भाग २: ईमेल फोरेन्सिक | मॉड्यूल ३

प्रस्तावना

ईमेल हा सायबर गुन्ह्यांचा एक प्रमुख वाहक आहे. फिशिंग, स्पूफिंग, फसवणूक आणि मालवेअर वितरण यासारखे अनेक सायबर गुन्हे ईमेलद्वारे केले जातात. ईमेल फोरेन्सिक म्हणजे ईमेल संदेश, हेडर, अॅटॅचमेंट्स आणि मेटाडेटाचे तपासात्मक विश्लेषण करणे.

📚 शिक्षण उद्दिष्टे

हा भाग पूर्ण केल्यावर, तुम्ही ईमेल हेडरचे सखोल विश्लेषण करू शकाल, स्पूफ केलेले ईमेल ओळखू शकाल, फिशिंग प्रयत्नांचा तपास करू शकाल आणि मेलबॉक्स फोरेन्सिक तंत्र वापरू शकाल.

ईमेल मूलभूत

ईमेल प्रणाली समजून घेण्यासाठी आपल्याला ईमेल प्रोटोकॉल आणि ईमेलची रचना समजून घेणे आवश्यक आहे.

ईमेल प्रोटोकॉल

📦

SMTP (Port 25, 587)

Simple Mail Transfer Protocol: ईमेल पाठवण्यासाठी वापरला जातो. क्लायंट ते सर्व्हर आणि सर्व्हर ते सर्व्हर संवाद.

📥

POP3 (Port 110, 995)

Post Office Protocol v3: ईमेल डाउनलोड करते आणि सहसा सर्व्हरवरून हटवते. एकाच डिव्हाइसवर वापरासाठी.

📁

IMAP (Port 143, 993)

Internet Message Access Protocol: ईमेल सर्व्हरवर राहते. एकाधिक डिव्हाइसवरून प्रवेश. सिंक्रोनाइझेशन.

ईमेलची रचना

प्रत्येक ईमेलमध्ये दोन प्रमुख भाग असतात:

हेडर (Header): ईमेलबद्दल मेटाडेटा - प्रेषक, प्राप्तकर्ता, तारीख, मार्ग इ.
बॉडी (Body): संदेश सामग्री - मजकूर आणि/किंवा HTML स्वरूप
अॅटॅचमेंट्स: संलग्नक फाइल्स (Base64 एन्कोडेड)

ईमेल हेडर विश्लेषण

ईमेल हेडर हे फोरेन्सिक विश्लेषणासाठी सर्वात महत्त्वाचे आहे. हेडर ईमेलचा संपूर्ण प्रवास आणि मेटाडेटा नोंदवतो.

महत्त्वाचे हेडर फील्ड्स

हेडर फील्ड	वर्णन	फोरेन्सिक महत्त्व
From:	प्रेषकाचा ईमेल पत्ता	सहज स्पूफ होऊ शकतो - विश्वसनीय नाही
To:	प्राप्तकर्त्याचा पत्ता	इच्छित प्राप्तकर्ता
Date:	ईमेल पाठवण्याची तारीख/वेळ	टाइमझोन माहिती महत्त्वाची
Subject:	ईमेल विषय	फिशिंग संकेतांसाठी तपासा
Message-ID:	अद्वितीय संदेश ओळखकर्ता	डुप्लिकेशन आणि मूळ सर्व्हर ओळख
Received:	ईमेल मार्ग (प्रत्येक सर्व्हर)	सर्वात महत्त्वाचे - खऱ्या मूळ शोधा
X-Originating-IP:	मूळ प्रेषकाचा IP	वेब मेल वापरताना दर्शवला जातो
Return-Path:	बाउंस संदेश पत्ता	खरा प्रेषक ओळखण्यास मदत

हेडर फील्ड

वर्णन

फोरेन्सिक महत्त्व

From:

प्रेषकाचा ईमेल पत्ता

सहज स्पूफ होऊ शकतो - विश्वसनीय नाही

To:

प्राप्तकर्त्याचा पत्ता

इच्छित प्राप्तकर्ता

Date:

ईमेल पाठवण्याची तारीख/वेळ

टाइमझोन माहिती महत्त्वाची

Subject:

ईमेल विषय

फिशिंग संकेतांसाठी तपासा

Message-ID:

अद्वितीय संदेश ओळखकर्ता

डुप्लिकेशन आणि मूळ सर्व्हर ओळख

Received:

ईमेल मार्ग (प्रत्येक सर्व्हर)

सर्वात महत्त्वाचे - खऱ्या मूळ शोधा

X-Originating-IP:

मूळ प्रेषकाचा IP

वेब मेल वापरताना दर्शवला जातो

Return-Path:

बाउंस संदेश पत्ता

खरा प्रेषक ओळखण्यास मदत

Received हेडर वाचणे

Received हेडर्स तळापासून वर वाचावेत - तळाशी असलेला पहिला Received हा मूळ सर्व्हर आहे.

# ईमेल हेडर उदाहरण (तळापासून वरच्या क्रमाने वाचा)

Received: from mail-receiver.example.com (198.51.100.5)
        by mail-gateway.victim.com
        Sun, 15 Jan 2024 10:30:25 +0530
# वरील: शेवटचा हॉप - प्राप्तकर्त्याचा मेल सर्व्हर

Received: from smtp.sender-isp.com (203.0.113.50)
        by mail-receiver.example.com
        Sun, 15 Jan 2024 10:30:20 +0530
# मधला: ISP चा SMTP सर्व्हर

Received: from [192.168.1.100] (unknown [122.176.45.67])
        by smtp.sender-isp.com
        Sun, 15 Jan 2024 10:30:15 +0530
# पहिला: मूळ प्रेषकाचा IP - 122.176.45.67 हा खरा स्रोत

From: "Bank Security" <security@bank.com>
# सहज स्पूफ होऊ शकतो - विश्वास ठेवू नका

X-Originating-IP: [122.176.45.67]
# वेबमेल वापरल्यास मूळ IP
                        

🔎 हेडर विश्लेषण टिप्स

१. Received हेडर्स तळापासून वरच्या क्रमाने वाचा
२. पहिल्या Received मधील IP हा खरा स्रोत IP आहे
३. From: फील्ड सहज बनावट असू शकते - विश्वास ठेवू नका
४. टाइमझोन माहिती (+0530 = भारत) स्थान ओळखण्यास मदत करते
५. Message-ID मधील डोमेन मूळ सर्व्हर दर्शवू शकतो

स्पूफिंग ओळख

ईमेल स्पूफिंग म्हणजे बनावट प्रेषक पत्त्यासह ईमेल पाठवणे. गुन्हेगार विश्वसनीय संस्थांची तोतयागिरी करण्यासाठी स्पूफिंग वापरतात.

स्पूफिंग ओळखण्याचे मार्ग

SPF (Sender Policy Framework) तपासा: DNS TXT रेकॉर्ड जो अधिकृत मेल सर्व्हर्स निर्दिष्ट करतो
DKIM (DomainKeys Identified Mail) तपासा: डिजिटल स्वाक्षरी सत्यापन
DMARC (Domain-based Message Authentication) तपासा: SPF आणि DKIM निकालांचे धोरण
Return-Path आणि From: तुलना करा: जुळत नसल्यास संशयास्पद
Received हेडर्स तपासा: मूळ IP आणि दावा केलेला डोमेन जुळतात का

# SPF रेकॉर्ड तपासणी
$ nslookup -type=txt example.com
example.com text = "v=spf1 include:_spf.google.com ~all"

# DKIM स्वाक्षरी हेडर
DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1;
    h=from:to:subject:date;
    bh=base64-encoded-body-hash;
    b=base64-encoded-signature

# DMARC रेकॉर्ड तपासणी
$ nslookup -type=txt _dmarc.example.com
_dmarc.example.com text = "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"
                        

Authentication-Results हेडर

Authentication-Results: mx.google.com;
    spf=pass (google.com: domain of admin@example.com designates
        203.0.113.50 as permitted sender)
    dkim=pass header.d=example.com
    dmarc=pass (p=REJECT) header.from=example.com

# जर कोणतेही fail असेल तर स्पूफिंगची शंका
spf=fail - प्रेषक अनधिकृत सर्व्हरवरून पाठवत आहे
dkim=fail - संदेश बदलला गेला असू शकतो
dmarc=fail - डोमेन प्रमाणीकरण अयशस्वी
                        

फिशिंग तपास

फिशिंग ईमेल संवेदनशील माहिती चोरण्यासाठी डिझाइन केलेले असतात. तपास अधिकाऱ्यांनी फिशिंग संकेत ओळखणे आवश्यक आहे.

फिशिंग संकेत

📧

प्रेषक पत्ता तपासा

support@arnazon.com (amazon नाही), security-bank@gmail.com (बँकचे अधिकृत डोमेन नाही)

🔗

URL तपासा

Hover करून खरा URL पहा. http://banklogin.malicious.com/hdfc वि. https://netbanking.hdfcbank.com

⚠

तातडीची भाषा

"तुमचे खाते बंद होईल", "२४ तासांत कारवाई करा", "आता लॉगिन करा"

📄

संलग्नक

अनपेक्षित .exe, .zip, .docm फाइल्स. मॅक्रो-सक्षम दस्तऐवज.

⚠ सामान्य फिशिंग तंत्र

Typosquatting: amazon.com ऐवजी arnazon.com
Homograph Attack: a ऐवजी Cyrillic а वापरणे
Subdomain Spoofing: hdfc.malicious.com/login
URL Shorteners: bit.ly/XYZ123 मूळ URL लपवते
Data URI: data:text/html;base64,... इनलाइन मालवेअर

फिशिंग URL विश्लेषण

# संशयास्पद URL विश्लेषण

http://hdfc-secure-login.attacker.com/netbanking
# hdfc-secure-login हा subdomain आहे, खरा डोमेन attacker.com आहे!

https://netbanking.hdfcbank.com/NetBanking
# खरा HDFC URL - hdfcbank.com मुख्य डोमेन

# URL विश्लेषण साधने:
- VirusTotal (virustotal.com)
- URLScan.io (urlscan.io)
- AnyRun (any.run)
- PhishTank (phishtank.com)
                        

मेलबॉक्स विश्लेषण

फोरेन्सिक तपासात संपूर्ण मेलबॉक्स विश्लेषण करणे आवश्यक असू शकते. विविध ईमेल फॉर्मॅट्स आणि साधने समजून घ्या.

ईमेल फॉर्मॅट्स

फॉर्मॅट	विस्तार	वापर
PST	.pst	Microsoft Outlook (Personal Storage Table)
OST	.ost	Outlook ऑफलाइन स्टोरेज
MBOX	.mbox	Unix/Linux मेल, Thunderbird, Apple Mail
EML	.eml	एकल ईमेल संदेश (RFC 822)
MSG	.msg	Microsoft Outlook संदेश

फॉर्मॅट

विस्तार

वापर

PST

.pst

Microsoft Outlook (Personal Storage Table)

OST

.ost

Outlook ऑफलाइन स्टोरेज

MBOX

.mbox

Unix/Linux मेल, Thunderbird, Apple Mail

EML

.eml

एकल ईमेल संदेश (RFC 822)

MSG

.msg

Microsoft Outlook संदेश

फोरेन्सिक साधने

MailXaminer: व्यावसायिक ईमेल फोरेन्सिक साधन
Aid4Mail: ईमेल रूपांतरण आणि विश्लेषण
Kernel for PST: PST फाइल विश्लेषण
MXToolbox: ऑनलाइन हेडर विश्लेषण
Google Admin Toolbox: हेडर विश्लेषक
eMailTrackerPro: ईमेल ट्रेसिंग

📋 कायदेशीर प्रक्रिया

भारतात ईमेल पुरावे मिळवण्यासाठी:
१. IT कायदा कलम ६५B/BSA कलम ६३ प्रमाणपत्र आवश्यक
२. ISP/Email प्रदात्याकडून डेटा मिळवण्यासाठी कलम ९१ CrPC नोटीस
३. परदेशी सर्व्हर्ससाठी MLAT (Mutual Legal Assistance Treaty)
४. Google/Microsoft साठी विशेष कायदा अंमलबजावणी पोर्टल वापरा

मुख्य मुद्दे

ईमेल प्रोटोकॉल: SMTP (पाठवणे), POP3/IMAP (प्राप्त करणे)
Received हेडर्स तळापासून वरच्या क्रमाने वाचा - पहिला Received मूळ स्रोत दर्शवतो
From: फील्ड सहज स्पूफ होऊ शकते - विश्वास ठेवू नका
SPF, DKIM, DMARC प्रमाणीकरण यंत्रणा स्पूफिंग ओळखण्यास मदत करतात
फिशिंग संकेत: संशयास्पद प्रेषक, तातडीची भाषा, बनावट URL
URL तपासा: खरा डोमेन ओळखा (subdomain vs main domain)
मेलबॉक्स फॉर्मॅट्स: PST (Outlook), MBOX (Thunderbird), EML (एकल संदेश)
कायदेशीर प्रक्रिया: कलम ६५B प्रमाणपत्र, कलम ९१ नोटीस