拿到邮件文件后,通过一些软件工具可以轻松获得邮件的内容。从安全的角度,本节的研究有两个方面的意义:第一是安全取证,从获取的邮件文件中提取有助于判断嫌疑人是否有罪的证据;第二是方便失去密码的用户获取邮件内容(当然,其反面就是满足一些有窥视欲望的人查看他人的邮件内容)。
当我们获取一个邮件文件后,可以对其进行恢复内容操作,下面将详细介绍,最后会给出防止非授权用户查看邮件内容的防范措施。
我们先尝试恢复一个邮件文件的内容。
1.重建Outlook Express
安装Outlook Express,将获取的文件直接覆盖原来的文件,结果由于语言版本或者配置等原因,根本无法打开。Outlook Express邮件文件一般位于以下目录。
注意
(1)在覆盖原有文件前,一定要对其进行备份,或者直接复制原有文件到一个新文件夹中,防止在覆盖文件后对原有系统造成破坏。
(2)以上目录中,“simeon”为计算机用户名,计算机用户应该与该用户名一致。如果用户名为“Administrator”,则文件对应位置应该为“C:\Documents and Settings\Administrator\Application Data\Identities\{4424572C-E99E-4523-B33D-A0AB0C29E874}”。
2.使用Outlook Express导入文件进行恢复
打开Outlook Express程序,依次单击“文件”→“导入”→“邮件”选项,在“Outlook Express导入”窗口选择要导入电子邮件程序的来源,如图4-12所示,选择“Microsoft Outlook Express 6”选项,然后单击“下一步”按钮。
图4-12 选择要导入电子邮件的来源
说明
Outlook Express是默认安装在系统中的,如果程序菜单中没有Outlook Express,可以到C:\Program Files\Outlook Express目录下运行可执行文件msimn.exe进行启动。
然后,选择邮件文件的路径,如图4-13所示,选择完成后单击“确定”按钮。
图4-13 选择邮件文件的路径
这时出现了一个错误警告,如图4-14所示,说明Outlook Express不能识别这些文件。安装Outlook的最新版本,重新导入文件,仍然失败。
图4-14 导入文件失败
分析原因,可能是语言版本的问题。既然此方法行不通,那就换一种思路,到网上搜索,看看有没有能够直接恢复邮件的软件。通过查询,发现获取邮件内容的软件网上有很多,通过测试和分析,感觉Mailbag Assistant不错。
下面介绍Mailbag Assistant的相关内容。
1.Mailbag Assistant简介
Mailbag Assistant的最新版本是4.01,可以到http://www.onlinedown.net/softdown/ 5604_2.htm下载。它可以打开Eudora、Netscape Messenger、Outlook Express 4、Pegasus、The Bat!、FoxMail、Calypso及Agent等软件的邮件文件。打开邮件之后,还可以按照寄件人、收件人、标题、日期等条目排列邮件,是一个很好用的电子邮件管理软件。另外,虽然Mailbag Assistant的说明中并没有提到可以打开Outlook Express 5的邮件文件,但是笔者试用后发现Mailbag Assistant可以打开此类文件。
2.安装与设置Mailbag Assistant
将Mailbag Assistant下载到本地直接运行,安装过程非常简单,按照提示进行即可。安装完成后运行Mailbag Assistant,会弹出向导要求用户进行设置,如图4-15所示,可以取消设置,也可以根据提示进行设置。
在本例中,直接打开Mailbox Assistant,如图4-16所示,选择邮件所在文件夹,可以看到一共有9个文件,可以选择一个或者多个文件然后打开。
图4-15 设置Mailbag Assistant
图4-16 选中邮件文件
说明
(1)Mailbag Assistant默认有31天免费使用期。
(2)由于使用了繁体中文版的软件,所以在“Mail”文件夹中一些文件名显示为乱码。
3.获取邮件内容
如果邮件文件没有损坏,则可以在Mailbag Assistant主窗口看到邮件的内容,其中包含邮件发送时间、发送者、邮件地址、主题、附件、文件名称等信息,如图4-17所示。单击选中第1条记录,Mailbag Assistant主窗口下方会显示邮件的内容。在本案例中,可以看到邮件中包含用户的一条密码信息。
图4-17 显示邮件内容
4.导出邮件附件
在主窗口中选中有附件标识的邮件记录,单击鼠标右键,在弹出的快捷菜单中选择“Extract Attachments…”选项,如图4-18所示,然后选择一个导出的目标文件夹。
图4-18 选择导出的目标文件夹
如果没有什么意外,就会出现一个导出信息对话框,如图4-19所示,表示有3个附件导出成功。
图4-19 附件导出成功提示信息
5.导出所有邮件
选中当前窗口中的所有邮件,依次选择“File”→“Export E-mail As”→“EML Files”选项,将邮件导出为 *.eml文件,如图4-20和图4-21所示。这些文件可以直接使用Outlook Express打开,或者直接导入Outlook Express等邮件查看软件中使用。
说明
在Mailbag Assistant中还可以将邮件导出为MailBox文件。
图4-20 导出邮件文件
图4-21 成功导出的邮件
对于邮件内容的防范措施,首先是加强个人计算机的安全措施,对一些涉及个人敏感信息的邮件妥善处理,如另外存为加密文件。对一些账号开通等信息,应及时修改密码及个人资料,以防止入侵者或者他人在获取邮件内容后对这些信息进行利用。
通过本次实践,我们了解了Outlook Express邮件文件保存的物理位置,知道了应该如何恢复或者获取邮件内容。对一些设置了保护邮件内容密码的用户而言,当忘记密码后,这不失为一种解决方案。本节的案例也可以作为社会工程学攻击的一个辅助技术手段。通过阅读本节内容,普通计算机用户应该更加重视网络和信息安全,从意识上加强安全防范,从行动上落实安全措施。