针对微软Exchange邮箱系统的取证分析

背景介绍

毋庸置疑，在现代企业的办公环境中，电子邮件肯定是员工之间最主要的通信方式了。据统计，仅在2015年，全球范围内每天接收和发送的商务邮件数量已经超过了一千一百二十亿封[统计报告传送门]。这也就意味着，每一位企业员工平均每周都需要花十三个小时的时间来处理他们的电子邮件。

不幸的是，电子邮件有时也会被用来进行非法通信。当初电子邮件刚刚诞生的时候，安全因素并不是电子邮件发明者主要关注的东西，而且电子邮件中的某些设计缺陷直至今日都没有得到解决，这些安全问题仍然会对我们现在的通信产生影响。比如说，邮件的发送者几乎不会对邮件进行加密，而接收者也无法核查这些没有经过加密保护的邮件其完整性。除此之外，由于攻击者可以轻易地伪造邮件header中的元数据，所以这部分数据的可信度同样很低。即便安全研究专家们已经设计出了各种各样的安全保护措施来提升邮件通信的安全性，现在每天仍然有大量不安全的邮件穿梭于互联网中。所以现在才会有很多攻击者选择利用电子邮件通信过程中的漏洞来进行攻击。

就我们目前的经验来看，如果某个企业发生了攻击者通过电子邮件窃取信息的事件，或者是企业的员工无意中打开了附带在电子邮件中的恶意软件，那么即便是安全技术人员进行了大量的取证调查，有可能也无法回答其中的一些关键问题。比如说，这些事情到底是何人所为?攻击是何时发生的?为什么我们的安全防护系统没有检测到这些攻击?

由于目前很多的大型企业都选择使用微软的Exchange邮箱来作为公司主要的办公邮件系统，所以我们将在这篇文章中给大家介绍一下微软Exchange邮件系统可以为我们提供哪些基本的分析取证数据。

微软Exchange邮箱的体系架构

为了更好地理解Exchange邮箱系统中各种不同的取证分析数据，我们首先要了解一下微软Exchange邮箱的体系架构以及相关的系统组件。下方的这张图表显示的是本地版Exchange 2016邮箱系统的概念架构图。

其中，边缘传输服务器组成了邮件系统基础设施的外围网络，它们主要负责处理系统外部的邮件流，部署反垃圾邮件机制，以及管理邮件处理规则等等。

数据库可用性组 (DAG)不仅是构成微软Exchange邮箱系统的核心部件，而且它还是内置于Exchange 2016的高可用性站点复原框架的基本元素。实际上，DAG 是一组邮箱服务器，它不仅要托管一组数据库，而且还要提供数据库、网络和服务器故障的数据库级自动恢复功能。

邮箱服务器除了包含用于路由邮件的传输服务之外，它还包含处理、呈现和存储数据的邮箱数据库。除此之外，邮箱服务器还提供能够接受所有协议的客户端连接的客户端访问服务。这些前端服务负责将连接路由代理到邮箱服务器上相应的后端服务。这样一来，客户端将不必直接连接到后端服务了。当用户通过微软Exchange邮箱的基础设施发送邮件时，邮件至少需要遍历一台邮箱服务器。

客户端访问协议体系结构

Exchange 2016 邮箱服务器上的客户端访问服务负责处理所有形式的客户端连接。客户端访问(前端)服务将这些连接代理到目标邮箱服务器(保留用户邮箱的主动副本的本地服务器或远程邮箱服务器)上的后端服务。客户端不直接连接到后端服务。这种通信体系结构如下图所示：

客户端所使用的协议决定了用于将请求代理到目标邮箱服务器上的后端服务的协议。例如，如果客户端使用的是HTTP连接，则邮箱服务器使用HTTP将请求代理到目标邮箱服务器(使用自签名证书通过SSL确保安全)。如果客户端使用的是IMAP或POP，则所使用的协议也是IMAP或POP。

电话服务请求不同于其他客户端连接。邮箱服务器不会代理请求，而是会将请求重定向到保留用户邮箱的主动副本的邮箱服务器。必须有电话服务设备，才能直接使用统一消息服务在目标邮箱服务器上建SIP和RTP会话。

邮件追踪

邮件追踪功能将会把经过邮箱服务器和边缘传输服务器的邮件流所有的操作行为全部记录在日志文件中。这些日志文件包含有电子邮件的详细信息，例如发件人、收件人、邮件主题、发送日期和发送时间。默认配置下，如果邮件追踪日志的大小没有超过1000MB的话，日志文件最多将可以保存三十天。

在下面这个例子中，当用户“alice@csnc.ch”发送一封邮件(主题为“Meeting”)给用户“bob@csnc.ch”时，系统会自动将邮件信息写入追踪日志中。

需要注意的是，邮件的内容并没有记录在追踪日志中。默认情况下，系统会将邮件主题记录下来，但是我们也可以在邮箱系统的设置中禁用该功能。

恢复单项条目

这个功能允许用户在无需恢复完整邮箱数据库备份的情况下，直接恢复单独被删除的邮件。如果用户在Outlook邮箱中删除了一封邮件，这封邮件会被移到“已删除”文件夹中。当用户从“已删除”文件夹中删除这封邮件之后，该邮件将会被放入“垃圾箱”(软删除)中。

当我们点击“Recover Deleted Items”(恢复已删除的条目)之后，“垃圾箱”将会被打开，如下图所示：

在“垃圾箱”中，我们可以恢复邮件，也可以将邮件彻底删除(硬删除)。当然了，如果邮箱进行了备份的话，我们还是可以将这些邮件恢复的。当我们启用了“恢复单项条目”功能之后，也就意味着即使邮箱的拥有者将邮件从“收件箱”中删除，然后清空“已删除邮件”，并且从“垃圾箱”中将邮件彻底删除，管理员仍然可以直接恢复这些邮件。默认配置下，该功能并没有被开启，我们需要在进行取证调查之前开启该功能。为了成功恢复一封已删除的邮件，我们还需要获取下列信息：

-需要得到邮件发送者的邮箱地址;

-得到需要进行邮件恢复操作的目标邮箱地址;

-搜索类似邮件发送者，邮件接收者，或者一些邮件中的关键字信息;

在得到了上述这些信息之后，我们就可以使用Exchange Management Shell(EMS)来搜索邮件了。下面给出了一个搜索示例：

1

Search-Mailbox "Alice" -SearchQuery "from:Bob" -TargetMailbox "Investigation Search Mailbox" -TargetFolder "Alice Recovery" -LogLevel Full

邮箱审计

邮箱中很可能会包含有很多敏感信息，例如个人身份信息等。因此，记录下邮箱的各种操作行为也就变得十分重要了。

默认情况下，邮箱审计功能是禁用的，如果开启了这个功能的话，将会占用邮箱更多的容量。启用之后，我们就可以让系统将用户指定的操作行为记录在日志中，例如邮件的访问，移动，或者删除等操作。审计日志中还可以包含更多重要的信息，例如用户的登录IP地址，主机名，以及用于访问邮箱的进程或者客户端。如果你将审计策略修改为只记录类似发送条目和接收条目这样的关键信息，那么该功能基本上不会对邮箱容量和性能造成任何影响。

管理员审计

当管理员修改了Exchange邮件服务器的配置之后，这个功能可以帮助我们将管理员的操作行为记录在日志文件中。默认情况下，日志文件可以保存九十天。日志文件将会被保存在一个隐藏的专用邮箱中，这个邮箱是无法通过Outlook或者OWA(Outlook Web Access)直接访问的。

总结

正如我们在这篇文章中介绍的，微软Exchange邮件系统提供了很多合规性功能，这些功能能够为涉及电子邮件分析的取证调查活动提供大量有价值的信息。而关键之处就在于我们要理解哪些数据是我们可以真正获取到的，为此我们总结出了下面这张图表，感兴趣的读者可以保存下来：