Phenquestions
Имейл архитектура:
Когато потребителят изпрати имейл, той не влиза директно в пощенския сървър в края на получателя; по-скоро преминава през различни пощенски сървъри.
MUA е програмата в края на клиента, която се използва за четене и съставяне на имейли. Има различни MUA като Gmail, Outlook и т.н. Всеки път, когато MUA изпрати съобщение, то отива към MTA, който декодира съобщението и идентифицира местоположението, което е предназначено да бъде изпратено, като чете информация за заглавката и модифицира заглавката му, като добавя данни, след което го предава на MTA в приемащия край. Последният MTA, присъстващ непосредствено преди MUA, декодира съобщението и го изпраща на MUA в приемащия край. Ето защо в заглавката на имейла можем да намерим информация за множество сървъри.
Анализ на заглавката на имейл:
Криминалистиката по електронната поща започва с изучаването на електронната поща заглавна част тъй като съдържа огромно количество информация за имейл съобщението. Този анализ се състои както от проучване на тялото на съдържанието, така и от заглавката на имейла, съдържаща информацията за дадения имейл. Анализът на заглавията на имейли помага при идентифицирането на повечето престъпления, свързани с имейли като фишинг на копия, спам, подправяне на имейли и т.н. Подправянето е техника, при която човек може да се преструва на някой друг и нормален потребител за миг би си помислил, че това е негов приятел или някой, когото вече познава. Просто някой изпраща имейли от фалшивия имейл адрес на приятеля си и не е, че акаунтът му е хакнат.
Анализирайки заглавията на имейли, човек може да разбере дали имейлът, който е получил, е от фалшив имейл адрес или реален. Ето как изглежда заглавката на имейл:
Доставено до: [имейл защитен]Получено: до 2002: a0c: f2c8: 0: 0: 0: 0: 0 с SMTP идентификатор c8csp401046qvm;
Сряда, 29 юли 2020 05:51:21 -0700 (PDT)
X-получено: до 2002: a92: 5e1d :: с SMTP идентификатор s29mr19048560ilb.245.1596027080539;
Сряда, 29 юли 2020 05:51:20 -0700 (PDT)
ARC-Seal: i = 1; a = rsa-sha256; t = 1596027080; cv = няма;
d = google.com; s = дъга-20160816;
b = Um / is48jrrqKYQMfAnEgRNLvGaaxOHC9z9i / vT4TESSIjgMKiQVjxXSFupY3PiNtMa
9FPI1jq3C4PVsHodzz6Ktz5nqAWwynr3jwld4BAWWR / HBQoZf6LOqlnTXJskXc58F + ik
4nuVw0zsWxWbnVI2mhHzra // g4L0p2 / eAxXuQyJPdso / ObwQHJr6G0wUZ + CtaYTIjQEZ
dJt6v9I2QGDiOsxMZz0WW9nFfh5juZtg9AJZ5ruHkbufBYpL / sFoMiUN9aBLJ8HBhJBN
xpPAEyQI4leZT + DQY + ukoXRFQIWDNEfkB5l18GcSKurxn5 / K8cPI / KdJNxCKVhTALdFW
Or2Q ==
ARC-Съобщение-подпис: i = 1; a = rsa-sha256; c = отпуснат / отпуснат; d = google.com; s = дъга-20160816;
h = до: subject: message-id: date: from: mime-version: dkim-signature;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = xs6WIoK / swyRWSYw7Nrvv8z1Cx8eAhvlBqBZSbRQTVPvFCjszF4Eb1dWM0s5V + cMAi
DbkrMBVVxxTdw7 + QWU0CMUimS1 + 8iktDaJ6wuAHu2U9rfOHkY6EpTSDhK2t9BwfqO / + I
wbM + t6yT5kPC7iwg6k2IqPMb2 + BHQps6Sg8uk1GeCJlFlz9TICELcvmQMBaIP // SNlo9
HEa5iBNU3eQ24eo3bf1UQUGSC0LfslI2Ng1OXKtneFKEOYSr16zWv8Tt4lC1YgaGLDqf
UYlVoXEc / rOvmWMSz0bf6UxT1FQ62VLJ75re8noQuJIISiNf1HPZuRU6NRiHufPxcis2
1axg ==
ARC-Authentication-Results: i = 1; mx.google.com;
dkim = преминете заглавката [имейл защитен].s = 20161025 заглавка.b = JygmyFja;
spf = pass (google.com: домейнът на [имейл защитен] обозначава 209.85.22000 като
разрешен подател) [имейл защитен];
dmarc = пропуск (p = NONE sp = QUARANTINE dis = NONE) заглавка.от = gmail.com
Път за връщане: <[email protected]>
Получено: от mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])
от mx.google.com с SMTPS id n84sor2004452iod.19.2020 г.07.29.00.00.00
за <[email protected]>
(Google Transport Security);
Сряда, 29 юли 2020 05:51:20 -0700 (PDT)
Получено-SPF: pass (google.com: домейн на [имейл защитен] обозначава 209.85.000.00
като разрешен подател) client-ip = 209.85.000.00;
Резултати за удостоверяване: mx.google.com;
dkim = пропуск [имейл защитен] заглавка.s = 20161025 заглавка.b = JygmyFja;
spf = pass (google.com: обозначава домейн на [имейл защитен]
209.85.000.00 като разрешен подател) [имейл защитен];
dmarc = пропуск (p = NONE sp = QUARANTINE dis = NONE) заглавка.от = gmail.com
DKIM-подпис: v = 1; a = rsa-sha256; c = отпуснат / отпуснат;
d = gmail.com; s = 20161025;
h = mime-version: от: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = JygmyFjaBHIYkutqXm1fhUEulGQz37hwzUBnWhHr8hwogrmoEUSASqiBwRhSq4Aj9J
dvwPSUfs0loOOTindXQJ5XMWRIa1L8qSyrMys6QaeZhG4Z / Oq0FdD3l + RNqRaPB4ltK1
utXVPo2v5ntiwpJWeeySXDq + SY9QrFIXjM8tS18oihnzIfOze6S4kgI4KCb + wWUXbn98
UwfU4mA4QChXBNhj4wuJL8k7xkrCZbrVSefhRSqPzaEGNdbjX8dgmWZ8mkxnZZPx2GYt
olCK + j + qgAMuGh7EScau + u6yjEAyZwoW / 2Ph5n9c82TSNrAXE0stvnweUe8RzPRYe4By
SkKQ ==
X-Google-DKIM-Подпис: v = 1; a = rsa-sha256; c = отпуснат / отпуснат;
d = 1e100.мрежа; s = 20161025;
h = x-gm-message-state: mime-version: from: date: message-id: subject: to;
bh = DYQlcmdIhSjkf9Cy8BJWGM + FXerhsisaYNX7ejF + n3g =;
b = Rqvb // v4RG9c609JNZKlhU8VYqwzmuxGle1xGfoCfisumSIizvlx9QpHmbgLbtfjHT
IBEiYtARm1K7goMQP4t2VnTdOqeOqmvI + wmcGG6m4kd4UdeJ87YfdPLug82uhdnHqwGk
bbadWLH9g / v3XucAS / tgCzLTxUK8EpI0GdIqJj9lNZfCOEm + Bw / vi9sIUhVZbXlgfc0U
jJX4IMElRlB1gMWNe41oC0Kol7vKRiPFzJpIU52Dony09zk6QQJElubY3uqXwqvcTixB
W1S4Qzhh7V5fJX4pimrEAUA5i10Ox0Ia + vEclI5vWdSArvPuwEq8objLX9ebN / aP0Ltq
FFIQ ==
Състояние на съобщението X-Gm: AOAM532qePHWPL9up8ne / 4rUXfRYiFKwq94KpVN551D9vW38aW / 6GjUv
5v5SnmXAA95BiiHNKspBapq5TCJr1dcXAVmG7GXKig ==
X-Google-Smtp-Източник: ABdhPJxI6san7zOU5oSQin3E63tRZoPuLaai + UwJI00yVSjv05o /
N + ggdCRV4JKyZ + 8 / abtKcqVASW6sKDxG4l3SnGQ =
X-получено: до 2002: a05: 0000: 0b :: с SMTP id v11mr21571925jao.122.1596027079698;
Сряда, 29 юли 2020 05:51:19 -0700 (PDT)
MIME-версия: 1.0
От: Маркус Стойнис <[email protected]>
Дата: сряда, 29 юли 2020 17:51:03 +0500
Идентификатор на съобщението: <[email protected]om>
Предмет:
До: [имейл защитен]
Тип съдържание: многочасти / алтернатива; граница = "00000000000023294e05ab94032b"
--00000000000023294e05ab94032b
Тип съдържание: текст / обикновен; charset = "UTF-8"
За да се разбере заглавната информация, трябва да се разбере структурираният набор от полета в таблицата.
X-очевидно за: Това поле е полезно, когато имейлът се изпраща до повече от един получател, като например СКС или пощенски списък. Това поле съдържа адрес до ДА СЕ полето, но в случай на оцветяване, X-Очевидно на полето е различно. И така, това поле указва адреса на получателя, въпреки че имейлът е изпратен като cc, bcc или от някакъв пощенски списък.
Път за връщане: Полето Return-path съдържа пощенския адрес, който подателят е посочил в полето From.
Получен SPF: Това поле съдържа домейна, от който идва пощата. В този случай си
Получено-SPF: pass (google.com: домейн на [имейл защитен] обозначава 209.85.000.00 като разрешен подател) client-ip = 209.85.000.00;
Съотношение на X-спам: На приемащия сървър или MUA има софтуер за филтриране на нежелана поща, който изчислява резултата от спам. Ако резултатът от спам надвиши определено ограничение, съобщението автоматично се изпраща в папката за спам. Няколко MUA използват различни имена на полета за резултати от спам като Съотношение X-спам, състояние X-спам, флаг X-спам, ниво X-спам и т.н.
Получено: Това поле съдържа IP адреса на последния MTA сървър в края на изпращането, който след това изпраща имейла до MTA в приемащия край. На някои места това може да се види под Х-произхожда от поле.
Заглавна част на X-сито: Това поле указва името и версията на системата за филтриране на съобщения. Това се отнася до езика, използван за определяне на условия за филтриране на имейл съобщенията.
X-спам набори: Това поле съдържа информация за набори от символи, използвани за филтриране на имейли като UTF и т.н. UTF е добър набор от символи, който има способността да бъде обратно съвместим с ASCII.
X-решен до: Това поле съдържа имейл адреса на получателя или можем да кажем адреса на пощенския сървър, на който MDA на изпращача доставя. В повечето случаи, X-доставено на, и това поле съдържа същия адрес.
Резултати за удостоверяване: Това поле казва дали получената поща от дадения домейн е преминала DKIM подписи и Домейн ключове подпис или не. В този случай е така.
Резултати за удостоверяване: mx.google.com;dkim = пропуск [имейл защитен] заглавка.s = 20161025 заглавка.b = JygmyFja;
spf = pass (google.com: обозначава домейн на [имейл защитен]
209.85.000.00 като разрешен подател)
Получено: Първото получено поле съдържа информация за проследяване, тъй като IP на машината изпраща съобщение. Той ще покаже името на устройството и неговия IP адрес. Точните дата и час на получаване на съобщението могат да се видят в това поле.
Получено: от mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.000.00])от mx.google.com с SMTPS id n84sor2004452iod.19.2020 г.07.29.00.00.00
за <[email protected]>
(Google Transport Security);
Сряда, 29 юли 2020 05:51:20 -0700 (PDT)
До, от и предмет: Полетата „До“, „от“ и „тема“ съдържат информация за имейл адреса на получателя, имейл адреса на подателя и темата, посочена по време на изпращането на имейла от подателя съответно. Полето на темата е празно, в случай че подателят го остави по този начин.
Заглавки на MIME: За MUA да извърши правилно декодиране, така че съобщението да бъде изпратено безопасно до клиента, MIME трансферно кодиране, MIME съдържанието, неговата версия и дължина са важна тема.
MIME-версия: 1.0Тип съдържание: текст / обикновен; charset = "UTF-8"
Тип съдържание: многочаст / алтернатива; граница = "00000000000023294e05ab94032b"
Идентификатор на съобщението: Съобщението-id съдържа име на домейн, добавено с уникалния номер от изпращащия сървър.
Идентификатор на съобщението: <[email protected]om>Разследване на сървъра:
При този тип разследване се изследват дубликати на предадени съобщения и трудови дневници, за да се различи източникът на имейл. Дори ако клиентите (податели или бенефициенти) изтрият своите имейл съобщения, които не могат да бъдат възстановени, тези съобщения могат да бъдат регистрирани от сървъри (прокси или доставчици на услуги) на големи порции. Тези прокси съхраняват дубликат на всички съобщения след предаването им. Освен това дневниците, поддържани от работниците, могат да бъдат концентрирани, за да следват местоположението на компютъра, който отговаря за извършване на размяна на имейли. Във всеки случай прокси или ISP съхраняват дубликатите на имейли и регистрационни файлове на сървъра само за известно време, а някои може да не си сътрудничат с криминалисти. Освен това служителите на SMTP, които съхраняват информация като номер на Visa и друга информация, свързана със собственика на пощенската кутия, могат да бъдат използвани за разграничаване на лица зад имейл адрес.
Тактика на стръвта:
В разследване от този тип имейл с http: „” таг с източник на изображение на всеки компютър, проверен от проверяващите, се изпраща на подателя на разследвания имейл, съдържащ истински (автентични) имейл адреси. В момента, когато имейлът е отворен, на HTTP сървъра се записва секторна секция, съдържаща IP адреса на този в приемащия край (подател на виновника), този, който хоства изображението и по тези линии изпращачът е последва. Във всеки случай, ако лицето в приемащия край използва прокси, тогава IP адресът на прокси сървъра се проследява.
Прокси сървърът съдържа дневник и той може да бъде използван допълнително за проследяване на изпращача на разследвания имейл. В случай, че дори дневникът на прокси сървъра е недостъпен поради някакво обяснение, в този момент проверяващите могат да изпратят гадния имейл с Вградена Java Applet, който работи на компютърната система на получателя или HTML страница с Active X Object да проследят желания от тях човек.
Разследване на мрежово устройство:
Мрежови устройства като защитни стени, ройтери, суичове, модеми и др. съдържат регистрационни файлове, които могат да се използват при проследяване на източника на имейл. При този тип разследване тези регистрационни файлове се използват, за да се проучи източникът на имейл съобщение. Това е много сложен тип криминалистично разследване и се използва рядко. Често се използва, когато регистрационните файлове на прокси или ISP доставчик са недостъпни по някаква причина като липса на поддръжка, мързел или липса на поддръжка от доставчика на ISP.
Вградени софтуерни идентификатори:
Някои данни за композитора на записи или архиви, свързани с имейл, могат да бъдат включени в съобщението от софтуера за електронна поща, използван от подателя за съставяне на пощата. Тези данни може да се запомнят за типа персонализирани заглавки или като MIME съдържание като TNE формат. Изследването на имейла за тези тънкости може да разкрие някои основни данни за предпочитанията и избора на имейли на подателите, които биха могли да подкрепят събирането на доказателства от страна на клиента. Изследването може да разкрие имена на PST документи, MAC адрес и т.н. на компютъра на клиента, използван за изпращане на имейл съобщения.
Анализ на прикачени файлове:
Сред вирусите и зловредния софтуер повечето от тях се изпращат чрез имейл връзки. Разглеждането на прикачени файлове към имейл е спешно и от решаващо значение при всеки изпит, свързан с имейл. Разтичането на частни данни е друга важна област на изследване. Има софтуер и инструменти, достъпни за възстановяване на информация, свързана с имейли, например прикачени файлове от твърди дискове на компютърна система. За проверка на съмнителни връзки следователите качват прикачените файлове в онлайн пясъчник, например VirusTotal, за да проверят дали документът е злонамерен софтуер или не. Както и да е, от решаващо значение е да управлявате в горната част на списъка с приоритети, че независимо дали записът преминава през оценка, например VirusTotal, това не е гаранция, че е напълно защитен. Ако това се случи, е разумна мисъл да проучите допълнително записа в ситуация на пясъчник, например Кукувица.
Отпечатъци на изпращача на изпращача:
При разглеждане Получено поле в заглавките, софтуерът, който се грижи за имейлите в края на сървъра, може да бъде идентифициран. От друга страна, при разглеждане на X-mailer полето, софтуерът, който се грижи за имейлите в края на клиента, може да бъде идентифициран. Тези полета за заглавие изобразяват софтуер и техните версии, използвани в края на клиента за изпращане на имейла. Тези данни за клиентския компютър на подателя могат да бъдат използвани за подпомагане на проверяващите при формулирането на мощна стратегия и по този начин тези редове в крайна сметка са много ценни.
Инструменти за криминалистика по имейл:
През последното десетилетие бяха създадени няколко инструмента или софтуера за разследване на местопрестъпления по имейл. Но по-голямата част от инструментите са създадени изолирано. Освен това повечето от тези инструменти не трябва да решават конкретен проблем, свързан с неправомерни цифрови или компютърни проблеми. Вместо това се планира да търсят или възстановяват данни. Подобренията в инструментите за криминалистика улесняват работата на следователя, а в интернет има много страхотни инструменти. Някои инструменти, използвани за анализ на криминалистика по имейл, са посочени по-долу:
EmailTrackerPro:
EmailTrackerPro изследва заглавките на имейл съобщение, за да разпознае IP адреса на машината, изпратила съобщението, за да може да се намери подателят. Той може да следва различни съобщения едновременно и ефективно да ги наблюдава. Местоположението на IP адресите е ключова информация за определяне на нивото на опасност или легитимността на имейл съобщение. Този страхотен инструмент може да се придържа към града, от който имейлът по всяка вероятност произхожда. Той разпознава интернет доставчика на подателя и предоставя данни за контакт за допълнително проучване. Истинският път до IP адреса на подателя се отчита в таблица за управление, като се предоставят допълнителни данни за площ, които да помогнат за решаването на действителната площ на подателя. Елементът за докладване на злоупотреба в него много добре може да бъде използван за улесняване на по-нататъшното разглеждане. За да се предпази от нежелана поща, той проверява и проверява имейлите срещу черните списъци със спам, например Spamcops. Той поддържа различни езици, включително японски, руски и китайски филтри за спам, заедно с английски. Значителен елемент на този инструмент е злоупотребата с разкриването, която може да направи отчет, който може да бъде изпратен до доставчика на услуги (ISP) на подателя. След това доставчикът на интернет услуги може да намери начин да намери притежателите на акаунти и да помогне за спирането на спама.
Xtraxtor:
Този страхотен инструмент Xtraxtor е създаден, за да отдели имейл адреси, телефонни номера и съобщения от различни файлови формати. Той естествено различава областта по подразбиране и бързо проучва информацията за имейла вместо вас. Клиентите могат да го направят без голямо разтягане, като извличат имейл адреси от съобщения и дори от прикачени файлове. Xtraxtor възстановява изтрити и нечистени съобщения от множество конфигурации на пощенски кутии и IMAP пощенски акаунти. Освен това той има лесен за научаване интерфейс и добра помощна функция за улесняване на дейността на потребителя и спестява куп време с бързата си електронна поща, подготвяйки моторни и де-дублиращи функции. Xtraxtor е съвместим с MBOX файловете на Mac и Linux системите и може да предостави мощни функции, за да намери подходяща информация.
Advik (инструмент за архивиране на имейл):
Advik, инструмент за архивиране на имейли, е много добър инструмент, който се използва за прехвърляне или експортиране на всички имейли от пощенската кутия, включително всички папки като изпратени, чернови, входяща поща, спам и т.н. Потребителят може да изтегли архива на всеки имейл акаунт без много усилия. Конвертирането на архивиране на имейли в различни файлови формати е друга чудесна характеристика на този страхотен инструмент. Основната му характеристика е Предварителен филтър. Тази опция може да спести огромно време, като експортира съобщенията за нуждите ни от пощенската кутия за нула време. IMAP Функцията дава възможност за извличане на имейли от базирани в облака хранилища и може да се използва с всички доставчици на имейл услуги. Адвик може да се използва за съхраняване на резервни копия на желаното от нас местоположение и поддържа множество езици заедно с английски, включително японски, испански и френски.
Systools MailXaminer:
С помощта на този инструмент на клиента се разрешава да променя своите канали за лов, разчитайки на ситуациите. Той дава на клиентите алтернатива да разгледат съобщенията и връзките. Нещо повече, този инструмент за криминалистична електронна поща допълнително предлага всеобхватна помощ за научно изследване на имейли както на работната област, така и на администрациите на електронна поща. Той позволява на проверяващите да се справят с повече от един случай чрез и по законен начин. По същия начин, с помощта на този инструмент за анализ на имейли, специалистите могат дори да преглеждат подробностите за чата, да извършват проверка на обажданията и да преглеждат подробности за съобщенията между различни клиенти на приложението Skype. Основните характеристики на този софтуер са, че поддържа множество езици, заедно с английски, включително японски, испански и френски и китайски, а форматът, в който възстановява изтритите писма, е приемлив от съда. Той осигурява изглед за управление на дневници, в който се показва добър изглед на всички дейности. Systools MailXaminer е съвместим с dd, e01, zip и много други формати.
Рекламация:
Има инструмент, наречен Рекламирайте се който се използва за отчитане на търговски имейли и публикации в ботнет, а също и реклами като „бързи пари“, „бързи пари“ и т.н. Самата Adcomplain извършва анализ на заглавията на подателя на имейла, след като идентифицира такава поща и я докладва на доставчика на доставчика на подателя.
Заключение:
електронна поща се използва от почти всеки човек, използващ интернет услуги по целия свят. Измамниците и киберпрестъпниците могат да фалшифицират заглавки на имейли и да изпращат имейли със злонамерено и измамно съдържание анонимно, което може да доведе до компрометиране на данни и хакове. И това е, което добавя към важността на съдебната експертиза по имейл. Киберпрестъпниците използват няколко начина и техники, за да излъжат своята самоличност като:
- Подправяне:
За да скрият собствената си самоличност, лошите хора подправят заглавките на имейлите и ги попълват с грешна информация. Когато подправянето на имейли се комбинира с подправяне на IP, е много трудно да се проследи действителният човек зад него.
- Неразрешени мрежи:
Мрежите, които вече са компрометирани (включително кабелна и безжична и двете), се използват за изпращане на спам имейли, за да се скрие самоличността.
- Отворени релета за поща:
Погрешно конфигурирано пощенско реле приема имейли от всички компютри, включително тези, от които не бива да приема. След това го препраща към друга система, която също трябва да приема пощата от конкретни компютри. Този тип пощенско реле се нарича отворено пощенско реле. Този вид реле се използва от измамници и хакери, за да скрият самоличността си.
- Отворете прокси:
Машината, която позволява на потребителите или компютрите да се свързват чрез нея с други компютърни системи, се нарича a Прокси сървър. Има различни видове прокси сървъри като корпоративен прокси сървър, прозрачен прокси сървър и т.н. в зависимост от вида на анонимността, която предоставят. Отвореният прокси сървър не проследява записи на потребителски дейности и не поддържа регистрационни файлове, за разлика от други прокси сървъри, които поддържат записи на потребителски дейности с подходящи времеви печати. Тези видове прокси сървъри (отворени прокси сървъри) осигуряват анонимност и поверителност, което е ценно за измамника или лошия човек.
- Анонимизатори:
Анонимизаторите или препращачите са уебсайтовете, работещи под прикритието за защита на поверителността на потребителя в Интернет и ги правят анонимни, като умишлено пускат заглавките от имейла и като не поддържат регистрационни файлове на сървъра.
- SSH тунел:
В интернет тунелът означава сигурен път за данни, пътуващи в ненадеждна мрежа. Тунелирането може да се извърши по различни начини, които зависят от използвания софтуер и техника. Използване на функцията SSH Може да се установи тунелиране на пренасочване на портове SSH и се създава криптиран тунел, който използва връзката SSH протокол. Измамниците използват SSH тунелиране при изпращане на имейли, за да скрият самоличността си.
- Ботнети:
Терминът бот, получен от „ro-bot“ в неговата конвенционална структура, се използва за изобразяване на съдържание или набор от съдържание или програма, предназначена да изпълнява предварително дефинирани произведения отново и отново и следователно след активирането умишлено или чрез системна инфекция. Въпреки факта, че ботовете започнаха като полезен елемент за предаване на тъжни и досадни дейности, но те са малтретирани за злонамерени цели. Ботовете, които се използват за изпълнение на реални упражнения по механизиран начин, се наричат любезни ботове, а тези, които са предназначени за злонамерена цел, са известни като злонамерени ботове. Ботнет е система от ботове, ограничени от ботмайстор. Ботмайсторът може да нареди на контролираните си ботове (злокачествени ботове), работещи на подкопани компютри по целия свят, да изпращат имейли до някои определени места, като същевременно прикриват характера си и извършват измама с имейл или измама по имейл.
- Непроследими интернет връзки:
Интернет кафене, университетски кампус, различни организации предоставят достъп до интернет на потребителите чрез споделяне на интернет. В този случай, ако не се поддържа правилен дневник за дейностите на потребителите, е много лесно да се правят незаконни дейности и измами по имейл и да се избяга.
Съдебният анализ на имейли се използва за намиране на действителния подател и получател на имейл, дата и час, в който е получен и информацията за междинните устройства, участващи в доставката на съобщението. Налични са и различни инструменти за ускоряване на задачите и лесно намиране на желаните ключови думи. Тези инструменти анализират заглавките на имейлите и дават на криминалиста желания резултат за нула време.
