您的邮件安全吗――使用mailbag获取邮件内容

您的邮件安全吗――使用 mailbag 获取邮件内容

安天 365 团队 simeon

   摘要 对于邮件内容的研究，也是应“安天 365 小组”（ antian365.com ）安全研究专题的安排，开始对邮件内容获取方面的研究，本文就获取的邮件文件，通过一些软件工具可以轻松获取邮件的内容，从安全的角度本文研究有两个意义，第一个主要用于安全取证，从获取的邮件文件中提取有助于判定犯罪方有罪的证据；第二个就是方便失去密码的用户获取信件内容，当然也有满足一些有窥视欲望的人查看他了邮件内容， ^-^ 。

      （一）前言

   一个朋友通过嗅探的途径，控制了一台计算机，出于兴趣爱好，从该计算机中发现有邮件，因此将邮件所有文件全部下载回来，问我有无办法打开。本着对技术的爱好我就如何获取邮件的内容进行了研究，下面将我的一些研究方法和结果发布，跟大家一起共享。

（二）恢复邮件的一些尝试

1 ．重建 Outlook Express 。在本地安装了 Outlook Express ，将获取的文件直接覆盖原来的老文件，结果由于语言版本或者配置等原因，根本无法打开。 Outlook Express 邮件文件一般位于以下目录：

C:\Documents and Settings\simeon\Local Settings\Application Data\Identities

C:\Documents and Settings\simeon\Local Settings\Application Data\Identities\{A 17F 510D-109E-4006-B460-73E3EB971094} 或者

C:\Documents and Settings\simeon\Local Settings\Application Data\Identities\{A 17F 510D-109E-4006-B460-73E3EB971094}\Microsoft\Outlook Express

注意：

（ 1 ）在覆盖原有文件前，一定要先对原有文件进行备份，或者直接复制原有文件到一个新文件夹中，防止出现覆盖文件后对原有系统的破坏。

（ 2 ） Simeon 为计算机用户名，计算机用户应该跟这个一致，如果用户名为 Administrator ，在文件对应位置应该为“ C:\Documents and Settings\Administrator\Application Data\Identities\{ 4424572C -E99E-4523-B33D-A0AB 0C 29E874} ”。

2. 使用 Outlook Express 导入文件进行恢复。打开 Outlook Express 程序，在文件菜单中单击“导入” - “邮件”，在“ Outlook Express 导入”中选择要导入电子邮件的来源，如图 1 所示，选择“ Microsoft Outlook Express 6 ” 然后单击“下一步”按钮。

图 1 选择要导入电子邮件的来源

说明：

Outlook Express 是默认安装在系统中，如果在程序菜单中没有 Outlook Express ，则可以到“ C:\Program Files\Outlook Express ”目录运行可执行文件“ msimn.exe ”即可。

然后在邮件位置中选择邮件文件的路径，如图 2 所示。朋友给我的文件在“我接收到的文件中”，然后单击确定。

图 2 选择邮件文件所在文件夹

然后在单击“确定”按钮后却出现了一个错误的警告提示，如图 3 所示，说明 Outlook Express 不能识别这些文件，后面我又重新安装了 Outlook 的最新版本，重新导入文件仍然失败。

图 3 导入文件失败

我分析原因可能是因为语言版本的缘故，既然此方法不行，那就换一种思路，从网上搜索看看是否存在直接恢复邮件的软件。通过查询，发现获取邮件内容的软件网上有很多，但通过测试，对比分析，感觉还是 mailbag 不错。

（三）使用 Mailbag Assistant 恢复邮件内容

1.Mailbag Assistant 简介

Mailbag Assistant 最新版本是 3.99 ，可以到 [url]http://fookes.com/mailbag/index.php[/url] 下载。它可以同时打开 Eudora ， Netscape Messenger ， Outlook Express 4 ， Pegasus ， The Bat ！， FoxMail ， Calypso ，以及 Agent 等等不同邮件软件中的 email 。开启邮件之后，还可以依照寄件人、收件人、标题、日期等等条件排列邮件，是个很好用的电子邮件管理软件。另外，虽然 Mailbag Assistant 软件的说明并没有提到可以打开 Outlook Express 5 的邮件，但是我们试用后，发现 Mailbag Assistant 还是可以打开的！

2. 安装与设置 Mailbag Assistant

将 Mailbag Assistant 下载到本地直接运行，安装过程非常简单，按照提示即可。安装完成后直接运行，运行后会弹出向导要求用户进行设置，如图 4 所示，可以取消，也可以根据提示进行设置。

图 4 设置 Mailbag Assistant

在本例中直接从文件菜单中选择打开 Mailbox ，如图 5 所示选择 Mail 所在文件夹，一共有 9 个文件，依次选择每一个文件或者选中所有的文件开启。

图 5 选中 mail 文件

说明

（ 1 ） Mailbag Assistant 默认有 31 天免费使用期，因此我是在虚拟机中使用该软件，在安装完成后做了一个快照（ snapshot ），以后需要使用时，直接使用快照即可。

（ 2 ）在 mail 文件夹中由于是繁体，因此显示为一些乱码。

3 获取邮件内容

如果邮件文件没有损坏，则可以在 Mailbag Assistant 主窗口中看到邮件的内容，里面包含邮件时间，谁发送，邮件地址，主题，附件，文件名称等信息，如 6 所示，使用鼠标单击并选中第一条记录， Mailbag Assistant 软件下方窗口中会自动显示邮件的内容，在本案例中可以看到获取邮件中包含用户的一个密码信息。

图 6 显示邮件内容

     4. 导出邮件附件

     在主窗口中选中有附件标识的邮件记录，然后右键单击在弹出的菜单中选择“ Extract Attachments… ”，如图 7 所示，然后选择一个导出的文件夹。

图 7 选择导出附件文件夹

     如果没有什么意外，就会出现一个导出信息，如图 8 所示，表示有 3 个附件导出成功。

图 8 附件导出成功提示信息

5. 导出所有邮件

选中当前窗口中的所有邮件，在“ File ”菜单中选择“ Export Email As ” - “ EML files ”，将邮件导出为 eml 文件，如图 9 ，图 10 所示。这些 eml 文件可以直接使用 OE 打开，或者直接导入 OE 等其它邮件查看软件中。

图 9 导出邮件为 eml 文件

图 10 导出成功的邮件

说明：

   在 Mailbag Assistant 中还可以将其导出为其它普通的 mailbox 。

（三）邮件内容防查看防范措施

对于邮件内容的防范措施，首先是应该加强个人计算机安全，对于一些涉及个人敏感信息的邮件应当妥善处理，可以另外保存为加密文件。对于一些账号开通信息，应当及时修改账号密码以及个人资料信息，这样可以防止入侵者或者他人获取邮件内容后进行利用。

  （四）总结与体会

   本次研究应该是无意之举，邮件内容获取也应该算是安全研究的一个内容，通过本次实践，使个人掌握了 Outlook Express 邮件文件保存的物理位置，知道如何来恢复或者获取邮件内容，对于一些设置了保护邮件内容密码的用户，当忘记密码后，不失为一种解决方案。本文也可以作为社会工程学攻击的一个辅助技术手段，同时通过本文，普通用户应该更加重视网络和信息安全，从意识上加强安全防范，从行动上落实安全，让冲浪更加安全！

本文出自 “simeon技术专栏” 博客，转载请与作者联系！