mensagem mostra que o nome de domínio totalmente
qualificado (FQDN) é refletido como "localhost" em vez de mail.gmail.com (que é o FQDN do Gmail).
Esta descoberta confirma a possibilidade de uma mensagem de e-mail ter sido falsificada/falsificada.
A recuperação de mensagens de e-mail excluídas depende do cliente de e-mail usado para enviar o e-mail
ÿ As mensagens excluídas da caixa de correio residem na ÿ Quando as mensagens de e-mail são excluídas no Outlook, elas
pasta Lixeira, até que a pasta Lixeira seja limpa são movidas para a pasta 'Itens Excluídos'
ÿ Algumas ferramentas forenses podem recuperar essas ÿ Se os e-mails forem excluídos dos Itens Excluídos
mensagens excluídas, dependendo de quanto tempo a pasta, eles irão para o espaço não alocado da unidade
recuperação é tentada
ÿ As mensagens de e-mail excluídas da seção Lixeira das ÿ As mensagens de e-mail excluídas podem ser recuperadas
Pastas locais podem ser completamente recuperadas se esse espaço não alocado não for substituído por
novos dados
Use a ferramenta Electronic Evidence Examiner da Paraben para recuperar e coletar mensagens de e-mail excluídas do Outlook e
Clientes de e-mail Thunderbird
O processo de recuperação de uma mensagem de e-mail excluída difere com base no cliente de e-mail usado para
enviar o e-mail:
No Outlook, as mensagens de e-mail, uma vez excluídas, são movidas para a pasta “Itens Excluídos”. Os e-
mails excluídos são armazenados na pasta “Itens Excluídos” por 14 dias (um período de retenção padrão que
pode ser modificado), após o qual as mensagens são excluídas automaticamente dessa pasta. Caso esses e-
mails excluídos também sejam removidos desta pasta, eles se tornam invisíveis para o usuário. No entanto,
eles não são totalmente excluídos, mas movidos para o espaço não alocado da unidade. As mensagens de e-
mail excluídas podem ser recuperadas se esse espaço não alocado não for substituído por novos dados.
Esses e-mails podem ser recuperados com ferramentas forenses, como o Electronic Evidence Examiner (E3)
da Paraben, caso ainda não tenham sido substituídos.
O Thunderbird armazena as mensagens de e-mail deletadas pelo usuário na pasta “Lixeira”. A pasta “Lixeira”
armazena as mensagens de e-mail excluídas até que sejam limpas. Ferramentas forenses, como o Electronic
Evidence Examiner (E3) da Paraben, podem recuperar essas mensagens de e-mail excluídas, dependendo
de quanto tempo a recuperação é tentada. Se qualquer mensagem de e-mail armazenada na pasta Lixeira
local do Thunderbird for excluída, sua recuperação completa é possível.
Investigadores forenses podem recuperar dados de e-mail excluídos permanentemente de arquivos .pst do Outlook e
Thunderbird usando ferramentas como o Electronic Evidence Examiner da Paraben. Aqui, dados de e-mail excluídos
permanentemente referem-se a mensagens de e-mail excluídas que foram excluídas ou perdidas do
Pasta “Itens Excluídos” no contexto do Outlook e para aqueles que foram excluídos ou perdidos da pasta “Lixeira”,
bem como da pasta “Lixeira Local” do Thunderbird.
O E3 é uma ferramenta abrangente de análise forense digital projetada para lidar com dados com mais
eficiência, ao mesmo tempo em que adere ao paradigma P2 da Paraben de foco especializado de todo o
processo de exame forense. A plataforma E3 usa a arquitetura de plug-in avançada da Paraben para criar
mecanismos especializados que examinam elementos como e-mail, e-mail de rede, logs de bate-papo, dados
móveis, sistemas de arquivos e análise de arquivos da Internet - ao mesmo tempo em que aumenta a
quantidade de dados que podem ser processados e utilizando recursos através de multi-threading e
agendamento de tarefas. O Electronic Evidence Examiner não é apenas acessível, mas também funciona de
forma eficaz com requisitos de hardware mais baixos.
Você pode ver o corpo do e-mail recuperado, os anexos e seus cabeçalhos RFC e usar as informações para análise
posterior
A captura de tela abaixo mostra a recuperação de duas mensagens de e-mail pelo Electronic Email
Examiner da Paraben que foram excluídas dos arquivos .pst locais do Outlook. Você pode ver o corpo do
e-mail recuperado, os anexos e seus cabeçalhos RFC e usar as informações para análise posterior.
Figura 11.31: Recuperação de mensagens de e-mail excluídas de arquivos .pst do Outlook no E3 da Paraben
Resumo do módulo
Este módulo discutiu o sistema de e-mail
Por fim, este módulo terminou com uma discussão detalhada sobre a investigação de
crimes por e-mail e suas etapas
Resumo do módulo
Este módulo discutiu o sistema de e-mail e os componentes envolvidos na comunicação por e-mail.
Além disso, discutiu em detalhes as partes de uma mensagem de e-mail. Por fim, este módulo apresentou uma discussão
detalhada sobre a investigação de crimes por e-mail e suas etapas.