新的《民事诉讼法》于2013年1月1日开始正式实施，其中第六十三条将“电子数据”新增为一种新的证据形式。电子数据是指存储在电子介质中的信息，常见的有电子邮件、电子签名、电子合同、电子注册信息、电话通话记录、即时通讯软件聊天记录、网络登录浏览记录、程序代码和格式化后的硬盘通过恢复取得的信息等。 
　　电子邮件是互联网应用最广泛的服务，其使用简单、费用低、传输速度快、传输内容多样化，已经成为人们日常生活和学习工作的常用通讯方式。与此同时，犯罪分子也大量利用电子邮件的隐蔽、容易删除和篡改、难以取证等特性将其作为犯罪活动的一种工具，与电子邮件有关的犯罪活动越来越多，电子邮件作为犯罪活动的重要证据，已经成为相关司法取证人员在进行犯罪取证和分析时重点查看的内容[1]。电子邮件取证是近年来学术界的研究热点，对电子邮件取证进行研究既有学术价值更有实用价值。 
　　2 获取电子邮件证据 
　　电子邮件取证是指按合法方式获取电子邮件证据并运用电子技术手段鉴定电子邮件真正的发送者、接收者、发送地址、发送时间以及邮件内容的过程[2]。用户收取和发送电子邮件主要采用两种方式：一种是直接登录邮箱进行操作，一种是利用邮件客户端收发。电子邮件证据的主要来源包括用户邮箱、网页浏览历史、Internet临时文件、网页缓存、Cookie、用户硬盘和服务器记录等。 
　　2.1 获取客户端电子邮件证据[3] 
　　电子邮件客户端使用IMAP、APOP、POP3、SMTP和ESMTP等协议收取和发送电子邮件，用户无需登录邮箱就能进行邮件收发。常见邮件客户端包括Microsoft Outlook、Outlook Express和Foxmail等，不同客户端使用不同的邮件源文件存储格式，Outlook用*.pst、Express用*.dbx、Foxmail用*.box等不同库文件的形式来存储邮件。取证时在目标主机上根据不同客户端搜索相应的库文件，并将搜索到的库文件导入到取证机中已经安装的与该库文件对应的邮件客户端软件的存储路径下，这样利用取证方的邮箱就能将目标主机的邮件信息全部读取出来。如果取证方没有安装该客户端，可以利用一些简易邮件读取器将邮件信息读取出来。 
　　以Outlook为例。在目标主机系统盘上以“outlook”为关键字进行查找，查到库文件“huangshaorong@163.pst”，如图1所示。将该文件复制到取证方主机，利用Outlook邮件查看器OutlookViwerFree打开就能找到该电子邮箱详细的邮件信息，如图2所示。 
　　2.2 获取网页电子邮件证据 
　　除了客户端，很多用户习惯直接在网页上登录邮箱收发邮件，网頁电子证据主要包括Internet浏览历史、临时文件、网页缓存和Cookies等。这些记录系统默认存放在Temporary Internet Files文件夹中，在该文件夹里可以找到在该主机上登录过的所有邮箱信息。对于访问时间过长的网页电子邮箱，其数据可能已经被删除，如果被删除文件原来占用位置没有被新文件覆盖，其数据可能还存在于未分配空间和文件残留区中[4]。随着大量的文件存储在网页历史的文件夹中，使用简单手动浏览是费时费力的，可以使用目标主机的邮箱地址作为关键字在目标主机上进行查找，快速找到与邮箱相关的信息。该方式也适用于已经删除但未被覆盖，需要恢复邮件的查找和获取[2]。 
　　3 电子邮件取证 
　　获得电子邮件相关证据后，还必须进一步利用相关取证技术和取证工具对这些证据进行鉴定和分析。 
　　3.1 存储介质里的电子邮件取证 
　　对已经获取并存储到取证主机的电子邮件进行取证主要是利用司法取证分析工具。 
　　（1）FTK：使用最广泛的电子数据分析软件，是电子邮件取证时主要用到的工具，具有强大的自动文件分析、过滤和搜索功能，自动分类所有文件，自动定位可疑文件，自动查找所需证据。 
　　（2）Encase：用简单方法来管理大量计算机介质的调查数据并记录查找结果。在电子邮件取证上，利用电子邮件线程和相关对话，让基于邮件的潜在证据的上下文理解变得更加容易。
　　（3）Intella：主要针对电子邮件进行关联分析，能够快速搜索关键内容并进行邮件人物、内容、附件的关联分析。 
　　（4）Nuix：电子邮件数据分析系统，操作简单，搜索精度、深度和速度高，能够恢复已删除邮件，支持邮件服务器数据文件的解析和邮件分析，支持邮件的可视化关系分析等。 
　　WinHex、X-Ways Forensics和国内美亚柏科信息股份有限公司的取证大师等综合取证软件也能够分析检查抽取出的电子邮件数据。 
　　司法取证工具能够获取存储介质里的电子邮件，快速搜索和分析各个邮箱中的海量邮件，通过检索关键词发现多个邮件的复杂关联，快速找到关键证据，提高取证效率。 
　　3.2 网页电子邮件取证 
　　网页电子邮件取證主要通过分析邮件，获取邮件发件人、收件人和邮件内容。电子邮件由邮件头、邮件体和附件三部分构成，邮件头包含了邮件属性信息，邮件体包含了邮件正文，即发送者撰写的部分，附件是发送者发送过来的文件。所以，通过邮件体和附件可以直接查看邮件内容，而通过分析邮件头可以得到邮件发件人、收件人、发送时间、接收时间和邮件经过路由等相关信息。 
　　邮件头信息主要包括几个方面。 
　　Return-Path：邮件无法投递时退回的地址。 
　　Received：邮件路由信息，From是指邮件经过的各服务器名称及IP地址，其排列顺序与经过路径呈倒序，By是指接收方的机器名称，With表示使用的协议，ID是接收方给邮件的编号，分号后面则是邮件接收时间。 
　　Date：邮件建立时间。 
　　From：邮件作者。 
　　To：邮件接收地址。 
　　Cc：抄送地址，密件抄送方式不显示。 
　　Subject：邮件主题。 
　　Sender：邮件发送者。 
　　Message-ID：发件人服务器分配给邮件的全局唯一编号。 
　　In-Reply-To：本邮件是对另一封邮件回复的标识，值就是其回复邮件的Message-ID。
　　Reference：将收发双方多次对话的邮件列出。 
　　MIME-Version：发件人MIME版本。 
　　Content-Type：邮件内容的格式。 
　　其中Message-ID、In-Reply-To和Reference在收发双方多次会话中的关系如图3所示[5]。 
　　如图3所示，每封邮件都有一个全局唯一ID，邮件2回复邮件1时，Reference字段和In-Reply-To字段添加了邮件1的ID信息；邮件3回复邮件2时，在Reference字段添加了邮件1和邮件2的ID信息，在In-Reply-To字段添加了邮件2的ID信息，In-Reply-To字段只记录一封邮件，而Reference字段则记录邮件收发双方本次邮件往来的所有邮件。 
　　4 电子邮件取证存在的问题 
　　（1）电子邮件用实名认证邮箱发送，只需核对邮件服务器上该邮箱的真实用户名、邮箱账号和密码等资料就可以确定邮件发送者[6]。但有几种情况难以追踪真正的邮件发送者[7]。
　　① 利用虚假信息注册免费邮箱并用其发送邮件。 
　　② 发送者使用Open Relay、Open Proxy以及匿名E-mail等技术来隐藏其真实的邮箱地址。 
　　③ 发送者使用邮箱修改工具修改邮件头。 
　　④ 盗取别人的邮箱来发送邮件。 
　　⑤ 利用别人主机冒名发送邮件。 
　　（2）现有取证技术存在局限。 
　　① 很多取证工作需要人力分析，不能完全交由软件自动完成。 
　　② 取证工具大多是综合取证，针对邮件的专业工具比较少。 
　　（3）安全邮箱加大取证难度。传统邮箱存在着一定的安全隐患，越来越多的邮件服务商推出了具有数字签名、数字信封、身份认证、加密传输和存储等多种安全手段的安全邮箱服务。数字签名、数字信封和身份认证保证收件人和发件人以及邮件内容的真实性。加密传输保证邮件从被发出到被接受的整个过程中不可修改，并且存储在系统中的邮件是经过加密的。对安全邮箱的邮件很难取证，在目标主机硬盘中获取的邮件如果没有对应证书则没法查看邮件内容[8]。 
　　（4）面临云计算和大数据的挑战。云计算最核心的作用是利用互联网把计算机的本体有效计算功能进行无限放大，从而制作出一个拥有非常强大的计算能力和储存功能的系统[9]。云计算环境下用户数量和数据资源庞大，用户之间共享资源和服务，临时文件和数据繁多杂乱，传统取证技术面临证据获取、固定和分析等方面的挑战[10]。 
　　电子邮件取证不断面临新的挑战，取证人员必须不断学习，提高邮件取证和鉴定技术，还要开发更专业的软件和工具，以便快速、准确地进行电子邮件取证。在进行云环境的电子邮件取证时，除了需要使用新方法和新技术，还要进行如云平台安全、虚拟机等方面的考虑，保证云环境下取证的公正性、正确性和安全性。 
      北京华鑫侦探公司拥有专业的北京私家侦探，北京私人侦探调查团队，提供北京婚姻调查，北京外遇调查等服务，成立多年博得了社会的一致好评，是值得点赞的北京侦探公司。了解更多服务请登录【官网】http://www.hunyindc.cn 进行了解。