Cazadores de Evidencia: Navegando por el Análisis Forense de Correos Electrónicos

Beweisjäger: Navigieren in der E-Mail-Forensik

Celia Catalán



Bei der Durchführung von Analysen, sei es im forensischen, nachrichtendienstlichen, finanziellen oder anderen Bereich, steht die Suche nach der Wahrheit im Vordergrund. Die Wahrheit als ein Ziel und die Vernunft als Mittel nutzen, so wie es Descartes seinerzeit im Diskurs über die Methode beschrieb,um die Vernunft gut zu lenken und in den Wissenschaften nach der Wahrheit zu suchen. Als Analytiker wollen wir sie finden Wir müssen herausfinden, was passiert ist, und auf die Bedenken des Klienten eingehen, ohne die Tatsache außer Acht zu lassen, dass die Wahrheit manchmal das Komplexeste ist, was es zu bezeugen gilt.

Die forensische Analyse von E-Mails erfolgt fast ausschließlich nach einem Ereignis oder Vorfall, der einer Untersuchung bedarf. Diese Analysen bestehen manchmal aus zwei Teilen, dem technologischen Teil (dem Sende- und Empfangsprozess) und dem Informationsteil (in der E-Mail enthalten und/oder dieser beigefügt).

Die wichtigsten Überlegungen zur Durchführung der technologischen Analyse betrügerischer E-Mails, die zwar nicht immer in alle Analysen einbezogen werden, aber zunächst berücksichtigt werden müssen, sind:

  • Identifizieren Sie die beteiligten Postdienste sowohl am Absender als auch am Ziel eindeutig. Die E-Mail-Technologie beider Parteien muss identifiziert werden. Dabei kann es sich um Cloud-E-Mails (SaaS) oder lokale E-Mail-Server handeln.
  • Stellen Sie sicher, dass die E-Mails nicht manipuliert wurden, indem Sie die zu analysierenden E-Mail-Beispiele mit einem Administratorkonto direkt vom Server beziehen, nicht von den E-Mail-Clients der betroffenen Benutzer.
  • Analysieren Sie die technischen Header in den empfangenen E-Mails, um die Ursprungsserver der Sendung zu identifizieren.
  • Analysieren Sie E-Mail-Sicherheitselemente wie:

    • SPF-Ausrichtung: Die SPF-Ausrichtung kann als unverändert betrachtet werden, wenn die Domäne von „MAIL-FROM“ oder „Return-Path“ und „From“ identisch ist. Der Unterschied zwischen diesen könnte darauf hindeuten, dass die E-Mail gefälscht ist.
    • SPF-Authentifizierung: Wenn die SPF-Authentifizierung „falsch“ ist, bedeutet dies, dass die IP-Adresse des Absenders nicht berechtigt ist, E-Mails im Namen eines Absenders zu senden. Das heißt, Sie sind nicht berechtigt, E-Mails im Namen der legitimen Domain zu versenden.
    • DKIM-Aufstellung: Um die DKIM-Ausrichtung in einer E-Mail zu bestätigen, muss das Feld „DKIM-Signatur“ die Domänensignatur des „From“-Headers in seinem „Tag“ enthalten. d=domain.com“.
    • DKIM-Authentifizierung: Wenn das DKIM-Signaturfeld nicht überprüft wird, können Sie davon ausgehen, dass die E-Mail geändert oder geändert wurde.

Was den Teil der Analyse der Informationen in der E-Mail angeht, muss objektiv darauf geachtet werden, was darin steht und was gegebenenfalls in den angehängten Dateien enthalten ist. In diesem Teil müssen mehrere Prämissen berücksichtigt werden:

  • Schreibweise, literarischer Stil und Rechtschreibung: Die Unterscheidung zwischen echten oder legalen Nachrichten und denen, die von einem Angreifer mithilfe künstlicher Intelligenz generiert wurden, wird immer komplexer.
  • Signaturformat: Visuelle Analyse der Signatur auf mögliche Fälschungen oder auf jeden Fall, wenn die Möglichkeit besteht, dass es sich um eine Kopie einer authentischen Signatur handelt, Identifizierung von Leerstellen unter der Signatur, die nicht vorhanden sein sollten .
  • Relevante Daten: Stellen Sie fest, welche Informationen in der E-Mail öffentlich oder privat sind. Mögliche Wissensbereiche dieser Informationen.
  • Personen erwähnen: Beurteilen Sie, ob es sich um reale oder fiktive Personen handelt. Bei Angreifern ist Ersteres wahrscheinlicher, es ist jedoch wichtig, sie vor der Analyse nicht auszuschließen.
  • Durchgesickerte oder offengelegte E-Mails: Stellen Sie fest, ob das Konto, das die E-Mail erhält, von Datenlecks betroffen ist oder in offenen Quellen gefunden werden kann. Berücksichtigen Sie bei Passwortlecks die Möglichkeit einer Kontokompromittierung.
  • Modus operandi: Stellen Sie eine Hypothese mit möglichst objektiven und genauesten verfügbaren Grundlagen auf, die darauf hinweist, wie der Angriff hätte durchgeführt werden können.
  • Ziel: In komplexen Fällen kann es hilfreich sein, das mögliche Ziel des Angreifers sowie den daraus resultierenden Nutzen zu analysieren.
  • Angehängte Dateien: Extraktion von Metadaten aus den Dateien und Analyse sowohl dieser als auch der Informationen des Dokuments selbst (Unterschrift, Bankkontonummer usw.).


Als Schlüsselaspekt der forensischen Analyse ist die Extraktion des Elements und die Verwahrungskette dieses Elements hervorzuheben. Obwohl es im forensischen Bereich wichtig ist, kommt ihm bei Postsendungen eine besondere Bedeutung zu, da an allen Poststellen, an denen sie vorbeigegangen sind, eine Analyse durchgeführt werden muss.

Bei der forensischen Analyse ist es daher immer ratsam, sich an die besten Experten zu wenden, die eine gute Identifizierung der Beweise durchführen und in der Lage sind, die nachgewiesenen Fakten in Beziehung zu setzen, ohne in Annahmen oder falsche Überzeugungen zu verfallen. Darüber hinaus erfolgt, solange der Bericht vor Gericht vorgelegt werden soll, eine ordnungsgemäße Verwahrung der Geräte und/oder Akten, wobei auch auf die Sachverständigen zurückgegriffen wird, die den Bericht für ihre korrekte Verteidigung vor Gericht erstellt haben.


Sergio Gutierrez, Technischer Leiterbei Zerolynx und Noelia B. Cyber ​​​​Intelligence Analyst bei Zerolynx.

Zurück zum Blog

Hinterlasse einen Kommentar

Bitte beachten Sie, dass Kommentare vor der Veröffentlichung genehmigt werden müssen.

Neueste Artikel

Alles sehen
  • A01:2021 - Broken Access Control

    A01:2021 – Defekte Zugangskontrolle

    Die Zugriffskontrolle auf einer Website definiert, ob ein Benutzer auf eine bestimmte Ressource zugreifen oder eine bestimmte Aktion ausführen darf. Diese Steuerung kann horizontal und vertikal erfolgen: Gegen...

    A01:2021 – Defekte Zugangskontrolle

    Die Zugriffskontrolle auf einer Website definiert, ob ein Benutzer auf eine bestimmte Ressource zugreifen oder eine bestimmte Aktion ausführen darf. Diese Steuerung kann horizontal und vertikal erfolgen: Gegen...

  • OWASP TOP 10

    OWASP TOP 10

    Die Sicherheit von Webanwendungen hat in der heutigen Welt, in der sich Cyberbedrohungen ständig weiterentwickeln, Priorität. Um Entwicklern und Sicherheitsexperten zu helfen, ...

    OWASP TOP 10

    Die Sicherheit von Webanwendungen hat in der heutigen Welt, in der sich Cyberbedrohungen ständig weiterentwickeln, Priorität. Um Entwicklern und Sicherheitsexperten zu helfen, ...

  • CVE-2024-37085 - VMware EXSi

    CVE-2024-37085 – VMware EXSi

    Am 30. Juli veröffentlichte Microsoft in seinem Threat-Intelligence-Blog einen Artikel, in dem er vor der Entdeckung einer neuen Sicherheitslücke warnte. Dies betrifft VMw EXSi-Hypervisoren...

    CVE-2024-37085 – VMware EXSi

    Am 30. Juli veröffentlichte Microsoft in seinem Threat-Intelligence-Blog einen Artikel, in dem er vor der Entdeckung einer neuen Sicherheitslücke warnte. Dies betrifft VMw EXSi-Hypervisoren...

1 3
Alles sehen