【摘要】 自從上個(gè)世紀(jì)七十年代第一封電子郵件發(fā)出以來，電子郵件作為一種利用電子手段提供信息交換的通信方式，是互聯(lián)網(wǎng)絡(luò)中應(yīng)用最廣的服務(wù)之一，它允許人們以非�？焖俚姆绞�，與世界上任何一個(gè)角落的網(wǎng)絡(luò)用戶聯(lián)系，其內(nèi)容可以是文字、圖像、聲音等各種形式。電子郵件的便捷高效、費(fèi)用低廉使之成為企業(yè)和個(gè)人廣泛采用的通信方式，已廣泛應(yīng)用在商業(yè)貿(mào)易、電子政務(wù)、遠(yuǎn)程教育以及人們的日常生活之中。由于傳輸速度快、操作簡便、代價(jià)小等優(yōu)點(diǎn)，電子郵件在很大程度上接替了傳統(tǒng)紙質(zhì)郵件的職能，其中像Windows Live Mail、OutlookExpress、Foxmail等采用SMTP和POP3協(xié)議的桌面郵件客戶端憑借操作快捷、管理方便等優(yōu)勢，迅速得到普及。此外,使用簡單、能夠結(jié)合其他網(wǎng)頁服務(wù)的Webmail也成為許多用戶的選擇。隨之而來，涉及電子郵件鑒定的案件逐年增加，其中，以電子郵件真實(shí)性鑒定最為普遍。在司法鑒定實(shí)踐中，電子郵件真實(shí)性鑒定在電子數(shù)據(jù)鑒定中占有很大比例，篡改、偽造郵件的情況也時(shí)有發(fā)生，委托人往往提出郵件是否真實(shí)存在、內(nèi)容是否經(jīng)過篡改、是否為當(dāng)事人描述的時(shí)間發(fā)送/接收等具體要求。本文在詳細(xì)研究和分析電子郵件傳輸協(xié)議及郵件特征的基礎(chǔ)上，從WindowsLive Mail、Foxmail、網(wǎng)易閃電郵等典型電子郵件客戶端電子郵件、網(wǎng)頁端電子郵件、文件系統(tǒng)、服務(wù)器端等方面分別研究了電子郵件篡改痕跡和相應(yīng)的檢驗(yàn)方法，擴(kuò)充了現(xiàn)有的電子郵件真實(shí)性鑒定手段。在這些檢驗(yàn)方法中，郵件頭分析作為單封郵件分析的基礎(chǔ)，是電子郵件真實(shí)性鑒定的基本方法；郵件格式特征分析從郵件整體結(jié)構(gòu)出發(fā)，鑒別其合理性與完整性；客戶端特性分析研究不同郵件客戶端的個(gè)性特征，與郵件特征相互印證；網(wǎng)頁端電子郵件分析提出了網(wǎng)頁端郵件的提取和保全方法；文件系統(tǒng)使用痕跡分析結(jié)合文件系統(tǒng)特征，從數(shù)據(jù)恢復(fù)、系統(tǒng)備份等角度確認(rèn)郵件狀態(tài)；殺毒軟件及其他軟件留存信息分析是利用殺毒軟件及其他軟件的運(yùn)行痕跡判斷篡改行為；服務(wù)器端信息分析則通過提取服務(wù)器端的日志、特殊標(biāo)識等信息檢驗(yàn)郵件真實(shí)性。在文章最后，將前述鑒定方法相互配合、綜合應(yīng)用于實(shí)際案例，證實(shí)其有效性。
 
【關(guān)鍵詞】 電子郵件； 篡改； 真實(shí)性鑒定； 客戶端；

第一章 緒論

第一節(jié) 選題意義
2012 年修訂的《刑事訴訟法》和《民事訴訟法》將電子數(shù)據(jù)作為一種獨(dú)立的證據(jù)形式提出。電子數(shù)據(jù)鑒定在證據(jù)種類中占據(jù)更加重要的地位。在電子數(shù)據(jù)鑒定中，電子郵件鑒定是其重要組成部分。
自從上個(gè)世紀(jì)七十年代第一封電子郵件發(fā)出以來，電子郵件作為一種利用電子手段提供信息交換的通信方式，是互聯(lián)網(wǎng)絡(luò)中應(yīng)用最廣的服務(wù)之一，它允許人們以非�？焖俚姆绞�，與世界上任何一個(gè)角落的網(wǎng)絡(luò)用戶聯(lián)系，其內(nèi)容可以是文字、圖像、聲音等各種形式。電子郵件的便捷高效、費(fèi)用低廉使之成為企業(yè)和個(gè)人廣泛采用的通信方式，已廣泛應(yīng)用在商業(yè)貿(mào)易、電子政務(wù)、遠(yuǎn)程教育以及人們的日常生活之中。由于傳輸速度快、操作簡便、代價(jià)小等優(yōu)點(diǎn)，電子郵件在很大程度上接替了傳統(tǒng)紙質(zhì)郵件的職能，其中像 Windows Live Mail、OutlookExpress、Foxmail 等采用 SMTP 和 POP3 協(xié)議的桌面郵件客戶端憑借操作快捷、管理方便等優(yōu)勢，迅速得到普及。此外,使用簡單、能夠結(jié)合其他網(wǎng)頁服務(wù)的Webmail 也成為許多用戶的選擇。隨之而來，涉及電子郵件鑒定的案件逐年增加，其中，以電子郵件真實(shí)性鑒定最為普遍。在司法鑒定實(shí)踐中，電子郵件真實(shí)性鑒定在電子數(shù)據(jù)鑒定中占有很大比例，篡改、偽造郵件的情況也時(shí)有發(fā)生，委托人往往提出郵件是否真實(shí)存在、內(nèi)容是否經(jīng)過篡改、是否為當(dāng)事人描述的時(shí)間發(fā)送/接收1等具體要求。研究電子郵件篡改與鑒別方法，有助于了解偽造篡改電子郵件的特點(diǎn)，準(zhǔn)確迅速地發(fā)現(xiàn)電子郵件的偽造篡改痕跡，為司法實(shí)踐提供充分的技術(shù)依據(jù)。
.............................

第二節(jié) 國內(nèi)外研究進(jìn)展
現(xiàn)有文獻(xiàn)中，國外 Bob Radvanovsky2對偽造的電子郵件頭進(jìn)行了研究，Chorong Jeong3等對恢復(fù)被刪除的電子郵件及 mbox、dbx 等文件格式進(jìn)行了探討，在電子郵件領(lǐng)域有非常成熟的關(guān)于垃圾郵件的研究如 John Dunagan4等，主要的電子郵件客戶端軟件如 Outlook5、Foxmail、Windows live mail 等都有相關(guān)標(biāo)準(zhǔn)格式。另外，作為電子郵件篡改與檢驗(yàn)的上位學(xué)科，電子數(shù)據(jù)鑒定方面的著述均適用于此，如 National Institute of Justice (U.S.)發(fā)布的《Forensic examination of digitalevidence: a guide for law enforcement》6、Mohay G 的 Technical challenges anddirections for digital forensics7。國內(nèi)學(xué)者在電子郵件的文件格式、存儲方式、垃圾郵件過濾等方面均有較多闡述，聶小塵8、李巖9、蔣毅10、汪文生11、曾春溪12、周超波13、郭弘14、許榕生15、廖根為16等針對電子郵件取證問題有相關(guān)研究。
目前，國內(nèi)外專門針對電子郵件的鑒定技術(shù)尚不系統(tǒng)，對一些專門問題，如電子郵件真實(shí)性鑒定的技術(shù)路線未見有較全面的研究，有關(guān)電子數(shù)據(jù)鑒定取證工具大多是一些綜合性軟件，對電子郵件的取證分析多有不夠完善的地方，對基于IMAP 和 POP3 的電子郵件接收查看方式的有關(guān)電子郵件的鑒定技術(shù)和規(guī)范均處于空白狀態(tài)，對相關(guān)鑒定結(jié)果的有效性和采信度及進(jìn)一步的鑒定技術(shù)發(fā)展會(huì)產(chǎn)生不利的影響。即，目前關(guān)于電子郵件偽造、篡改后形成的特征以及鑒定方法，仍沒有完整的研究和匯總。

第三節(jié) 本文的結(jié)構(gòu)安排
本文以研究電子郵件的篡改與鑒別研究為主題，首先在第二章介紹與電子郵件相關(guān)的背景知識，包括電子郵件概念、電子郵件傳輸流程、電子郵件傳輸協(xié)議分析及電子郵件使用現(xiàn)狀。然后展開電子郵件的檢驗(yàn)角度，在第三章研究單封郵件的特征，包括郵件的消息格式規(guī)則、實(shí)際使用情況、針對不同的域的檢驗(yàn)方式等。在第四章研究三個(gè)較為典型的電子郵件客戶端，分別分析這些客戶端的存儲結(jié)構(gòu)、軟件特性、可能的篡改方式及相應(yīng)的鑒定方法。在第五章研究網(wǎng)頁端電子郵件的鑒定方法和可能的篡改手段，由于網(wǎng)頁端郵件的特殊性，還分析了網(wǎng)頁端郵件的提取保全方法。在完成針對電子郵件不同收發(fā)方式的鑒定方法研究后，第六章主要關(guān)注文件系統(tǒng)取證，從 NTFS 系統(tǒng)和 FAT 系統(tǒng)原理出發(fā)，考慮可能的電子郵件鑒定方法，包括殺毒軟件及其他軟件的使用痕跡也包含在內(nèi)。第七章則展開對服務(wù)器端取證的研究，以一個(gè)電子郵件服務(wù)器為例，解釋可能出現(xiàn)的篡改手段與取證的方法。在第八章則將之前七章的內(nèi)容在一個(gè)案例中融會(huì)貫通，同時(shí)補(bǔ)充鑒定方法在實(shí)際鑒定中的執(zhí)行標(biāo)準(zhǔn)。最后，第九章對全文進(jìn)行了總結(jié)，并提出展望。
............................

第二章 背景知識

第一節(jié) 電子郵件概念及相關(guān)規(guī)則
一、概念
由全國科學(xué)技術(shù)名詞審定委員會(huì)審定公布電子郵件定義為“一種通過網(wǎng)絡(luò)實(shí)現(xiàn)相互傳送和接收信息的現(xiàn)代化通信方式。”17在《GB-T5271.1-2000 信息技術(shù)詞匯 第 1 部分：基本術(shù)語》中，電子郵件被定義為：“通過計(jì)算機(jī)網(wǎng)絡(luò)在用戶終端之間傳送報(bào)文形式的信件。”在《GB-T5271.27-2001》中，電子郵件是“在計(jì)算機(jī)網(wǎng)絡(luò)上用戶終端之間以報(bào)文形式發(fā)送的信件。”在 6 年后的修訂版《GB-T5271.32-2006 信息技術(shù) 詞匯 第 32 部分電子郵件》中，電子郵件被定義為：“在計(jì)算機(jī)網(wǎng)絡(luò)上，用戶終端之間往來的信函。” 在《DA-T 32-2005 公務(wù)電子郵件歸檔與管理規(guī)則》中，電子郵件被定義為：“由電子計(jì)算機(jī)生成、處理，并通過電子郵件系統(tǒng)經(jīng)由計(jì)算機(jī)網(wǎng)絡(luò)發(fā)送和接收的電子信息。它包括信息文本本生及其附件。”在維基百科中，電子郵件被定義為“Electronic mail, most commonlyreferred to as email or e-mail, is a method of exchanging digital messages from anauthor to one or more recipients.”18
在各項(xiàng)定義中，筆者認(rèn)為，以電子郵件鑒定實(shí)施規(guī)范中“電子郵件是通過網(wǎng)絡(luò)在用戶終端之間傳送的信函。由郵件頭和郵件內(nèi)容組成。”較妥。首先，該定義說明了電子郵件是依托于網(wǎng)絡(luò)存在的，網(wǎng)絡(luò)除了包括因特網(wǎng)外，還包括其他廣域網(wǎng)、局域網(wǎng)等；其次，該定義規(guī)定電子郵件的傳輸雙方是用戶終端，排除了服務(wù)端與用戶端之間的指令信息。然后，該定義將電子郵件的主體規(guī)定為信函，涵蓋了電子郵件中的郵件意義。最后，該定義將郵件頭和郵件內(nèi)容列為電子郵件的兩個(gè)不可缺少的要件，將電子郵件與具備郵件格式的文檔區(qū)分開來。

本文編號：8817