Phenquestions
Архитектура е-поште:
Када корисник пошаље е-пошту, е-пошта не иде директно на поштански сервер на крају примаоца; него пролази кроз различите поштанске сервере.
МУА је програм на крају клијента који се користи за читање и састављање е-поште. Постоје различити МУА-и попут Гмаил-а, Оутлоок-а итд. Кад год МУА пошаље поруку, она иде на МТА који декодира поруку и идентификује локацију коју треба послати читајући информације о заглављу и модификује своје заглавље додавањем података, а затим га прослеђује МТА на крају пријема. Последњи МТА присутан непосредно пре МУА декодира поруку и шаље је МУА на крају пријема. Због тога у заглављу е-поште можемо пронаћи информације о више сервера.
Анализа заглавља е-поште:
Форензика е-поште започиње проучавањем е-поште заглавље јер садржи огромну количину информација о е-поруци. Ова анализа се састоји од проучавања тела садржаја и заглавља е-поште која садржи информације о датој е-пошти. Анализа заглавља е-поште помаже у идентификовању већине кривичних дела повезаних са е-поштом, попут крађе копља, нежељене поште, подвале е-поште итд. Лажирање је техника помоћу које се може претварати да је неко други, а нормалан корисник би на тренутак помислио да је то његов пријатељ или нека особа коју већ познаје. Само што неко шаље е-пошту са лажне адресе е-поште свог пријатеља, а није да му је налог хакован.
Анализирајући заглавља е-поште, може се знати да ли је е-пошта коју је добио с лажне адресе е-поште или стварна. Ево како изгледа заглавље е-поште:
Испоручено: [заштићен е-поштом]Примљено: до 2002: а0ц: ф2ц8: 0: 0: 0: 0: 0 са СМТП ид ц8цсп401046квм;
Сре, 29. јула 2020. 05:51:21 -0700 (ПДТ)
Кс-Рецеивед: до 2002: а92: 5е1д :: са СМТП ид с29мр19048560илб.245.1596027080539;
Сре, 29. јула 2020. 05:51:20 -0700 (ПДТ)
АРЦ-печат: и = 1; а = рса-сха256; т = 1596027080; цв = нема;
д = гоогле.цом; с = арц-20160816;
б = Ум / ис48јрркКИКМфАнЕгРНЛвГаакОХЦ9з9и / вТ4ТЕССИјгМКиКВјкКССФупИ3ПиНтМа
9ФПИ1јк3Ц4ПВсХодзз6Ктз5нкАВвинр3јвлд4БАВВР / ХБКоЗф6ЛОклнТКСЈскКсц58Ф + ик
4нуВв0зсВкВбнВИ2мхХзра // г4Л0п2 / еАкКсуКиЈПдсо / ОбвКХЈр6Г0вУЗ + ЦтаИТИјКЕЗ
дЈт6в9И2КГДиОскМЗз0ВВ9нФфх5јуЗтг9АЈЗ5руХкбуфБИпЛ / сФоМиУН9аБЉ8ХБхЈБН
кпПАЕиКИ4леЗТ + ДКИ + укоКСРФКИВДНЕфкБ5л18ГцСКуркн5 / К8цПИ / КдЈНкЦКВхТАЛдФВ
Ор2К ==
АРЦ-Потпис поруке: и = 1; а = рса-сха256; ц = опуштено / опуштено; д = гоогле.цом; с = арц-20160816;
х = до: субјецт: мессаге-ид: дате: фром: миме-версион: дким-сигнатуре;
бх = ДИКлцмдИхСјкф9Ци8БЈВГМ + ФКСерхсисаИНКС7ејФ + н3г =;
б = кс6ВИоК / свиРВСИв7Нрвв8з1Цк8еАхвлБкБЗСбРКТВПвФЦјсзФ4Еб1дВМ0с5В + цМАи
ДбкрМБВВкКТдв7 + КВУ0ЦМУимС1 + 8иктДаЈ6вуАХу2У9рфОХкИ6ЕпТСДхК2т9БвфкО / + И
вбМ + т6иТ5кПЦ7ивг6к2ИкПМб2 + БХКпс6Сг8ук1ГеЦЈлФлз9ТИЦЕЛцвмКМБаИП // СНло9
ХЕа5иБНУ3еК24ео3бф1УКУГСЦ0ЛфслИ2Нг1ОКСКтнеФКЕОИСр16зВв8Тт4лЦ1ИгаГЛДкф
УИлВоКСЕц / рОвмВМСз0бф6УкТ1ФК62ВЉ75ре8ноКуЈИИСиНф1ХПЗуРУ6НРиХуфПкцис2
1акг ==
Резултати АРЦ-аутентификације: и = 1; мк.гоогле.цом;
дким = додај заглавље [заштићено е-поштом].с = 20161025 заглавље.б = ЈигмиФја;
спф = пасс (гоогле.цом: домен [заштићен е-поштом] означава 209.85.22000 ас
дозвољени пошиљалац) [заштићен е-поштом];
дмарц = заглавље (п = НОНЕ сп = КУАРАНТИНЕ дис = НОНЕ).фром = гмаил.цом
Повратни пут: <[email protected]>
Примљено: од маил-сор-ф41.гоогле.цом (маил-сор-ф41.гоогле.цом. [209.85.000.00])
од мк.гоогле.цом са СМТПС ид н84сор2004452иод.19.2020.07.29.00.00.00
за <[email protected]>
(Гоогле Транспорт Сецурити);
Сре, 29. јула 2020. 05:51:20 -0700 (ПДТ)
Примљено-СПФ: пасс (гоогле.цом: домен [заштићен е-поштом] означава 209.85.000.00
као дозвољени пошиљалац) цлиент-ип = 209.85.000.00;
Резултати аутентификације: мк.гоогле.цом;
дким = додај заглавље [заштићено е-поштом].с = 20161025 заглавље.б = ЈигмиФја;
спф = пасс (гоогле.цом: означава домен [заштићен е-поштом]
209.85.000.00 као дозвољени пошиљалац) [заштићен е-поштом];
дмарц = заглавље (п = НОНЕ сп = КУАРАНТИНЕ дис = НОНЕ).фром = гмаил.цом
Потпис ДКИМ: в = 1; а = рса-сха256; ц = опуштено / опуштено;
д = гмаил.цом; с = 20161025;
х = миме-версион: фром: дате: мессаге-ид: субјецт: то;
бх = ДИКлцмдИхСјкф9Ци8БЈВГМ + ФКСерхсисаИНКС7ејФ + н3г =;
б = ЈигмиФјаБХИИкуткКсм1фхУЕулГКз37хвзУБнВхХр8хвогрмоЕУСАСкиБвРхСк4Ај9Ј
дввПСУфс0лоООТиндКСКЈ5КСМВРИа1Л8кСирМис6КаеЗхГ4З / Ок0ФдД3л + РНкРаПБ4лтК1
утКСВПо2в5нтивпЈВееиСКСДк + СИ9КрФИКСјМ8тС18оихнзИфОзе6С4кгИ4КЦб + вВУКСбн98
УвфУ4мА4КЦхКСБНхј4вуЈЛ8к7ккрЦЗбрВСефхРСкПзаЕГНдбјКс8дгмВЗ8мккнЗЗПк2ГИт
олЦК + ј + кгАМуГх7ЕСцау + у6ијЕАиЗвоВ / 2Пх5н9ц82ТСНрАКСЕ0ствнвеУе8РзПРИе4Би
СкКК ==
Потпис Кс-Гоогле-ДКИМ: в = 1; а = рса-сха256; ц = опуштено / опуштено;
д = 1е100.нет; с = 20161025;
х = к-гм-мессаге-стате: миме-версион: фром: дате: мессаге-ид: субјецт: то;
бх = ДИКлцмдИхСјкф9Ци8БЈВГМ + ФКСерхсисаИНКС7ејФ + н3г =;
б = Рквб // в4РГ9ц609ЈНЗКлхУ8ВИквзмукГле1кГфоЦфисумСИизвлк9КпХмбгЛбтфјХТ
ИБЕиИтАРм1К7гоМКП4т2ВнТдОкеОкмвИ + вмцГГ6м4кд4УдеЈ87ИфдПЛуг82ухднХквГк
ббадВЛХ9г / в3КсуцАС / тгЦзЛТкУК8ЕпИ0ГдИкЈј9лНЗфЦОЕм + Бв / ви9сИУхВЗбКслгфц0У
јЈКС4ИМЕлРлБ1гМВНе41оЦ0Кол7вКРиПФзЈпИУ52Дони09зк6ККЈЕлубИ3укКсвквцТикБ
В1С4Кзхх7В5фЈКС4пимрЕАУА5и10Ок0Иа + вЕцлИ5вВдСАрвПувЕк8објЛКС9ебН / аП0Лтк
ФФИК ==
Кс-Гм-Стате-Стате: АОАМ532кеПХВПЛ9уп8не / 4рУКСфРИиФКвк94КпВН551Д9вВ38аВ / 6ГјУв
5в5СнмКСАА95БииХНКспБапк5ТЦЈр1дцКСАВмГ7ГКСКиг ==
Кс-Гоогле-Смтп-Извор: АБдхПЈкИ6сан7зОУ5оСКин3Е63тРЗоПуЛааи + УвЈИ00иВСјв05о /
Н + ггдЦРВ4ЈКиЗ + 8 / абтКцкВАСВ6сКДкГ4л3СнГК =
Кс-Рецеивед: до 2002: а05: 0000: 0б :: са СМТП ид в11мр21571925јао.122.1596027079698;
Сре, 29. јула 2020. 05:51:19 -0700 (ПДТ)
МИМЕ-верзија: 1.0
Од: Марцус Стоинис <[email protected]>
Датум: Сре, 29 Јул 2020 17:51:03 +0500
ИД поруке: <[email protected]om>
Предмет:
Коме: [емаил заштићен]
Садржај: вишеделни / алтернативни; бордер = "00000000000023294е05аб94032б"
--00000000000023294е05аб94032б
Садржај: текст / обичан; цхарсет = "УТФ-8"
Да би се разумеле информације о заглављу, мора се разумети структурирани скуп поља у табели.
Очигледно да: Ово поље је корисно када се е-пошта пошаље више примаоцима, попут скривене копије или маилинг листе. Ово поље садржи адресу на ДО поље, али у случају скривене копије, Кс-Очигледно за поље је различито. Дакле, ово поље говори адресу примаоца упркос томе што је е-пошта послата у облику копије, скривене копије или на некој поштанској листи.
Повратна путања: Поље Повратна путања садржи адресу е-поште коју је пошиљалац навео у пољу Од.
Примљени СПФ: Ово поље садржи домен са којег потиче пошта. У овом случају његов
Примљено-СПФ: пасс (гоогле.цом: домен [заштићен е-поштом] означава 209.85.000.00 као дозвољени пошиљалац) цлиент-ип = 209.85.000.00;
Однос Кс-нежељене поште: На пријемном серверу или МУА постоји софтвер за филтрирање нежељене поште који израчунава резултат нежељене поште. Ако резултат нежељене поште пређе одређено ограничење, порука се аутоматски шаље у директоријум за нежељену пошту. Неколико МУА користи различита имена поља за резултате нежељене поште, попут Однос Кс-нежељене поште, статус Кс-нежељене поште, заставица Кс-нежељене поште, ниво Кс-нежељене поште итд.
Примљен: Ово поље садржи ИП адресу последњег МТА сервера на крају слања који затим шаље е-пошту МТА на крају пријема. Понегде се то може видети под Кс потиче из поље.
Заглавље Кс-сита: Ово поље наводи име и верзију система за филтрирање порука. Ово се односи на језик који се користи за одређивање услова за филтрирање е-порука.
Кс-спам скупови: Ово поље садржи информације о скуповима знакова који се користе за филтрирање е-адреса попут УТФ итд. УТФ је добар скуп знакова који има могућност повратне компатибилности са АСЦИИ.
Решено у Кс: Ово поље садржи адресу е-поште примаоца или можемо рећи адресу сервера поште на који МДА пошиљаоца доставља. Већину времена, Кс-испоручено до, а ово поље садржи исту адресу.
Резултати аутентификације: Ово поље говори да ли је примљена пошта са датог домена прошла ДКИМ потписа и Кључеви домена потпис или не. У овом случају, има.
Резултати аутентификације: мк.гоогле.цом;дким = додај заглавље [заштићено е-поштом].с = 20161025 заглавље.б = ЈигмиФја;
спф = пасс (гоогле.цом: означава домен [заштићен е-поштом]
209.85.000.00 као дозвољени пошиљалац)
Примљен: Прво примљено поље садржи информације о праћењу док ИП уређаја шаље поруку. Приказаће име уређаја и његову ИП адресу. Тачан датум и време када је порука примљена могу се видети у овом пољу.
Примљено: од маил-сор-ф41.гоогле.цом (маил-сор-ф41.гоогле.цом. [209.85.000.00])од мк.гоогле.цом са СМТПС ид н84сор2004452иод.19.2020.07.29.00.00.00
за <[email protected]>
(Гоогле Транспорт Сецурити);
Сре, 29. јула 2020. 05:51:20 -0700 (ПДТ)
До, од и предмет: Поља „То“, „фром“ и „субјецт“ садрже информације о адреси е-поште примаоца, адреси е-поште пошиљаоца и предмету наведеном у тренутку слања е-поште од стране пошиљаоца. Поље предмета је празно у случају да га пошиљалац тако оставља.
МИМЕ заглавља: За МУА да изврши правилно декодирање тако да се порука безбедно пошаље клијенту, МИМЕ преносно кодирање, МИМЕ садржај, његова верзија и дужина су важна тема.
МИМЕ-верзија: 1.0Садржај: текст / обичан; цхарсет = "УТФ-8"
Садржај: вишеделни / алтернативни; бордер = "00000000000023294е05аб94032б"
ИД поруке: Ид поруке садржи назив домена који је јединствени број додао сервер за слање.
ИД поруке: <[email protected]om>Истрага сервера:
У овој врсти истраге истражују се дупликати пренесених порука и евиденције радника како би се разликовао извор е-поште. Чак и ако купци (пошиљаоци или корисници) избришу своје поруке е-поште које се не могу повратити, сервери (проксији или добављачи услуга) ове поруке могу евидентирати у великим деловима. Ови пуномоћници чувају дупликат свих порука након преноса. Даље, евиденције које воде радници могу се концентрисати да прате локацију рачунара који одговара за размену е-поште. У сваком случају, проки или ИСП чувају дупликате евиденција е-поште и сервера само неко време, а неки можда неће сарађивати са форензичким истражитељима. Даље, СМТП радници који чувају информације попут броја Виса и других података који се односе на власника поштанског сандучета могу се користити за разликовање појединаца иза адресе е-поште.
Тактика мамца:
У истрази ове врсте, имејл са хттп: „” ознака са извором слике на било ком рачунару који су проверили испитивачи шаље се пошиљаоцу е-поште под истрагом која садржи оригиналне (аутентичне) адресе е-поште. У тренутку када се е-пошта отвори, одељак дневника који садржи ИП адресу оног на крају пријема (пошиљаоца кривца) бележи се на ХТТП серверу, онај који хостује слику, а дуж ових линија пошиљалац је затим. У сваком случају, ако особа на пријему користи прокси, тада се проналази ИП адреса прокси сервера.
Проки сервер садржи евиденцију и он се може даље користити за праћење пошиљаоца е-поште под истрагом. У случају да чак ни евиденција прокси сервера није доступна због неког објашњења, испитивачи у том тренутку могу послати гадну е-пошту са Уграђена Јава Апплет који ради на рачунарском систему примаоца или ХТМЛ страница са активним Кс објектом да уђу у траг њиховој жељеној особи.
Истрага мрежног уређаја:
Мрежни уређаји попут заштитних зидова, реутера, прекидача, модема итд. садрже евиденције које се могу користити за праћење извора е-поште. У овој врсти истраге, ови дневници се користе да би се истражили извор поруке е-поште. Ово је врло сложен тип форензичке истраге и ретко се користи. Често се користи када су евиденције проки или ИСП добављача недоступне из неког разлога као што су недостатак одржавања, лењост или недостатак подршке ИСП провајдера.
Идентификатори уграђени у софтвер:
Неки подаци о композитору записа или архива придружених е-поштом могу бити уврштени у поруку помоћу софтвера за е-пошту који користи пошиљалац за састављање поште. Ови подаци се можда памте по типу прилагођених заглавља или као МИМЕ садржај као ТНЕ формат. Истраживање е-поште ради ових суптилности може открити неке кључне податке о преференцијама и изборима е-поште пошиљалаца који би могли подржати прикупљање доказа на страни клијента. Преглед може открити имена ПСТ докумената, МАЦ адресу и тако даље на корисничком рачунару који се користи за слање е-порука.
Анализа прилога:
Међу вирусима и злонамерним софтвером, већина њих се шаље путем е-маил веза. Испитивање прилога е-поште је хитно и кључно у било ком прегледу везаном за е-пошту. Просипање приватних података је још једно значајно поље испитивања. Постоје софтвер и алати доступни за надокнађивање информација повезаних са е-поштом, на пример прилога са чврстих дискова рачунарског система. За испитивање сумњивих веза, истражитељи отпремају прилоге у мрежно окружење, на пример, ВирусТотал да би проверили да ли је документ злонамерни софтвер или не. Било како било, пресудно је за управљање на врху листе приоритета да без обзира на то да ли запис пролази кроз процену, на пример, ВирусТотал-а, ово није сигурност да је у потпуности заштићен. Ако се то догоди, паметно је истражити запис даље у ситуацији у песковитом окружењу, на пример, Кукавица.
Отисци прстију пошиљаоца пошиљаоца:
На испитивању Примљен поље у заглављима, софтвер који се брине о е-порукама на крају сервера може се идентификовати. С друге стране, након испитивања Кс-маилер поље, софтвер који води рачуна о е-порукама на крају клијента може се идентификовати. Ова поља заглавља приказују софтвер и њихове верзије које се користе на крају клијента за слање е-поште. Ови подаци о клијентском рачунару пошиљаоца могу се користити за помоћ испитивачима у формулисању моћне стратегије, па су ови редови на крају веома вредни.
Алат за форензику путем е-поште:
У последњој деценији створено је неколико алата или софтвера за истраживање места злочина. Али већина алата је створена изоловано. Поред тога, већина ових алата не би требало да реши одређено питање повезано са дигиталним злочинима или рачунаром. Уместо тога, планирано је да траже или обнављају податке. Побољшани су форензички алати који су олакшали рад истражитеља, а на интернету су доступни бројни сјајни алати. Неки алати који се користе за форензичку анализу е-поште су испод:
ЕмаилТрацкерПро:
ЕмаилТрацкерПро истражује заглавља поруке е-поште како би препознао ИП адресу уређаја који је послао поруку како би пошиљалац могао бити пронађен. Може истовремено пратити различите поруке и ефикасно их надгледати. Локација ИП адреса је кључни податак за одлучивање о степену опасности или легитимитету е-поруке. Овај сјајни алат може се држати града из којег је е-пошта највероватније потекла. Препознаје ИСП пошиљаоца и даје контакт податке за даље испитивање. Прави пут до ИП адресе пошиљаоца забележен је у табели управљања, дајући додатне податке о површини који помажу у одлуци о стварној површини пошиљаоца. Елемент пријаве злоупотребе у њему врло добро може бити употребљен за поједностављивање даљег испитивања. Да би се заштитио од нежељене е-поште, проверава и верификује е-пошту на црним листама нежељене поште, на пример Спамцопс. Подржава различите језике, укључујући јапански, руски и кинески филтер за нежељену пошту, заједно са енглеским. Значајан елемент овог алата је злоупотреба откривања која може направити извештај који се може послати добављачу услуга (ИСП) пошиљаоца. Тада ИСП може пронаћи начин да пронађе власнике рачуна и помоћи у гашењу нежељене поште.
Кстрактор:
Овај сјајни алат Кстрактор направљен је да раздвоји адресе е-поште, бројеве телефона и поруке од различитих формата датотека. Природно разликује подразумевано подручје и брзо истражује информације о е-пошти за вас. Клијенти то могу учинити без много напора да извуку адресе е-поште из порука, па чак и из прилога датотека. Кстрактор поново успоставља избрисане и неочишћене поруке из бројних конфигурација поштанских сандучића и ИМАП налога поште. Поред тога, поседује интерфејс који се лако научи и добру помоћну функцију за поједностављивање корисничких активности, а брзом е-поштом штеди хрпу времена, припремајући функције мотора и уклањања синхронизације. Кстрактор је компатибилан са Мац-овим МБОКС датотекама и Линук системима и може да пружи моћне функције како би пронашао релевантне информације.
Адвик (алат за прављење резервне копије е-поште):
Адвик, алатка за прављење резервних копија е-поште, врло је добра алатка која се користи за пренос или извоз свих е-адреса из нечијег поштанског сандучета, укључујући све фасцикле као што су послати, радне верзије, пријемно сандуче, нежељена пошта итд. Корисник може преузети сигурносну копију било ког налога е-поште без много напора. Претварање сигурносне копије е-поште у различите формате датотека је још једна одлична карактеристика овог сјајног алата. Његова главна карактеристика је Напредни филтер. Ова опција може уштедети огромно време извозећи поруке о потребама за кратко време из поштанског сандучета. ИМАП функција даје могућност преузимања е-поште из складишта заснованих на облаку и може се користити са свим добављачима услуга е-поште. Адвик може се користити за складиштење резервних копија жељеног места и подржава више језика, заједно са енглеским, укључујући јапански, шпански и француски.
Систоолс МаилКсаминер:
Уз помоћ овог алата, клијенту је дозвољено да мења своје канале лова ослањајући се на ситуације. Клијентима даје алтернативу да погледају поруке и везе. Шта више, овај форензички алат за е-пошту додатно нуди свеобухватну помоћ за научно испитивање е-поште како у радном подручју тако и у администрацији електронске поште. Омогућава испитивачима да се легитимно баве више од једног случаја. Исто тако, уз помоћ овог алата за анализу е-поште, стручњаци могу чак да виде детаље ћаскања, изврше преглед позива и прегледају детаље о порукама између различитих клијената Скипе апликације. Главне карактеристике овог софтвера су да подржава више језика, заједно са енглеским, укључујући јапански, шпански и француски и кинески, а формат у којем надокнађује избрисане маилове прихватљив је на суду. Пружа приказ управљања дневником у којем је приказан добар преглед свих активности. Систоолс МаилКсаминер је компатибилан са дд, е01, зип и многим другим форматима.
Жалба:
Постоји алатка тзв Жалити се која се користи за пријављивање комерцијалних маилова и ботнет објава, као и за огласе попут „брзо зарадите“, „брзо зарадите“ итд. Адцомплаин сам врши анализу заглавља на пошиљаоцу е-поште након идентификације такве поште и пријављује је добављачу Интернет услуга.
Закључак:
Емаил користи готово свака особа која користи интернет услуге широм света. Преваранти и сајбер криминалци могу фалсификовати заглавља е-поште и анонимно слати е-пошту са злонамерним садржајем и садржајем превара, што може довести до компромиса података и хаковања. И то је оно што додаје важност форензичког испитивања путем е-поште. Сајбер криминалци користе неколико начина и техника како би лагали о свом идентитету, као што су:
- Споофинг:
Да би сакрили властити идентитет, зли људи кривотворе заглавља е-поште и попуне их погрешним информацијама. Када се подметање е-поште комбинира са преварама ИП-а, врло је тешко пратити стварну особу која стоји иза тога.
- Неовлашћене мреже:
Мреже које су већ угрожене (укључујући жичну и бежичну мрежу) користе се за слање нежељене е-поште ради сакривања идентитета.
- Релеји отворене поште:
Погрешно конфигурисани релеј поште прима пошту са свих рачунара, укључујући и оне са којих не би требало да прихвати. Затим га прослеђује другом систему који такође треба да прихвати пошту са одређених рачунара. Ова врста поштанског релеја назива се отвореним поштанским релејем. Такав релеј користе преваранти и хакери како би сакрили свој идентитет.
- Отвори прокси:
Машина која омогућава корисницима или рачунарима да се преко ње повежу са другим рачунарским системима назива се а прокси сервер. Постоје различите врсте проки сервера, попут корпоративног проки сервера, транспарентног проки сервера итд. у зависности од врсте анонимности коју пружају. Отворени проки сервер не прати евиденцију корисничких активности и не одржава евиденције, за разлику од осталих проки сервера који евиденцију корисничких активности одржавају са одговарајућим временским ознакама. Ове врсте прокси сервера (отворени прокси сервери) пружају анонимност и приватност што је драгоцено за преваранта или лошу особу.
- Анонимизатори:
Анонимизатори или препродајници су веб локације које раде под маском заштите приватности корисника на Интернету и чине их анонимнима намерним испуштањем заглавља са е-поште и не одржавањем дневника сервера.
- ССХ тунел:
На Интернету, тунел значи сигуран пут за податке који путују у непоузданој мрежи. Тунелирање се може извршити на различите начине који зависе од софтвера и технике која се користи. Коришћењем ССХ функције Може се успоставити тунелирање прослеђивања ССХ порта и креира се шифровани тунел који користи везу ССХ протокола. Преваранти користе ССХ тунелирање у слању е-поште како би сакрили свој идентитет.
- Ботнетс:
Израз бот који је добио од „ро-бот“ у својој конвенционалној структури користи се за приказивање садржаја или скупа садржаја или програма намењеног извођењу унапред дефинисаних дела и, последично, након намерног активирања или инфекције система. Упркос чињеници да су ботови почели као користан елемент за преношење туробних и заморних активности, ипак се злоупотребљавају у злонамерне сврхе. Ботови који се користе за извршавање стварних вежби на механизован начин називају се љубазни ботови, а они који су намењени злоћудном циљу познати су као злонамерни ботови. Ботнет је систем ботова које ограничава ботмастер. Ботмастер може да нареди својим контролисаним ботовима (злоћудним ботовима) који раде на поткопаним рачунарима широм света да шаљу е-пошту на неке додељене локације, док прикривају свој карактер и врше превару е-поштом или превару путем е-поште.
- Интернет везе које се не могу пратити:
Интернет кафе, универзитетски кампус, различите организације пружају приступ Интернету корисницима делећи Интернет. У овом случају, ако се не води одговарајући дневник активности корисника, врло је једноставно радити илегалне активности и превара путем е-поште и извући се из тога.
Форензичка анализа е-поште користи се за проналажење стварног пошиљаоца и примаоца е-поште, датума и времена када је примљена и информација о средњим уређајима који су укључени у испоруку поруке. Доступни су и разни алати за убрзање задатака и лако проналажење жељених кључних речи. Ови алати анализирају заглавља е-поште и дају форензичару жељени резултат у трену.
