E-Mails und Datei-Anhänge extrahieren
Teil der Erweiterung des Datei-Überblicks.
Eine forensische Lizenz erlaubt es, E-Mails und Dateianhänge von E-Mails einzeln aufzulisten und zu untersuchen, die enthalten sind in Dateien folgender Formate: Outlook Personal Storage (.pst), Offline Storage (.ost), Exchange (.edb, Exchange 2010 und älter unterstützt, 2010 noch in der Testphase), Outlook Message (.msg), Outlook Template (.oft), Outlook for Mac, Kerio Connect (solche store.fdb-Dateien, die wie gewöhnliche PST/OST verarbeitet werden können), AOL-PFC-Dateien, Mozilla Mailbox (including Netscape and Thunderbird), Generic Mailbox (mbox, Unix mail format), MHT Web Archive (.mht). Standardmäßig versucht X-Ways Forensics, E-Mails aus solchen Dateien zu extrahieren, deren Typ in dieser Liste erscheint:
pst,ost,edb,dbx,pfc,mbox,eml,emlx,mht,msg,olk14msgsource,olk14message,oft,mbs
E-Mails werden i. d. R. in Form von .eml-Dateien extrahiert. Um bequem alle extrahierten E-Mails aus allen E-Mail-Archiven (und auch verarbeitete ursprüngliche .eml-Dateien) aufzulisten, wird empfohlen, rekursiv zu erkunden und den Attribut-Filter zu verwenden (nicht den Typ- oder Kategorie-Filter).
Die Zeitangabe in der "Date:"-Zeile im Header einer E-Mail (wenn begleitet von einer Zeitzonenanzeige wie -0700 oder +0200) wird als Erzeugungsdatum und -zeit ausgegeben. Die Zeitangabe in der Zeile "Delivery-Date:" (oder falls nicht vorhanden in der ersten "Received:"-Zeile) wird das Datum und Uhrzeit der letzte Änderung angezeigt. Absender und Empfänger werden für extrahierte E-Mails sowie deren Datei-Anhänge in den entsprechenden Spalten des Verzeichnis-Browser angezeigt. Sie können sowohl nach Datum als auch Absender und Empfänger filtern.
If e-mail messages have a Sender: line in addition to a From: line, then the sender according to the Sender: line is now shown in the Sender column of the directory browser additionally, after the From: sender, if actually different. They are delimited by spaces and a pipe (|). For example, an English language MS Outlook shows such e-mails as having been sent "on behalf of" someone else (by the Sender: sender on behalf of the From: sender). You can filter for such e-mails by entering a pipe as a substring for the Sender column. Analogously, different kinds of recipients ( To:, Cc:, and Bcc: ) are delimited by pipes in the Recipient column.
Alle Datei-Anhänge und eingebettete Dateien werden, sofern im E-Mail-Archiv gefunden (Ausnahme z. B. AOL PFC), ebenfalls extrahiert, und werden im Datei-Überblick normalerweise zu Unterobjekten der jeweils enthaltenden E-Mail. Alle extrahierten E-Mails und Anhänge liegen tatsächlich im Metadaten-Verzeichnis des Asservats und benötigen u. U. viel Plattenplatz.
Die E-Mail-Extraktion aus PST kann paßwortgeschützte PST-Dateien ohne Angabe des Paßworts verarbeiten! Sie unterstützt die folgenden Codepages für codierte PST-Dateien: ISO8859-1, ISO8859-2, ISO8859-3, ISO8859-4, ISO8859-5, ISO8859-6, ISO8859-7, ISO8859-8, ISO8859-9, ISO8859-10, ISO8859-11, ISO8859-13, ISO8859-14, ISO8859-15, ISO8859-16, koi8-r, koi8-u, 1250, 1251, 1252, 1253, 1254, 1255, 1256, 1257, 1258, 874, UTF16, UTF32, UTF8.
In älteren AOL-PFC-Dateien können Bilder auf eine besondere Weise in E-Mails eingebettet sein. Dann wird die E-Mail zwar mit einer Büroklammer gekennzeichnet, aber das Bild wird nicht separat als Datei extrahiert. Solche Bilder, wenn JPG oder PNG, kann man aber finden, indem man X-Ways Forensics JPGs und PNGs auch aus *.pfc extrahieren läßt.
Some advantages of the .eml format for output: E-mail messages output as .eml files are represented as simple and as authentic and universal as it gets. They are easy to understand, clearly structured into header and body, and extremely easy to completely view in a variety of simple programs (e.g. text editor, word processing, Internet browser, free e-mail clients like Thunderbird and Windows Mail). No commercial software like MS Outlook needed is needed to view .eml files. .eml is the "natural" format of e-mail, just like a raw image is the natural format of a disk image, if you even want to call it a "format" (actually it has no additional format specifications, it's just a plain representation of the data that it should represent). An .eml file contains the complete original metadata of the e-mail message, fully intact, exactly as it was sent and delivered. You have complete control over the file if you copy it out for someone else, can see all data, can verify that no unintended data made it into the file. You can easily redact any text in the body manually with a simple text editor, redact any metadata in the header, easily retroactively remove any attachment using a simple text editor if needed, all of which is impossible to do with a complex proprietary binary file format such as MSG. The general format of .eml files can be understood by anyone, and it is simply a text file. The format of MSG files can be understood only with a computer science or programming background, and learning it takes a lot of time. Redacting e-mail data hidden in MSG files is difficult.
A side task of e-mail processing is to extracted files from e-mail related MIM archives and make them accessible as child objects in the volume snapshot in plain binary form.