電子郵件真實性技術分析

劉奇偉

（河北遠東通信系統工程有限公司 河北 石家莊 050000）

電子郵件真實性技術分析

劉奇偉

（河北遠東通信系統工程有限公司 河北 石家莊 050000）

電子郵件作為現代通信的一種重要方式，被越來越多的應用到電子商務及日常生活中。電子郵件的真偽的分析，也成為電子數據司法鑒定領域一項重要的課題。文章針對目前較為常見的電子郵件的篡改方法，通過對電子郵件客戶端收發的郵件進行結構分析、郵件頭分析、郵件內容分析、郵件附件分析、相關郵件分析及操作行為分析等相關內容的綜合分析，對電子郵件的真實性進行分析提出了可行性的方法。

電子郵件 真實性 郵件頭

1 引言

隨著互聯網的普及，電子郵件成為了一種重要的傳遞信息的手段，在現代商業交往中電子郵件也發揮著越來越重要的作用。然而在使用方便的同時，電子郵件也存在著易修改等諸多問題。本文主要通過分析電子郵件頭、郵件客戶端等方面來判斷電子郵件的真實性，為司法鑒定中電子郵件的真實性鑒定提供技術支持。目前在司法鑒定領域，對電子郵件真實性的鑒定主要是對郵件客戶端中郵件真實性的鑒定，因此本文對電子郵件真實性的技術分析主要圍繞電子郵件客戶端中郵件的真實性而進行。

2 電子郵件篡改現狀

①目前對電子郵件的篡改主要針對EML文件進篡改：郵件內容的修改主要涉及修改郵件內的時間、數量和價格等相關涉及約定事宜的內容；于郵件附件篡改：附件的修改包括文檔內容的修改、電子郵件附件文件的替換、刪除電子郵件附件和添加電子郵件附件；③郵件頭篡改：電子郵件的郵件頭包括了郵件的發送時間、發送人、接收人、主題、郵件ID、發送中轉和接收等所需服務器等郵件的基本信息。

3 電子郵件結構分析

對郵件真實性的分析，首先應從了解郵件的結構入手，電子郵件結構包括郵件頭和郵件體，郵件體實際上是一行行的ASCII字符構成的簡單序列，它和郵件頭是靠一個空行來區分開的。

3.1 郵件頭

郵件頭字段不是必須按照特定的順序安排。在一封郵件中，郵件頭一般包含以下幾個部分：“Received”、“Date”、“From”、“To”、“Subject”、“Mailer”、“Content-Type”和“Message-ID”等[1]。

①Received，表示郵件發送過程中所經過的服務器，常見格式如下：

Received：from郵件服務器名(郵件服務器名[IP地址])By接收方服務器名(郵件服務器軟件版本)with郵件發送協議類型id郵件本地編號：轉發時間；

于Date：表示郵件的發送時間，其中包括星期、日期和時間等信息；

③From：表示郵件的發送地址及發件人地址；

④To：表示郵件的接受地址及收件人地址；

⑤Subject：郵件主題，如郵件主題為漢字，則以編碼形式顯示；

⑥Mailer：郵件發送服務器名稱，如使用郵件客戶端進行發送的郵件，會顯示郵件客戶端名稱及版本號；

⑦Content-Type：郵件內容類型，說明郵件正文部分的文件類型，由于郵件的正文存在“text/plain”、“text/html”2種形式；

⑧Message-ID：郵件ID，郵箱服務器會通過郵件發送時間等信息賦予該郵件的“Message-ID”；

⑨X-CM-TRANSID：如果是Foxmail通過126郵箱發送的的郵件，這條信息內的ID應與郵件頭最下面一條Received信息中的with SMTP id相符。如果是126郵箱接收的郵件，這條信息內的ID應與郵件頭最上面一條Received信息中的郵件的服務器為該件賦于的ID號相符。

3.2 郵件正文

在郵件中第一個空行后，可以看到通過“Content-Type”中“boundary”相應字段，這就是郵件正文的開始，如郵件存在附件，在該字段“Content-Type”中會出現一個新的“boundary”所指引的邊界信息。該邊界信息所內的內容為郵件正文，如郵件不存在附件，郵件正文的邊界信息則以郵件頭中的“Content-Type”所提示的邊界信息為準。

郵件的正文存在2種形式，一種為“text/plain”是無格式正文，一種為“text/html”是html格式的正文，在網頁及客戶端中看的到郵件正文都是以“text/html”的格式所顯示。

3.3 郵件附件

在郵件正文邊界后的，會出現一個郵件頭中“Content-Type”所提示的邊界信息，這個邊界信息后的內容為郵件附件，如存在多個附件，每個附件之間都會存在一條該邊界信息。在附件的“Content-Type”信息中包括類型標識和子類型標識，前者類型標識聲明了數據的類型，后者子類型標識為這種數據類型指定了特定的格式。

附件類型分為7種，分別是:文本(Text)、多文檔(mulipart)、消息(Message)、圖像(Image)、音頻(audio)、視頻(Video)和應用(Application)。當遇到未知的類型如壓縮文件時，將會把未知類型當作“application/octet-stream”對待。

4 郵件真實性分析

電子郵件真實性分析主要從以下幾個方面進行分析。

4.1 電子郵件客戶端分析

電子郵件客戶端是日常辦公中經常使用的郵件發送及接收所使用軟件，在使用方便快捷的同時也會在操作時產生相應的記錄。打開電子郵件客戶端，查看客戶端收件箱、發件箱和回收站是否存在與需要分析真實性的郵件相關的原郵件、轉發郵件、回復郵件和刪除郵件等內容。

在對Live Mail客戶端中的郵件真實性進行分析時，應查看郵件的流文件，在流文件中會記錄郵件的相關事件及大小屬性，該屬性不會因修改郵件而改變，在流文件中郵件的發送時間為0時區時間[2]。

4.2 郵件內容分析[3]

⑴郵件關聯性分析

查看客戶端中相關郵件：①發件箱：查看發件箱內是否存在對懷疑修改的郵件的回復，如存在回復郵件，可以查看回復的郵件中的原郵件內容與懷疑修改的郵件是否相同；于垃圾箱：查看垃圾箱內是否存在被刪除的懷疑修改的郵件，如存在相關郵件，可以查看垃圾箱內的相關郵件與懷疑修改的郵件是否相同。

⑵郵件編碼分析

郵件內容的修改方式為將郵件的正文部分的編碼進行解碼后修改，修改完成后將修改過的郵件內容轉換為郵件原編碼格式后，對原編碼進行替換。郵件內容分為“Content-Type: text/plain”、“Content-Type:text/html”，郵件內容的修改只有對郵件內容的“text/html”編碼進行修改后才可以在正常打開郵件時顯示為已修改內容，所以在對郵件內容真實性進行判別時可以對“Content-Type:text/plain”的內容進行解碼后查看內容與郵件內容是否一致[4,5]，如不一致則可以判斷郵件內容經過了修改。

⑶郵件與硬盤關聯性分析

查看郵件所在硬盤的是否安裝了360殺毒軟件，如安裝360殺毒軟件，首先查看懷疑修改的郵件的文件屬性，根據文件屬性所顯示的修改時間，查看相關硬盤中360殺毒軟件日志文件所記錄的修改時間當天的計算機操作記錄日志[2]。

根據屬性顯示的修改時間打開相應日志文件，點擊查找，輸入需要分析的郵件名稱，進行查找。在該日志中主要查看與需要分析真實性的郵件的文件屬性中修改時間相近的日志記錄中如否存在“記事本（notepad.exe）”調用了要查找的文件。

⑷附件分析

對郵件存在附件的郵件，可對附件主題和內容進行關鍵字設定，在郵件所在硬盤中對關鍵字進行搜索。查找硬盤中是否存在與附件相同個文件。

如郵件發送的方式為通過“foxmail客戶端”發送，在郵件頭的信息中也可對是否存在附件進行鑒定，使用“foxmail客戶端”發送的郵件，在郵件頭“X-Has-Attach”中會存在不同的表現。如存在附件，顯示為“X-Has-Attach：yes”，如發送時不存在附件顯示為“X-Has-Attach：no”。

根據郵件頭中“Content-Type”項中“boundary”中的Part內容對郵件內容進行查找。

在郵件正文部分，查抄下列字段：

“Content-Type”中顯示為附件文件類型，及附件名稱；

“Content-Transfer-Encoding”顯示為附件編碼類型；

“Content-Disposition”顯示為該內容為類型；

“filename”顯示為附件文件名。

根據上面的內容可以對郵件中附件的名稱及附件的類型進行分析，從而查看郵件中所包含的附件是否經過修改。如郵件中“Content-Type”中所顯示的文件類型為“image/jpeg”，但郵件附件名后綴為文檔文件，同時附件“filename”與“name”處文件名不符，由此可以判斷這個郵件的附件是經過修改的。如附件內容為文檔文件，可對郵件所在硬盤進行關鍵字搜索，設置郵件附件內容所包含的關鍵字，對郵件所在硬盤進行檢索，查看是否存在相關的文檔。對搜索到的相關文檔與附件文檔進行比對，查看是否存在差異。

4.3 郵件頭分析

⑴發件人真實性分析

通過郵件頭的特征，對郵件發件人真實性的進行分析。正常的郵件的發件人應與第一項Received信息中的地址相符。

通過對“網易”、“新浪”、“搜狐”、“QQ”和“foxmail客戶端”等目前較為常用的郵件服務器所發郵件的郵件頭進行比對后發現，由于郵箱服務器不同，一些郵箱發出的郵件不會存在第一項Received信息，如“QQ”和“foxmail客戶端”發出的郵件就不存在第一項Received信息[6]，同時對發件人真實性的分析可以根據一些郵件服務器的Message-ID中的信息來進行判斷，如“網易”和“搜狐”等郵箱服務器的Message-ID信息中會出現發件人地址。

⑵發件時間真實性分析

通過對郵件頭的分析，可以看到在Received信息中會存在時間信息，所以在對時間真實性的分析上應注意郵件的發送時間，是否與Received信息中的時間相符。在關注發件時間是，也應注意發件時間中的星期與發件日期是否相符[7]。

在對發件人真實性分析時，提到過的Message-ID信息，在對時間真實性進行分析時，也可以得到應用，如“新浪”和“foxmail客戶端”所發郵件的Message-ID信息中會出現時間信息[8-10]，在這應注意到新浪Message-ID的時間為0時區和我們相差8小時，所以時間加8 h。

5 結束語

電子郵件真實性的分析，不是對一個郵件個體的分析，是一個需要通過對郵件客戶端、郵件頭中Message-ID信息、Received信息、郵件正文編碼特征、郵件附件編碼特征及相關硬盤的檢驗等多種方式相互結合從而得出結論的過程，同時在分析過程中要注意郵件特征的每一個細節及郵件特征的前后關聯性。在實際應用過程中，對使用客戶端收發的電子郵件的修改，通過上述分析方法基本可以做到準確的判斷。但目前在對使用網頁收發的電子郵件的真實性鑒定上還存在一定的難題，需要進行深入的研究。

[1]李巖,施少培,陳曉紅,等.民事案件中電子數據真實性鑒定實踐探討[C].上海:2011司法鑒定理論與實踐研討會論文集,2012:565-569.

[2]司法部司法鑒定科學技術研究所.電子郵件真實性鑒定鑒定文書評析[M].北京:科學出版社,2013:492-577.

[3]SF/Z JD0402001—2014,電子郵件鑒定實施規范[S].

[4]王晨.電子郵件的研究與取證[J].中小企業管理與科技, 2010(18):263-264.

[5]羅文華.一封涉案電子郵件的檢驗分析[J].警察技術,2010 (1):28-30.

[6]廖根為.電子郵件真偽鑒定初探[J].犯罪研究,2009(3):42-48.

[7]張新霞.擦亮眼睛辨別電子郵件真偽[J].信息網絡安全,2007 (4):17-18.

[8]羅文華,段嚴兵.通過郵件頭分析進行電子郵件追蹤[J].警察技術,2008(1):48-50.

[9]聶小塵,邱衛東,李巖,等.基于多屬性的電子郵件鑒定研究[J].信息安全與通信保密，2012(2):76-80.

[10]郭弘,金波.利用郵件頭分析電子郵件的真偽[J].中國司法鑒定,2010(4):63-68.

Technical Analysis on E-mail Authenticity

LIU Qi-wei
(Hebei Far-east Communication System Engineering Co.,Ltd,Shijiazhuang Hebei 050000,China)

The e-mail as an important way of modern communications is increasingly applied to electronic commerce and daily life. The analysis of e-mail authenticity also becomes an important topic in the field of judicial expertise of electronic data.Aiming at the common tampering method of e-mail at present,based on e-mail sent and received by e-mail client,this paper implements the comprehensive analysis of related contents,including structural,message header,message content,e-mail attachments,related messages and operation behavior,and proposes the feasible method of analyzing the authenticity of e-mail.

e-mail;authenticity;message header

TP393

A

1008-1739（2015）02-70-3

定稿日期：2014-12-26