电子邮件取证分析——微软Exchange邮
箱系统取证
作者：许子桓，查阳，蔡梓祺
来源：《中国新通信》 2018年第7期
一、电子邮件取证介绍
电子邮件取证属于计算机取证的范畴，是分析出电子邮件真正的发送者、接收者、发送时
间和发送地点的过程。

电子邮件的证据主要来自户邮箱、网络数据记录、服务器上的记录、用
户使用的硬盘等。

Exchange Server 是Microsoft 公司推出的一套功能丰富的电子邮件服务组件，可以与Outlook个人电子邮件系统配合使用。

鉴于其强大的邮件业务处理功能，目前国内
外大部分大型公司都以这款Exchange 邮箱来作为公司内部的的办公邮件系统。

以下的部分我
们将剖析Exchange 的邮件取证分析功能。

二、电子邮件取证分析——针对微软Exchange 邮箱系统取证分析
关于Exchange 2016 的框架，可以从Microsoft 官网的技术文档上获得Exchange 2016
的架构。

在Microsoft 本地环境中，数据库可用性组 (DAG) 是Exchange 邮箱系统的核心功能模块，其内部是一组邮箱服务器。

它向前处理来自因特网的客户端访问并与边缘传输服务器进
行交互，向后负责一组数据库的管理，而且还要提供数据库、网络和服务器故障的数据库级自
动恢复功能。

更详细地说，邮箱服务器提供能够接受所有协议（SMTP，HTTP 等）的客户端访问服务。

这些前端服务负责将连接路由代理服务器到邮箱服务器上相应的后端服务。

对于用户来说，客户端不必直接连接最深层的数据库，而是由邮箱服务器负责中间的一系列操作。

当用户
通过Exchange 的客户端发送邮件时，邮件至少需要遍历一台MIcrosoft 的本地邮箱服务器，
这成为了邮件取证的有力支撑。

Exchange 提供了邮件追踪功能。

Exchange 的邮件服务器对处
理过的每一封邮件生成邮件追踪日志，包括经过邮箱服务器和边缘传输服务器的邮件的所有的
操作行为。

日志文件包含有邮件的详细信息，其字段达30 条，除了常见的发送时间、接收时间、发
件人、收件人、邮件主题、使用协议之外，还包括IP 地址，邮件标识符，邮件传输规则等信息，这些信息为一封单薄的邮件提供大量的证据信息。

然而，由于数据库容量的限制，邮件追踪日志并不会记录邮件的内容。

因此在取证工作中，已删除邮件的恢复工作显得尤为重要。

在Exchange 的应用场景中，用户一般使用Outlook 作
为个人电子邮件收发软件，与Exchange 搭配使用。

当用户删除电子邮件、联系人时，邮件系
统会将其自动移动到邮箱中的“已删除邮件”文件夹中。

用户可以在这个文件夹中将被删除的
信息恢复。

若用户在“已删除邮件”文件夹中将文件彻底删除，即一般意义上的从个人客户端
上删除邮件后，管理员仍然可以通过Exchange 服务器端的shell——Exchange Management Shell（EMS）来搜索这些已经被删除的邮件。

要想搜索这些邮件，管理员必须知道源邮箱，目
标邮箱，以及搜索条件，通过构造形如以下的语句:
Search -Mailbox “Chirs” -SearchQuery “from:’Michelle’”
-TargetMailbox “Discovery Search Mailbox”
-TargetFolder “Chris Recovery”
-LogLevel Full
以尝试恢复邮件。

若成功搜索需要恢复的邮件，管理员可以登录到目标邮箱以检查。

这些功能是电子邮件取证工作的一个典型应用，为电子邮件的取证分析工作提供大量帮助。

三、电子邮件取证所面临的问题
（1）电子邮件欺骗：这种方式是指修改邮件的实际发送者，邮件发送者使用工具将他的IP 地址换成其他的IP 地址。

（2）邮件中继：也就是使用其它的邮件服务器发送电子邮件。

正确配置的邮件服务器只处理系统内的用户发送的邮件，不会对系统外的IP 地址发送的邮件进行中继。

一旦邮件服务器配置不当，就可能会被他人利用。

（3）电子邮件账户的盗用：这很容易理解，一旦黑客获取了某人的电子邮箱的用户名和密码后。

就很难追踪到真正的发送者。

（4）免费的电子邮箱：很多人都使用免费的电子邮箱，这些邮箱申请者的信息往往是虚假的。

（5）目前越来越多的web 邮件( 通过浏览器在线收发的邮件) 服务商, 对用户提供了加密的登录方式, 这对于离线的取证工作, 无疑增加了很大的难度。

取证人员在使用者的硬盘中往往只能够看到用户所使用邮件服务商的网页框架, 而无法看到其邮件内容。

这也是今后日趋成熟的电子邮件取证技术所需要研究的内容之一。