이메일 포렌식 도구: PST, EML, MBOX에서 이메일 증거 검색

포렌식 조사관이 디스크 이미지, 압수한 노트북, 또는 내보낸 메일박스를 받으면 한 가지 질문에 빠르게 답해야 합니다. 어떤 이메일이 중요한가? 증거는 PST 및 OST 아카이브, 흩어진 EML 및 MSG 파일, MBOX 백업에 흩어져 있습니다 — Outlook 프로필조차 연결되지 않은 채로 수만 개의 메시지가 존재하는 경우가 많습니다. 기업용 포렌식 제품군이 이 작업을 처리하지만, 좌석당 수천 달러의 비용이 들고 다루는 데 교육이 필요합니다.

Mail Terrier는 드라이브의 모든 이메일 아카이브를 키워드, 날짜, 참여자별로 검색하는 가벼운 이메일 포렌식 도구입니다 — 완전히 오프라인으로 작동하며 원본 파일은 그대로 유지됩니다. 관련 메시지를 몇 초 만에 찾아 전체 헤더와 메타데이터와 함께 보고서용 PDF 또는 Excel로 내보내세요.

빠른 답변: 이메일 포렌식 검색을 실행하려면 검사 워크스테이션에 Mail Terrier를 설치하고, PST, OST, EML, MSG 또는 MBOX 파일이 있는 폴더나 이미지를 마운트한 볼륨을 지정한 다음, AND/OR/NOT 규칙과 날짜 또는 발신자 필터로 키워드를 검색하세요. 파일을 읽기 전용으로 읽고 각 결과를 전체 메타데이터와 함께 표시하며, 증거 보고서용 PDF 또는 Excel로 결과를 내보냅니다 — Outlook이나 인터넷이 필요하지 않습니다.

이메일 포렌식이란?

이메일 포렌식은 조사를 위해 이메일 증거를 복구, 검색, 분석하는 작업입니다 — 사고 대응, 내부자 위협 사건, 사기, 인사 문제, 소송 지원 등이 이에 해당합니다. 조사관은 혼합된 아카이브 형식에서 관련 메시지를 찾아내고, 메타데이터(발신자, 수신자, 타임스탬프, message-ID, 첨부 파일)를 보존하며, 무엇을 어떻게 찾았는지에 대한 방어 가능한 기록을 만들어야 합니다.

어려운 점은 이메일 증거가 깔끔한 하나의 형식으로 도착하는 경우가 거의 없다는 것입니다. 한 명의 보관 담당자가 Outlook의 PST, OST 캐시, Gmail Takeout의 MBOX, 그리고 웹메일에서 추출한 흩어진 EML 또는 MSG 파일을 남길 수 있습니다. 각 파일을 기본 클라이언트로 여는 것은 — 해당 클라이언트가 존재하더라도 — 타임스탬프와 읽음 표시를 변경할 위험이 있습니다. 포렌식 검색 도구는 메일 클라이언트 없이, 원본을 수정하지 않고 아카이브를 직접 읽습니다.

(30일 무료 체험 포함)

(단 $199.00)

이메일 증거를 단계별로 검색하는 방법

• 1단계. 증거를 마운트하거나 복사합니다. PST, OST, EML, MSG, MBOX 또는 EMLX 파일을 검사 워크스테이션에 놓거나(또는 디스크 이미지를 읽기 전용으로 마운트), Mail Terrier는 Outlook이나 Thunderbird 설치가 전혀 필요하지 않습니다.
• 2단계. Mail Terrier가 폴더를 가리키도록 합니다. 폴더 하나 또는 드라이브 전체를 추가합니다. 여러 아카이브와 형식을 동일한 검색 세션에 넣을 수 있습니다.
• 3단계. 쿼리를 작성합니다. 키워드를 입력하고 AND, OR, NOT으로 결합합니다. 사고 발생 기간에 맞는 날짜 범위와 관심 대상 보관 담당자에게 집중할 발신자 또는 수신자 필터를 추가합니다.
• 4단계. 결과를 검토합니다. 일치하는 각 이메일은 발신자, 수신자, 제목, 날짜, 파일 경로, 내용 미리보기를 표시하므로 내보내기 전에 관련성을 확인할 수 있습니다.
• 5단계. 보고서용으로 내보냅니다. 일치하는 메시지를 헤더가 그대로 유지된 PDF로 저장하여 증거물로 사용하거나 XLS로 구조화된 색인을 만듭니다. EML 및 MSG 내보내기는 메시지를 첨부 파일과 함께 독립적인 파일로 보존합니다.

모든 검색은 정확한 검색어, 날짜 범위, 필터와 함께 기록되므로, 결과에 이의가 제기될 경우 방법론을 재현하고 문서화할 수 있습니다.

이메일 포렌식에 Mail Terrier를 사용해야 하는 이유

읽기 전용, 완전히 오프라인

Mail Terrier는 로컬 워크스테이션에서 완전히 실행되며 원본 아카이브에 다시 쓰지 않고 읽습니다. 증거가 컴퓨터를 벗어나지 않고 클라우드 서비스에 업로드되지 않습니다 — 보관 연속성과 기밀 또는 특권 자료에 매우 중요합니다.

메타데이터 보존

결과는 전체 헤더 세트를 포함합니다. 발신자, 수신자, 제목, 보낸 시간과 받은 시간 타임스탬프, 첨부 파일 이름까지. PDF 및 EML 내보내기는 이 메타데이터를 유지하므로 보고서나 증거물에서 증거가 의미를 유지합니다.

재현 가능한 검색

검색 기록은 실행한 모든 쿼리를 기록합니다. 방법론이 중요할 때, 어떤 검색어가 어떤 문서를 찾았는지, 그리고 언제 검색이 수행되었는지 정확히 보여줄 수 있습니다.

이메일 포렌식 도구 vs 기업용 플랫폼

이메일 포렌식 도구가 필요한 경우

사고 대응. 피싱 침해 후, 영향받은 메일박스 전체에서 악성 발신자가 보냈거나 알려진 제목을 포함한 모든 메시지가 필요합니다. Mail Terrier는 내보낸 PST 및 OST 파일을 발신자와 키워드로 검색하고 사고 보고서용으로 결과를 내보냅니다.

내부자 위협 및 데이터 유출. 조사 대상 직원이 기밀 파일을 이메일로 외부에 보냈을 수 있습니다. 첨부 파일 이름, 외부 수신자, 트리거 키워드로 의심 기간 전후의 날짜 범위와 함께 아카이브를 검색하세요.

내부 및 인사 조사. 불만 사항이 특정 주고받은 내용을 언급합니다. 관련 메일박스를 키워드와 참여자로 검색하여, 추가 직원에게 사안을 노출하지 않고 관련 이메일을 한정된 세트로 만들어냅니다.

사기 및 컴플라이언스. 감사관이나 조사관이 거래, 계좌, 또는 거래 상대방을 언급한 통신을 요청합니다. Mail Terrier는 아카이브된 모든 메일박스를 스캔하고 검토용으로 구조화된 Excel 색인을 내보냅니다.

(30일 무료 체험 포함)

(단 $199.00)

이메일 포렌식 도구 — FAQ ▼