黃少榮　許學添

摘 要：電子郵件是現(xiàn)代社會不可缺少的重要通信方式之一。與此同時，越來越多的犯罪分子會利用電子郵件進行違法犯罪活動，電子郵件逐漸成為執(zhí)法人員獲取犯罪活動證據(jù)的重要來源。論文主要介紹電子郵件取證的電子證據(jù)來源以及相應的取證分析方法，最后針對目前電子郵件取證存在的主要問題，提出了進一步的研究方向。

關鍵詞：電子證據(jù)；電子郵件取證；郵件頭

中圖分類號：TP393.098 文獻標識碼：A

Abstract： E-mail is an important and indispensable means of communication. Meanwhile， more and more criminals have begun to use e-mail in various criminal activities， e-mail has become the important source to obtain evidences of criminal activities. The paper discusses the origin of electronic evidence and the corresponding analysis method of e-mail forensics. Finally， some problems in the present study are put forward， and the further research ideas are also proposed.

Key words： electronic evidence； e-mail forensics； e-mail header

1 引言

新的《民事訴訟法》于2013年1月1日開始正式實施，其中第六十三條將“電子數(shù)據(jù)”新增為一種新的證據(jù)形式。電子數(shù)據(jù)是指存儲在電子介質中的信息，常見的有電子郵件、電子簽名、電子合同、電子注冊信息、電話通話記錄、即時通訊軟件聊天記錄、網(wǎng)絡登錄瀏覽記錄、程序代碼和格式化后的硬盤通過恢復取得的信息等。

電子郵件是互聯(lián)網(wǎng)應用最廣泛的服務，其使用簡單、費用低、傳輸速度快、傳輸內容多樣化，已經(jīng)成為人們日常生活和學習工作的常用通訊方式。與此同時，犯罪分子也大量利用電子郵件的隱蔽、容易刪除和篡改、難以取證等特性將其作為犯罪活動的一種工具，與電子郵件有關的犯罪活動越來越多，電子郵件作為犯罪活動的重要證據(jù)，已經(jīng)成為相關司法取證人員在進行犯罪取證和分析時重點查看的內容[1]。電子郵件取證是近年來學術界的研究熱點，對電子郵件取證進行研究既有學術價值更有實用價值。

2 獲取電子郵件證據(jù)

電子郵件取證是指按合法方式獲取電子郵件證據(jù)并運用電子技術手段鑒定電子郵件真正的發(fā)送者、接收者、發(fā)送地址、發(fā)送時間以及郵件內容的過程[2]。用戶收取和發(fā)送電子郵件主要采用兩種方式：一種是直接登錄郵箱進行操作，一種是利用郵件客戶端收發(fā)。電子郵件證據(jù)的主要來源包括用戶郵箱、網(wǎng)頁瀏覽歷史、Internet臨時文件、網(wǎng)頁緩存、Cookie、用戶硬盤和服務器記錄等。

2.1 獲取客戶端電子郵件證據(jù)[3]

電子郵件客戶端使用IMAP、APOP、POP3、SMTP和ESMTP等協(xié)議收取和發(fā)送電子郵件，用戶無需登錄郵箱就能進行郵件收發(fā)。常見郵件客戶端包括Microsoft Outlook、Outlook Express和Foxmail等，不同客戶端使用不同的郵件源文件存儲格式，Outlook用*.pst、Express用*.dbx、Foxmail用*.box等不同庫文件的形式來存儲郵件。取證時在目標主機上根據(jù)不同客戶端搜索相應的庫文件，并將搜索到的庫文件導入到取證機中已經(jīng)安裝的與該庫文件對應的郵件客戶端軟件的存儲路徑下，這樣利用取證方的郵箱就能將目標主機的郵件信息全部讀取出來。如果取證方?jīng)]有安裝該客戶端，可以利用一些簡易郵件讀取器將郵件信息讀取出來。

以Outlook為例。在目標主機系統(tǒng)盤上以“outlook”為關鍵字進行查找，查到庫文件“huangshaorong@163.pst”，如圖1所示。將該文件復制到取證方主機，利用Outlook郵件查看器OutlookViwerFree打開就能找到該電子郵箱詳細的郵件信息，如圖2所示。

2.2 獲取網(wǎng)頁電子郵件證據(jù)

除了客戶端，很多用戶習慣直接在網(wǎng)頁上登錄郵箱收發(fā)郵件，網(wǎng)頁電子證據(jù)主要包括Internet瀏覽歷史、臨時文件、網(wǎng)頁緩存和Cookies等。這些記錄系統(tǒng)默認存放在Temporary Internet Files文件夾中，在該文件夾里可以找到在該主機上登錄過的所有郵箱信息。對于訪問時間過長的網(wǎng)頁電子郵箱，其數(shù)據(jù)可能已經(jīng)被刪除，如果被刪除文件原來占用位置沒有被新文件覆蓋，其數(shù)據(jù)可能還存在于未分配空間和文件殘留區(qū)中[4]。隨著大量的文件存儲在網(wǎng)頁歷史的文件夾中，使用簡單手動瀏覽是費時費力的，可以使用目標主機的郵箱地址作為關鍵字在目標主機上進行查找，快速找到與郵箱相關的信息。該方式也適用于已經(jīng)刪除但未被覆蓋，需要恢復郵件的查找和獲取[2]。

3 電子郵件取證

獲得電子郵件相關證據(jù)后，還必須進一步利用相關取證技術和取證工具對這些證據(jù)進行鑒定和分析。

3.1 存儲介質里的電子郵件取證

對已經(jīng)獲取并存儲到取證主機的電子郵件進行取證主要是利用司法取證分析工具。

（1）FTK：使用最廣泛的電子數(shù)據(jù)分析軟件，是電子郵件取證時主要用到的工具，具有強大的自動文件分析、過濾和搜索功能，自動分類所有文件，自動定位可疑文件，自動查找所需證據(jù)。

（2）Encase：用簡單方法來管理大量計算機介質的調查數(shù)據(jù)并記錄查找結果。在電子郵件取證上，利用電子郵件線程和相關對話，讓基于郵件的潛在證據(jù)的上下文理解變得更加容易。

（3）Intella：主要針對電子郵件進行關聯(lián)分析，能夠快速搜索關鍵內容并進行郵件人物、內容、附件的關聯(lián)分析。

（4）Nuix：電子郵件數(shù)據(jù)分析系統(tǒng)，操作簡單，搜索精度、深度和速度高，能夠恢復已刪除郵件，支持郵件服務器數(shù)據(jù)文件的解析和郵件分析，支持郵件的可視化關系分析等。

WinHex、X-Ways Forensics和國內美亞柏科信息股份有限公司的取證大師等綜合取證軟件也能夠分析檢查抽取出的電子郵件數(shù)據(jù)。

司法取證工具能夠獲取存儲介質里的電子郵件，快速搜索和分析各個郵箱中的海量郵件，通過檢索關鍵詞發(fā)現(xiàn)多個郵件的復雜關聯(lián)，快速找到關鍵證據(jù)，提高取證效率。

3.2 網(wǎng)頁電子郵件取證

網(wǎng)頁電子郵件取證主要通過分析郵件，獲取郵件發(fā)件人、收件人和郵件內容。電子郵件由郵件頭、郵件體和附件三部分構成，郵件頭包含了郵件屬性信息，郵件體包含了郵件正文，即發(fā)送者撰寫的部分，附件是發(fā)送者發(fā)送過來的文件。所以，通過郵件體和附件可以直接查看郵件內容，而通過分析郵件頭可以得到郵件發(fā)件人、收件人、發(fā)送時間、接收時間和郵件經(jīng)過路由等相關信息。

郵件頭信息主要包括幾個方面。

Return-Path：郵件無法投遞時退回的地址。

Received：郵件路由信息，F(xiàn)rom是指郵件經(jīng)過的各服務器名稱及IP地址，其排列順序與經(jīng)過路徑呈倒序，By是指接收方的機器名稱，With表示使用的協(xié)議，ID是接收方給郵件的編號，分號后面則是郵件接收時間。

Date：郵件建立時間。

From：郵件作者。

To：郵件接收地址。

Cc：抄送地址，密件抄送方式不顯示。

Subject：郵件主題。

Sender：郵件發(fā)送者。

Message-ID：發(fā)件人服務器分配給郵件的全局唯一編號。

In-Reply-To：本郵件是對另一封郵件回復的標識，值就是其回復郵件的Message-ID。

Reference：將收發(fā)雙方多次對話的郵件列出。

MIME-Version：發(fā)件人MIME版本。

Content-Type：郵件內容的格式。

其中Message-ID、In-Reply-To和Reference在收發(fā)雙方多次會話中的關系如圖3所示[5]。

如圖3所示，每封郵件都有一個全局唯一ID，郵件2回復郵件1時，Reference字段和In-Reply-To字段添加了郵件1的ID信息；郵件3回復郵件2時，在Reference字段添加了郵件1和郵件2的ID信息，在In-Reply-To字段添加了郵件2的ID信息，In-Reply-To字段只記錄一封郵件，而Reference字段則記錄郵件收發(fā)雙方本次郵件往來的所有郵件。

4 電子郵件取證存在的問題

（1）電子郵件用實名認證郵箱發(fā)送，只需核對郵件服務器上該郵箱的真實用戶名、郵箱賬號和密碼等資料就可以確定郵件發(fā)送者[6]。但有幾種情況難以追蹤真正的郵件發(fā)送者[7]。

① 利用虛假信息注冊免費郵箱并用其發(fā)送郵件。

② 發(fā)送者使用Open Relay、Open Proxy以及匿名E-mail等技術來隱藏其真實的郵箱地址。

③ 發(fā)送者使用郵箱修改工具修改郵件頭。

④ 盜取別人的郵箱來發(fā)送郵件。

⑤ 利用別人主機冒名發(fā)送郵件。

（2）現(xiàn)有取證技術存在局限。

① 很多取證工作需要人力分析，不能完全交由軟件自動完成。

② 取證工具大多是綜合取證，針對郵件的專業(yè)工具比較少。

（3）安全郵箱加大取證難度。傳統(tǒng)郵箱存在著一定的安全隱患，越來越多的郵件服務商推出了具有數(shù)字簽名、數(shù)字信封、身份認證、加密傳輸和存儲等多種安全手段的安全郵箱服務。數(shù)字簽名、數(shù)字信封和身份認證保證收件人和發(fā)件人以及郵件內容的真實性。加密傳輸保證郵件從被發(fā)出到被接受的整個過程中不可修改，并且存儲在系統(tǒng)中的郵件是經(jīng)過加密的。對安全郵箱的郵件很難取證，在目標主機硬盤中獲取的郵件如果沒有對應證書則沒法查看郵件內容[8]。

（4）面臨云計算和大數(shù)據(jù)的挑戰(zhàn)。云計算最核心的作用是利用互聯(lián)網(wǎng)把計算機的本體有效計算功能進行無限放大，從而制作出一個擁有非常強大的計算能力和儲存功能的系統(tǒng)[9]。云計算環(huán)境下用戶數(shù)量和數(shù)據(jù)資源龐大，用戶之間共享資源和服務，臨時文件和數(shù)據(jù)繁多雜亂，傳統(tǒng)取證技術面臨證據(jù)獲取、固定和分析等方面的挑戰(zhàn)[10]。

5 結束語

電子郵件取證不斷面臨新的挑戰(zhàn)，取證人員必須不斷學習，提高郵件取證和鑒定技術，還要開發(fā)更專業(yè)的軟件和工具，以便快速、準確地進行電子郵件取證。在進行云環(huán)境的電子郵件取證時，除了需要使用新方法和新技術，還要進行如云平臺安全、虛擬機等方面的考慮，保證云環(huán)境下取證的公正性、正確性和安全性。

參考文獻

[1] 林文芳.電子郵件取證鑒定系統(tǒng)的研究與設計[D].福州大學， 2010：1-2.

[2] 王晨.電子郵件的研究與取證[J].中小企業(yè)管理與科技，2010，18（6）：263-264.

[3] 吳江波，吳斯超，王愛妍.電子郵件偵查取證的研究[J]. 2013，01（19）：192-193.

[4] 龍春旻.基于Web的電子郵件取證技術研究[J].2012，01（02）：173-174.

[5] 聶小塵.電子郵件取證模型及關鍵技術研究[D].上海交通大學， 2011：21-22.

[6] 江璜，陳海凌.電子郵件取證中的關鍵問題[J].微型機與應用，2013，32（01）：42-44.

[7] 楊澤明，劉寶旭，許榕生.電子郵件取證技術[J].信息網(wǎng)絡安全，2002（6）：33-34.

[8] 宋芹芹，趙薇.基于證書的電子郵件系統(tǒng)的實現(xiàn)[J].網(wǎng)絡空間安全，2017（Z2）：45-47.

[9] 譚春.云計算發(fā)展中需注意的云安全問題[J].網(wǎng)絡空間安全，2017，42（2）：14-16.

[10] 許蘭川，盧建明，王新宇，許桃.云計算環(huán)境下的電子取證：挑戰(zhàn)及對策[J].刑事技術，2017，42（2）：151-156.

作者簡介：

黃少榮（1976-），女，漢族，廣東饒平人，中山大學，碩士，廣東司法警官職業(yè)學院，教授；主要研究方向和關注領域：計算智能、計算機應用。

許學添（1984-），男，漢族，廣東揭陽人，中山大學，碩士，廣東司法警官職業(yè)學院，講師；主要研究方向和關注領域：網(wǎng)絡技術、信息安全。