전자우편
- Outlook 같은 전자우편 프로그램을 사용할 경우 이메일 데이터를 삭제하더라도 데이터의 복구가 가능
- 포렌식 관점에서는 사건 정황을 이해하고 범행 증거 자료 수집을 위한 중요한 자료로 활용
- Microsoft Outlook에서 개인 폴더 파일인 '.pst' 파일은 사용자 컴퓨터 시스템에 이메일을 저장하는 데이터
이메일 헤더
- 송신자가 수신자에게 이메일을 보낼 때 거치는 경로 정보를 저장
- 이메일 서버가 할당한 고유 번호인 메시지 ID를 담음
전자우편 헤더에서 확인할 수 없는 사항
- 메일이 경유한 라우터 목록
이메일 클라이언트
- 대부분의 이메일 클라이언트가 지원하는 중요한 프로토콜은 MIME
- MIME는 이메일 클라이언트를 통하여 이진 첨부파일을 보낼 때 사용
- MAPI는 Microsoft Outlook 클라이언트와 연동
이메일 클라이언트와 저장하는 파일 포맷
- IBM 로터스 노츠 : NSF
- 애플의 Mac OS X 메일 : mbox
- Microsoft Outlook : PST
이메일 프로그램과 메일 저장 형식
- Mac OS X : mbox
Microsoft Outlook
- 이메일 자체를 삭제하는 것이 아니라 이메일 관련 정보가 들어 있는 헤더 값을 삭제하므로 복구 가능
- 데이터를 보관할 경우 개인 폴더 파일 (.pst)이나 오프라인 폴더 파일 (.ost)를 사용하게 됨
- OST 통합 도구가 존재
Outlook.pst
- Microsoft Outlook에서 전자우편을 복구할 때 사용되는 파일
.ost
- Microsoft Outlook 프로그램은 데이터를 보관할 때 개인 폴더 파일과 오프라인 폴더 파일로 나누어 저장
- .ost는 오프라인 폴더 파일의 확장자
.dbx
- Windows 라이브 메일과 Outlook Express에서 데이터를 저장하는 파일의 확장자
- Outlook Express의 이메일 데이터 파일의 확장자
SMTP
- 메일 서버 간의 이메일을 전송하는 데 사용
- 일반적으로 TCP 포트 번호 25번을 사용
POP
- 사용자가 메일 서버에서 이메일을 가져오는 데 사용
'디지털 포렌식 (Forensic) > 디지털포렌식전문가 2급 필기' 카테고리의 다른 글
| [디지털포렌식전문가 2급 필기] 3-2-1. 네트워크 이해 (0) | 2020.10.22 |
|---|---|
| [디지털포렌식전문가 2급 필기] 3-1-3. 기타 응용 프로그램 (0) | 2020.10.22 |
| [디지털포렌식전문가 2급 필기] 3-1-1. 웹 브라우저 (0) | 2020.10.22 |
| [디지털포렌식] 2-2-7. Linux 기반 시스템 (0) | 2020.10.13 |
| [디지털포렌식] 2-2-6. UNIX 기반 시스템 (0) | 2020.10.13 |