基于時間屬性的電子郵件真實性鑒定研究

摘 要： 社會的發展和技術的進步使得電子郵件被用作證據采納運用成為可能，但這種可能首要解決的問題是電子郵件的真實性鑒定。現有電子郵件真實性鑒定方法均有不足之處，而把電子郵件的時間屬性作為切入點來分析和判斷電子郵件真實性的鑒定方法原理易懂，操作簡便，容易實現電子郵件真實性鑒定目的。基于時間屬性的電子郵件真實性鑒定方法包括時間信息的解析和時間屬性邏輯關系的判斷。如果判斷解析的時間出現邏輯關系矛盾，則可以認定電子郵件遭到篡改，不滿足作為證據的真實性條件。

關鍵詞：電子郵件；真實性鑒定；時間屬性；郵件頭

中圖分類號：TP393.098 文獻標識碼：A 文章編號：16738268（2014）02003606

隨著互聯網的發展，中國已經一躍成為網民最多的國家。截至2012年年底，中國互聯網用戶達到5.64億，互聯網普及率高達42.1%[1]。作為互聯網通信方式的一種，“電子郵件是網絡用戶進行信息交流的常用手段之一”[2]。和傳統通信方式相比，電子郵件的優點在于方便快捷、成本低廉和內容豐富多彩。郵件通信不僅傳遞文字信息，還傳遞聲音、圖像或者視頻等信息，另外，電子郵件也可以發送附件，這使計算機之間可以便捷地傳遞各種重要文件。在商務通信往來中，采用電子郵件通信，不僅方便快捷，還能降低通信成本，提高交易速度。不過， 在產生糾紛、需要使用電子郵件作為證據證明相關事實的場合，由于電子郵件的易偽造性、易修改性和依附性，法庭難以徑直認定其真實性，除非當事人自認，否則就需要委托電子數據鑒定機構對電子郵件的真實性進行鑒定。

一、現有電子郵件真實性鑒定方法

對于電子郵件真實性的鑒定，目前主要采用以下幾種方法。

1.分析電子郵件偽造方法途徑和電子郵件發送環境的方法[3]。該方法是較早出現的電子郵件真實性鑒定方法，是一種開放式列舉分析方法。它主要分析電子郵件的工作原理、電子郵件系統的組成和偽造電子郵件的可能方法和形式。不過，在技術不斷發展和進步的今天，電子郵件服務器不斷更新換代，電子郵件偽造方法途徑層出不窮，這種列舉式方法很難滿足電子郵件真實性分析的需要。另外，這種分析方法在具體的案件中也沒有給鑒定人員提出可操作性方案，僅僅停留在理論分析層面。

2.分析電子郵件郵件頭的方法[4]。郵件頭是電子郵件的重要組成部分，其包含了電子郵件發送過程相關的重要信息。這種方法注重分析郵件頭中的時間信息、發送路徑信息等，通過對這些信息的分析，達到電子郵件真實性鑒定的目的。該方法思路清晰，不足之處在于片面強調電子郵件頭信息的重要性，忽略了其他郵件組成部分的信息。電子郵件中和郵件相關的重要信息還可能存在于郵件正文和郵件文件存儲系統的屬性信息中，而這部分信息并沒有被重視。另外，這種方法同樣沒有提供能夠指導實務操作的方案。

3.綜合分析電子郵件的方法[5]。該方法綜合分析電子郵件頭、郵件正文、郵件客戶端、郵件發送系統等。這種方法從理論上全面分析了電子郵件工作的基本原理，對真實性鑒定起著很大的指導作用。不足之處在于該方法分析面太廣，導致深度方面有所欠缺，在一定程度上影響了電子郵件真實性鑒定的準確性。

綜上所述，由于已有的鑒定方法均存在不同程度的缺陷，不能徹底解決電子郵件的真實性鑒定問題，因此需要尋找和確定一種新的電子郵件真實性鑒定方法。

眾所周知，在電子郵件信息中，時間信息占據了重要地位，電子郵件系統設計者也充分考慮到時間因素的重要性，在電子郵件的發送和接收過程中，郵件系統會在電子郵件文件中嵌入大量時間屬性信息，因而，當電子郵件遭到偽造之后，很容易在正常的時間邏輯關系上表現出前后不一致或者矛盾的現象。為此，筆者認為可以確立一種基于時間屬性的電子郵件真實性鑒定方法。這種鑒定方法主要包含電子郵件時間信息的解析和時間屬性邏輯關系判斷，如果判斷時間屬性邏輯關系出現矛盾，則可以認定電子郵件遭到篡改，不滿足作為證據的真實性條件。

不過，采用偽造或者篡改得到的電子郵件不一定都表現出時間邏輯關系的矛盾，因此，雖然在電子郵件時間屬性表現出矛盾時，可以采用基于時間屬性的電子郵件真實性鑒定方法判斷出電子郵件是不真實的，但時間信息不表現出邏輯關系的矛盾并不必然得出“電子郵件是真實的”這個結論。所以，當郵件時間屬性邏輯關系不矛盾時，要判斷郵件的真實性，就要采用其他方法或者從其他切入點著手分析電子郵件的真實性。即基于時間屬性的電子郵件真實性鑒定方法只能“去偽”，不能“存真”。但與其他電子郵件真實性鑒定方法相比，本方法原理易懂，操作步驟簡單，應是電子郵件真實性鑒定的首選。以下就該方法的內容，即電子郵件時間信息的解析和時間屬性邏輯關系判斷逐一進行討論，并通過實例就運用該方法的具體程序作一說明。

二、電子郵件時間信息解析

基于時間屬性的電子郵件鑒定方法主要包含電子郵件時間信息的解析和時間屬性邏輯關系判斷兩方面的內容，在此先就電子郵件時間信息解析進行討論。

電子郵件主要由郵件頭、正文和附件組成。郵件頭信息保存郵件各種屬性信息，通過適當設置電子郵件客戶端軟件可以查看。郵件正文通常包含郵件發送的文字信息、 圖片等內容，它和郵件附件一起，是能夠被客戶端軟件正常查看和識別的信息。時間屬性信息是電子郵件的重要信息，它記錄了電子郵件的發送過程、郵件文件生成時間等信息。電子郵件的時間屬性信息保存比較分散，在電子郵件頭、磁盤文件系統的文件時間屬性、郵件附件屬性等位置都能找到該信息，充分解析這些時間信息是鑒定電子郵件真實性的關鍵。

（一）Message ID時間信息解析

Message ID是電子郵件的“指紋”，由數字和符號組成，保存在郵件頭信息里，具有全球唯一性，即在全球不會找到兩封Massage ID相同的電子郵件。Message ID由發送方郵件服務器生成，具體格式會因電子郵件客戶端軟件的不同而有所不同。所有電子郵件頭信息都能找到Message ID，但并非所有客戶端軟件生成的Message ID都包含有時間信息。生成的Message ID包含時間信息的客戶端軟件主要有Outlook Express、Foxmail、Windows Live，以下將對其逐一進行說明。

1. Outlook Express的Message ID中的時間信息

Outlook Express的Message ID格式為：[random]{4}[hex Windows File Time/Date]{8}MYM[hex Windows File Time/time]{8}MYM[hwhash]{8}@[hostname]。其中，[hex Windows File Time/Date]表示8位16進制數值的郵件發送日期，[hex Windows File Time/time]表示8位16進制數值的郵件發送時間。在版本6.00.2900.5512之后的客戶端生成的Message ID中不再包含時間信息。

例如：Outlook Express生成的Message ID為： 00061405071cMYM0a352a80MYMc92c030b @ smallmin，

這表示該電子郵件發送時間為：2005年7月28日10時53分42秒。

2.Foxmail的Message ID中的時間信息

Foxmail的Message ID格式為：[Datetime]{21}@[hostdomain]。其中，[Datetime]表示21位的日期時間。

例如：Foxmail生成的Message ID為：Message-id：201105261552312350836@sjtu.edu.cn，這表示

該電子郵件發送時間為：2011年5月26日15時52分31秒。

3.Windows Live的Message ID的時間信息

Windows Live的Message ID格式為：[Windows File TimeDate]{14}[random]{12} @[hostname]。其中，[Windows File TimeDate]{14}表示14位的日期時間。

例如：Windows Live生成的Message ID為：20120516234308.802465300A3@webmail.sinamail.sin.com.cn，這表示該電子郵件發送時間為：2012年5月16日23時43分8秒。

（二）Date時間信息解析

Date時間屬性是指保存在電子郵件頭信息里的郵件發送時間。相比Massage ID，其格式較為簡單。如：Date：Sun，20 May 2012 08：19：44 +0800，

該Date時間表示電子郵件發送時間為2012年5月20日8時19分44秒，發送地點時區為東8區。

（三）Boundary時間信息解析

Boundary是電子郵件內部信息分界標記。郵件頭中的Boundary屬性用來分隔郵件純文本和超文本正文，郵件正文中的Boundary屬性用來分隔郵件主體、內嵌資源（一般為超文本正文的圖片）以及郵件附件[6]。Boundary屬性在郵件頭會出現一次，在郵件正文會出現多次。雖然并非所有郵件客戶端生成的Boundary都能解析出時間信息，但大多數國內網絡郵箱客戶端生成的Boundary中都包含時間信息。以126郵箱為例，Boundary的格式為：=_part_[random]{6}_[random2]{8}.[UnixTime]{13}。

其中，UnixTime是從19700101 00：00：00格林尼治標準時間到Date時間的毫秒數。

（四）Received時間信息解析

Received信息在郵件頭信息里表示郵件的發送路徑列表，即從發送者到接收者之間郵件經過郵件服務器的路徑順序表。Received信息排列在郵件頭的起始位置，從開始位置起，第一項記錄是郵件經過的最后經過服務器信息，最后一項記錄是郵件的起始經過服務器信息。Received信息的一般格式為：

Received：from郵件服務器域名[郵件服務器ip地址]+郵件服務器類型+郵件經過該服務器時間+其他時間信息。

例如：Received： from r175229.sinamail.sina.com.cn （unknown [60.28.175.229]）

by mx16 （Coremail） with SMTP id QsCowED5DUtw+rJPGm72BA.942S2；Wed， 16 May 2012 08：53：04 +0800 （CST），這里表示電子郵件在16 May 2012 08：53：04 +0800時間經過r175229.sinamail.sina.com.cn （unknown [60.28.175.229]）服務器。

（五）郵件文件和郵件附件的時間信息解析

任何電子數據的存儲介質所采用的文件系統都必然設計管理文件屬性信息的功能，文件屬性信息里就包含了時間信息。文件系統可以簡單理解為計算機或者其他電子設備在存儲介質里的文件保存方法，一般在我們格式化存儲介質的時候產生。文件系統儲存的文件屬性信息包括文件大小、文件的時間屬性、文件的類型等信息，其中，文件時間屬性包含文件創建時間、修改時間、訪問時間等，文件類型包括文件是否只讀、隱藏、是否為系統文件等。文件系統會將文件屬性信息和文件內容分開存儲，文件系統不同，時間屬性的保存位置也不一樣。如早些年計算機硬盤和其他電子設備存儲介質較多使用的Fat32文件系統時間屬性保存在該文件系統數據區的目錄項里，Windows7系統所采用的NTFS文件系統的文件時間屬性保存在主文件分配表的10H屬性里。郵件客戶端軟件接收、保存電子郵件之后，會在計算機硬盤里寫入電子郵件文件，同時將時間屬性信息寫入文件系統相應的位置。電子郵件的時間屬性信息獲取相對比較容易，和其他文件操作一樣，在Windows操作系統下，找到文件“右擊”，選擇屬性，便能查看到電子郵件的時間屬性。如果想進一步對比大量電子郵件的時間屬性，可以用專業的計算機取證分析軟件如Xways Forensic和Encase先進行電子郵件過濾，然后再分別列出電子郵件的時間屬性進行分析對比。

另一個可以提取時間信息的文件是電子郵件里添加的郵件附件。附件文件通常是計算機硬盤里保存的文件，是通過計算機操作或者其他電子設備生成的，和其他電子數據文件的時間屬性一樣，這就必然在文件屬性里包含文件時間屬性信息，如文件創建時間、修改時間、訪問時間等，電子郵件的發送也將這些信息一同發送給郵件的接收者。附件文件的時間屬性相比其他時間信息較為隱蔽，不容易被察覺和重視，也往往被取證人員或者鑒定人員所忽略，而獲取該信息也要通過專業的軟件。在實踐中鑒定人員通常采用Intella或者Nuix軟件來查看郵件附件文件的時間屬性，操作很簡便。

（六）時間信息解析的工具和步驟

電子郵件分析有專業的分析軟件，比如Intella和Nuix Forensics，它們都可以在加載電子郵件文件之后，通過查看郵件頭信息，直觀方便地查找出郵件頭信息里的時間屬性信息。電子郵件文件儲存在硬盤的二進制數據直接轉化為ASSIC碼數據之后，文件的起始位置就是電子郵件頭信息，如Received、Date和Message ID等信息，這些數據或者時間信息的獲取，簡單的二進制代碼查看軟件就能做到，如Winhex軟件就能查看。專業的電子郵件分析軟件的不同之處在于將這些數據以一種更加直觀的方式呈現給使用者，同時挖掘深層次的數據，比如解析電子郵件的內容、分析電子郵件附件文件的內容和文件屬性信息，專業的郵件分析軟件的操作也較為簡便。Intella軟件的電子郵件分析步驟是加載電子郵件文件之后，雙擊郵件文件，點擊郵件頭就能看到郵件頭信息；點擊附件，雙擊附件文件就能看到附件文件和該文件的屬性信息。Xways Forensic軟件在過濾出電子郵件文件之后，在電子郵件查閱窗口便可以查看郵件頭的各種數據，比如Message ID、Date等信息。

三、時間屬性邏輯關系判斷

一封沒有經過篡改或者偽造的電子郵件發送和接收必然要滿足時間結構上的邏輯關系，并遵循時間先后邏輯順序關系，這是電子郵件發送必須要遵守的客觀規律，電子郵件時間結構的這種關系主要表現在時間統一和時間的先后順序方面。電子郵件在遭到篡改或者偽造之后通常會表現出時間邏輯結構方面的矛盾，即時間的不統一或者時間先后順序的錯亂。經過篡改或者偽造的電子郵件時間邏輯結構矛盾情況的出現與電子郵件時間信息的提取位置有關，不同位置提取的時間信息在矛盾表現上也不一致。

（一）時間信息的統一性分析

一些電子郵件的Message ID和Boundary信息能夠解析出該電子郵件的發送時間，在這類電子郵件頭的郵件信息里，Date信息、Message ID和 Boundary信息是在電子郵件發送過程中同時生成的，其內部解析出的時間信息應當具備統一性，即三個時間值要完全一致。另外，在電子郵件經過第一個服務器時，Received From信息里添加了第一條記錄，也就是郵件頭信息中的最后一條記錄，該記錄的時間信息也是郵件的發送時間，故和Date時間信息應該具備統一性。現實中考慮到郵件數據傳遞設備的延時效果，該時間信息和Date時間信息相比可能會有出入，但是不會太大。電子郵件時間屬性統一性分析通過對比解析出的時間信息，根據時間信息的統一關系，可確認時間信息是否遭到篡改，如發現時間信息遭到篡改，便可以判斷出該電子郵件不具有真實性。

（二）時間先后順序分析

時間先后順序是電子郵件時間分析涉及時間點最多的邏輯關系。電子郵件發送過程中，各個包含時間信息的數據生成的時間先后不一樣，這就導致這些時間表現為先后順序，這種時間先后順序的不同會因時間提取點的不同而不同。第一，電子郵件的發送時間必然在先，接收在后。電子郵件在發送的過程中時間信息要滿足先后順序，這部分的分析可以檢查電子郵件發送接收時間信息的先后順序。第二，Received最后一條記錄為電子郵件經過的第一個服務器，這條記錄記錄的時間信息最早，依次稍微延時，直到最后一條記錄，也就是第一條時間記錄最晚。Received信息生成于電子郵件發送傳輸過程中，電子郵件在網絡中以光速傳播，考慮到實際電子設備的延時效果，電子郵件依次經過的服務器時間也會有差距和延時，但是時間不會延遲太久，所以表現出時間的先后順序。第三，發送端郵件文件的生成時間在電子郵件接收時間之前，電子郵件接收端郵件文件生成時間在電子郵件發送之后。電子郵件完成發送之后，客戶端軟件就會在本地計算機保存電子郵件文件，電子郵件接收之后才能再生成電子郵件文件，因此，解析出的郵件文件生成時間必然是發送端郵件文件的生成時間在電子郵件接收時間之前，電子郵件接收端郵件文件生成時間在電子郵件發送之后，這是電子郵件發送接收的邏輯規律。第四，電子郵件附件文件的創建時間在發送時間之前。郵件的附件文件一定是計算機或者其他電子設備創建完成的電子數據，否則不能添加為附件文件并發送給郵件接收人，文件建立的活動在發送之前，故電子郵件的建立時間一定在電子郵件發送時間之前。

電子郵件的時間先后順序分析方法是電子郵件時間邏輯關系分析方法中最重要的分析方法，這是由電子郵件活動過程所遵循的邏輯順序決定的。通過解析電子郵件的時間，并進行各種邏輯關系論證，便能準確排除已經被污染的電子郵件證據。

四、程序說明

下文將通過司法鑒定實務中的一個真實案例來說明基于時間屬性的電子郵件真實性鑒定方法的具體程序。

在× ×民事訴訟中，被告向法庭提交了若干封與原告往來作為證據的電子郵件，原告對其中主題為“貨款”和“催收”的兩封電子郵件提出異議。現法院送檢原告方提交的用于收發電子郵件的計算機的硬盤，委托A司法鑒定中心對其中有爭議的兩封電子郵件的真實性進行司法鑒定 該案例系筆者所在單位主管的A司法鑒定中心2012年接受委托的鑒定案件。接受委托后，鑒定人員運用基于時間屬性的電子郵件真實性鑒定方法進行鑒定，得出的鑒定意見提交法庭經過質證后為法庭所采信。 。現將該案鑒定程序的主要內容說明如下。

（一）證據保全

A司法鑒定中心工作人員依照鑒定程序首先記錄硬盤的相關信息，在送檢方和工作人員的見證之下拆封硬盤接口封條，用硬盤復制機對整個硬盤二進制數據進行克隆制作硬盤鏡像，同時計算檢材硬盤和硬盤鏡像的哈希值。在確認兩者一致后，檢材硬盤送交保管，硬盤鏡像用于鑒定，即后期所有鑒定工作均在硬盤鏡像上進行。證據保全的作用在于獲得可供鑒定使用的復制件，避免在證據源盤上進行操作可能發生的毀壞或污染電子數據的風險。

（二）電子郵件檢驗分析

將硬盤鏡像通過只讀設備連接鑒定用計算機，用文件分析軟件分析硬盤文件，過濾出有爭議的電子郵件文件，同時計算電子郵件文件的哈希值，最后采用專業電子郵件分析軟件分析有爭議的兩封電子郵件。電子郵件分析主要是提取電子郵件內容、郵件頭信息、郵件文件屬性信息、郵件附件內容和附件屬性信息，分析兩封電子郵件相關信息，判斷電子郵件是否偽造或篡改。檢驗分析過程應使用專業的取證分析工具，并遵守相應的鑒定技術規范。具體分析過程及結果如下。

1.主題為“貨款”的電子郵件的檢驗分析。郵件頭中Data、Message ID以及Received中的時間均為2012年3月17日，首先使用分析軟件查看郵件的文件屬性，顯示“創建時間”也為2012年3月17日，表明此封郵件是在2012年3月17日生成。使用分析軟件查看郵件的文件屬性，顯示“修改時間”為2012年3月21日，這表明此郵件于2012年3月21日被修改。其次查看郵件時間和附件時間屬性，使用分析軟件查看郵件附件“協信公司聲明.doc”，顯示其創建時間為2012年3月21日，郵件附件應早于郵件或與郵件同時創建，附件的創建時間與郵件的創建時間存在明顯的矛盾。綜上，通過對郵件頭、文件時間屬性及附件的時間屬性的分析，可以得出鑒定意見，即該郵件應經過偽造、篡改。

2.主題為“催收”的電子郵件的檢驗分析。郵件頭中的Message ID與Date同時生成，故從Message ID中提取的時間應與從 Date中提取的時間一致，Received中提取的時間也應與Date中提取的時間一致或略微延后。通過分別提取郵件中郵件頭的Message ID、Date及Received的時間信息，發現三個時間存在較大差異，綜上，可以得出鑒定意見：該郵件應經過偽造、篡改。

（三）鑒定意見書制作提交與存檔

A司法鑒定中心工作人員在完成以上檢驗分析步驟之后制作了司法鑒定意見書，鑒定意見為：“1.主題為‘貨款’的郵件，經過偽造、篡改； 2.主題為‘催收’的郵件，經過偽造、篡改。”并將其與檢材、附件光盤一起提交法院，同時在鑒定中心存檔一份。制作鑒定意見書應符合《司法鑒定文書規范》的要求，便于對電子郵件證據的質證和認定。存檔司法鑒定意見書的目的是便于進行業務總結和方便外部監督。

五、結 語

基于時間屬性的電子郵件真實性鑒定，關鍵在于解析電子郵件在發送過程中生成的時間信息，判斷這些時間所遵循的邏輯關系是否成立，以鑒定電子郵件的真偽、認定電子郵件證據真實性。電子數據作為新的證據類型已為訴訟法所規定[7]，隨著計算機網絡的進一步普及，電子數據在電子商務案件、電子政務案件、網絡侵權和網絡犯罪案件中將會得到越來越廣泛的運用，作為電子數據之一的電子郵件由于其易偽造性、易修改性和依附性，在訴訟中往往需要進行真實性鑒定。由于基于時間屬性電子郵件真實性鑒定方法的可靠性和簡易性，其在電子郵件真實性鑒定中將會起到不可替代的作用。

參考文獻：

[1] 工業和信息化部電信管理局許廉先生致辭[EB/OL].（20130328）[20131002]. http：//tech.china.com/news/net/domestic/11066127/20130328/17751876.html.

[2] 廖根為.論電子郵件證據證明力[J].安徽師范大學學報：人文社會科學版，2010（3）：304308.

[3] 廖根為.電子郵件真偽鑒定初探[J].犯罪研究，2009（3）：4248.

[4] 郭弘，金波.利用郵件頭分析電子郵件的真偽[J].中國司法鑒定，2010（4）：6368.

[5] 李巖，施少培，楊旭，等.電子郵件真實性鑒定方法探索[J].中國司法鑒定，2012（4）：9499.

[6] 聶小塵，邱衛東，李巖，等.基于多屬性的電子郵件鑒定研究[J].信息安全與通信保密，2012（2）：7677，80.

[7] 汪振林.電子數據原件問題研究[J].重慶郵電大學學報：社會科學版，2012（5）：3337.

[8] 汪振林.電子數據分類研究[J].重慶郵電大學學報：社會科學版，2013（3）：2126.

[9] 程權，孟傳香.論新刑事訴訟視野下電子證據的審查[J]. 重慶郵電大學學報：社會科學版，2013（6）：3943.

Time Attributebased Identification of the Authenticity of the Email

WANG Zhenlin， ZHANG Chengxu

（College of Law， Chongqing University of Posts and Telecommunications， Chongqing 400065， China）

Abstract：

The development of society and technology makes the adoption of email to be used as the evidence possible， but it may be the most pressing issue to identify the authenticity of email. Existing email authenticity identification methods have shortcomings， but the method taking the time attribute of the email as an entry point to analyze and judge the authenticity of the email is easy to understand， operate and easy to implement email authenticity identification purposes. This time attributebased identification of the authenticity of the email method includes the time attribute information extraction and time attribute logic relationship judgment. If the time attribute has logical relationship conflicts， you can be sure that the email has been tampered with， and it can not satisfy the authenticity conditions as evidence.

Key words：

email； authenticity identification； time attribute； email head

（編輯：劉仲秋）