電子郵件真實性技術(shù)分析

劉奇?zhèn)?/p>

（河北遠(yuǎn)東通信系統(tǒng)工程有限公司 河北 石家莊 050000）

電子郵件真實性技術(shù)分析

劉奇?zhèn)?/p>

（河北遠(yuǎn)東通信系統(tǒng)工程有限公司 河北 石家莊 050000）

電子郵件作為現(xiàn)代通信的一種重要方式，被越來越多的應(yīng)用到電子商務(wù)及日常生活中。電子郵件的真?zhèn)蔚姆治觯渤蔀殡娮訑?shù)據(jù)司法鑒定領(lǐng)域一項重要的課題。文章針對目前較為常見的電子郵件的篡改方法，通過對電子郵件客戶端收發(fā)的郵件進(jìn)行結(jié)構(gòu)分析、郵件頭分析、郵件內(nèi)容分析、郵件附件分析、相關(guān)郵件分析及操作行為分析等相關(guān)內(nèi)容的綜合分析，對電子郵件的真實性進(jìn)行分析提出了可行性的方法。

電子郵件 真實性 郵件頭

1 引言

隨著互聯(lián)網(wǎng)的普及，電子郵件成為了一種重要的傳遞信息的手段，在現(xiàn)代商業(yè)交往中電子郵件也發(fā)揮著越來越重要的作用。然而在使用方便的同時，電子郵件也存在著易修改等諸多問題。本文主要通過分析電子郵件頭、郵件客戶端等方面來判斷電子郵件的真實性，為司法鑒定中電子郵件的真實性鑒定提供技術(shù)支持。目前在司法鑒定領(lǐng)域，對電子郵件真實性的鑒定主要是對郵件客戶端中郵件真實性的鑒定，因此本文對電子郵件真實性的技術(shù)分析主要圍繞電子郵件客戶端中郵件的真實性而進(jìn)行。

2 電子郵件篡改現(xiàn)狀

①目前對電子郵件的篡改主要針對EML文件進(jìn)篡改：郵件內(nèi)容的修改主要涉及修改郵件內(nèi)的時間、數(shù)量和價格等相關(guān)涉及約定事宜的內(nèi)容；于郵件附件篡改：附件的修改包括文檔內(nèi)容的修改、電子郵件附件文件的替換、刪除電子郵件附件和添加電子郵件附件；③郵件頭篡改：電子郵件的郵件頭包括了郵件的發(fā)送時間、發(fā)送人、接收人、主題、郵件ID、發(fā)送中轉(zhuǎn)和接收等所需服務(wù)器等郵件的基本信息。

3 電子郵件結(jié)構(gòu)分析

對郵件真實性的分析，首先應(yīng)從了解郵件的結(jié)構(gòu)入手，電子郵件結(jié)構(gòu)包括郵件頭和郵件體，郵件體實際上是一行行的ASCII字符構(gòu)成的簡單序列，它和郵件頭是靠一個空行來區(qū)分開的。

3.1 郵件頭

郵件頭字段不是必須按照特定的順序安排。在一封郵件中，郵件頭一般包含以下幾個部分：“Received”、“Date”、“From”、“To”、“Subject”、“Mailer”、“Content-Type”和“Message-ID”等[1]。

①Received，表示郵件發(fā)送過程中所經(jīng)過的服務(wù)器，常見格式如下：

Received：from郵件服務(wù)器名(郵件服務(wù)器名[IP地址])By接收方服務(wù)器名(郵件服務(wù)器軟件版本)with郵件發(fā)送協(xié)議類型id郵件本地編號：轉(zhuǎn)發(fā)時間；

于Date：表示郵件的發(fā)送時間，其中包括星期、日期和時間等信息；

③From：表示郵件的發(fā)送地址及發(fā)件人地址；

④To：表示郵件的接受地址及收件人地址；

⑤Subject：郵件主題，如郵件主題為漢字，則以編碼形式顯示；

⑥Mailer：郵件發(fā)送服務(wù)器名稱，如使用郵件客戶端進(jìn)行發(fā)送的郵件，會顯示郵件客戶端名稱及版本號；

⑦Content-Type：郵件內(nèi)容類型，說明郵件正文部分的文件類型，由于郵件的正文存在“text/plain”、“text/html”2種形式；

⑧Message-ID：郵件ID，郵箱服務(wù)器會通過郵件發(fā)送時間等信息賦予該郵件的“Message-ID”；

⑨X-CM-TRANSID：如果是Foxmail通過126郵箱發(fā)送的的郵件，這條信息內(nèi)的ID應(yīng)與郵件頭最下面一條Received信息中的with SMTP id相符。如果是126郵箱接收的郵件，這條信息內(nèi)的ID應(yīng)與郵件頭最上面一條Received信息中的郵件的服務(wù)器為該件賦于的ID號相符。

3.2 郵件正文

在郵件中第一個空行后，可以看到通過“Content-Type”中“boundary”相應(yīng)字段，這就是郵件正文的開始，如郵件存在附件，在該字段“Content-Type”中會出現(xiàn)一個新的“boundary”所指引的邊界信息。該邊界信息所內(nèi)的內(nèi)容為郵件正文，如郵件不存在附件，郵件正文的邊界信息則以郵件頭中的“Content-Type”所提示的邊界信息為準(zhǔn)。

郵件的正文存在2種形式，一種為“text/plain”是無格式正文，一種為“text/html”是html格式的正文，在網(wǎng)頁及客戶端中看的到郵件正文都是以“text/html”的格式所顯示。

3.3 郵件附件

在郵件正文邊界后的，會出現(xiàn)一個郵件頭中“Content-Type”所提示的邊界信息，這個邊界信息后的內(nèi)容為郵件附件，如存在多個附件，每個附件之間都會存在一條該邊界信息。在附件的“Content-Type”信息中包括類型標(biāo)識和子類型標(biāo)識，前者類型標(biāo)識聲明了數(shù)據(jù)的類型，后者子類型標(biāo)識為這種數(shù)據(jù)類型指定了特定的格式。

附件類型分為7種，分別是:文本(Text)、多文檔(mulipart)、消息(Message)、圖像(Image)、音頻(audio)、視頻(Video)和應(yīng)用(Application)。當(dāng)遇到未知的類型如壓縮文件時，將會把未知類型當(dāng)作“application/octet-stream”對待。

4 郵件真實性分析

電子郵件真實性分析主要從以下幾個方面進(jìn)行分析。

4.1 電子郵件客戶端分析

電子郵件客戶端是日常辦公中經(jīng)常使用的郵件發(fā)送及接收所使用軟件，在使用方便快捷的同時也會在操作時產(chǎn)生相應(yīng)的記錄。打開電子郵件客戶端，查看客戶端收件箱、發(fā)件箱和回收站是否存在與需要分析真實性的郵件相關(guān)的原郵件、轉(zhuǎn)發(fā)郵件、回復(fù)郵件和刪除郵件等內(nèi)容。

在對Live Mail客戶端中的郵件真實性進(jìn)行分析時，應(yīng)查看郵件的流文件，在流文件中會記錄郵件的相關(guān)事件及大小屬性，該屬性不會因修改郵件而改變，在流文件中郵件的發(fā)送時間為0時區(qū)時間[2]。

4.2 郵件內(nèi)容分析[3]

⑴郵件關(guān)聯(lián)性分析

查看客戶端中相關(guān)郵件：①發(fā)件箱：查看發(fā)件箱內(nèi)是否存在對懷疑修改的郵件的回復(fù)，如存在回復(fù)郵件，可以查看回復(fù)的郵件中的原郵件內(nèi)容與懷疑修改的郵件是否相同；于垃圾箱：查看垃圾箱內(nèi)是否存在被刪除的懷疑修改的郵件，如存在相關(guān)郵件，可以查看垃圾箱內(nèi)的相關(guān)郵件與懷疑修改的郵件是否相同。

⑵郵件編碼分析

郵件內(nèi)容的修改方式為將郵件的正文部分的編碼進(jìn)行解碼后修改，修改完成后將修改過的郵件內(nèi)容轉(zhuǎn)換為郵件原編碼格式后，對原編碼進(jìn)行替換。郵件內(nèi)容分為“Content-Type: text/plain”、“Content-Type:text/html”，郵件內(nèi)容的修改只有對郵件內(nèi)容的“text/html”編碼進(jìn)行修改后才可以在正常打開郵件時顯示為已修改內(nèi)容，所以在對郵件內(nèi)容真實性進(jìn)行判別時可以對“Content-Type:text/plain”的內(nèi)容進(jìn)行解碼后查看內(nèi)容與郵件內(nèi)容是否一致[4,5]，如不一致則可以判斷郵件內(nèi)容經(jīng)過了修改。

⑶郵件與硬盤關(guān)聯(lián)性分析

查看郵件所在硬盤的是否安裝了360殺毒軟件，如安裝360殺毒軟件，首先查看懷疑修改的郵件的文件屬性，根據(jù)文件屬性所顯示的修改時間，查看相關(guān)硬盤中360殺毒軟件日志文件所記錄的修改時間當(dāng)天的計算機操作記錄日志[2]。

根據(jù)屬性顯示的修改時間打開相應(yīng)日志文件，點擊查找，輸入需要分析的郵件名稱，進(jìn)行查找。在該日志中主要查看與需要分析真實性的郵件的文件屬性中修改時間相近的日志記錄中如否存在“記事本（notepad.exe）”調(diào)用了要查找的文件。

⑷附件分析

對郵件存在附件的郵件，可對附件主題和內(nèi)容進(jìn)行關(guān)鍵字設(shè)定，在郵件所在硬盤中對關(guān)鍵字進(jìn)行搜索。查找硬盤中是否存在與附件相同個文件。

如郵件發(fā)送的方式為通過“foxmail客戶端”發(fā)送，在郵件頭的信息中也可對是否存在附件進(jìn)行鑒定，使用“foxmail客戶端”發(fā)送的郵件，在郵件頭“X-Has-Attach”中會存在不同的表現(xiàn)。如存在附件，顯示為“X-Has-Attach：yes”，如發(fā)送時不存在附件顯示為“X-Has-Attach：no”。

根據(jù)郵件頭中“Content-Type”項中“boundary”中的Part內(nèi)容對郵件內(nèi)容進(jìn)行查找。

在郵件正文部分，查抄下列字段：

“Content-Type”中顯示為附件文件類型，及附件名稱；

“Content-Transfer-Encoding”顯示為附件編碼類型；

“Content-Disposition”顯示為該內(nèi)容為類型；

“filename”顯示為附件文件名。

根據(jù)上面的內(nèi)容可以對郵件中附件的名稱及附件的類型進(jìn)行分析，從而查看郵件中所包含的附件是否經(jīng)過修改。如郵件中“Content-Type”中所顯示的文件類型為“image/jpeg”，但郵件附件名后綴為文檔文件，同時附件“filename”與“name”處文件名不符，由此可以判斷這個郵件的附件是經(jīng)過修改的。如附件內(nèi)容為文檔文件，可對郵件所在硬盤進(jìn)行關(guān)鍵字搜索，設(shè)置郵件附件內(nèi)容所包含的關(guān)鍵字，對郵件所在硬盤進(jìn)行檢索，查看是否存在相關(guān)的文檔。對搜索到的相關(guān)文檔與附件文檔進(jìn)行比對，查看是否存在差異。

4.3 郵件頭分析

⑴發(fā)件人真實性分析

通過郵件頭的特征，對郵件發(fā)件人真實性的進(jìn)行分析。正常的郵件的發(fā)件人應(yīng)與第一項Received信息中的地址相符。

通過對“網(wǎng)易”、“新浪”、“搜狐”、“QQ”和“foxmail客戶端”等目前較為常用的郵件服務(wù)器所發(fā)郵件的郵件頭進(jìn)行比對后發(fā)現(xiàn)，由于郵箱服務(wù)器不同，一些郵箱發(fā)出的郵件不會存在第一項Received信息，如“QQ”和“foxmail客戶端”發(fā)出的郵件就不存在第一項Received信息[6]，同時對發(fā)件人真實性的分析可以根據(jù)一些郵件服務(wù)器的Message-ID中的信息來進(jìn)行判斷，如“網(wǎng)易”和“搜狐”等郵箱服務(wù)器的Message-ID信息中會出現(xiàn)發(fā)件人地址。

⑵發(fā)件時間真實性分析

通過對郵件頭的分析，可以看到在Received信息中會存在時間信息，所以在對時間真實性的分析上應(yīng)注意郵件的發(fā)送時間，是否與Received信息中的時間相符。在關(guān)注發(fā)件時間是，也應(yīng)注意發(fā)件時間中的星期與發(fā)件日期是否相符[7]。

在對發(fā)件人真實性分析時，提到過的Message-ID信息，在對時間真實性進(jìn)行分析時，也可以得到應(yīng)用，如“新浪”和“foxmail客戶端”所發(fā)郵件的Message-ID信息中會出現(xiàn)時間信息[8-10]，在這應(yīng)注意到新浪Message-ID的時間為0時區(qū)和我們相差8小時，所以時間加8 h。

5 結(jié)束語

電子郵件真實性的分析，不是對一個郵件個體的分析，是一個需要通過對郵件客戶端、郵件頭中Message-ID信息、Received信息、郵件正文編碼特征、郵件附件編碼特征及相關(guān)硬盤的檢驗等多種方式相互結(jié)合從而得出結(jié)論的過程，同時在分析過程中要注意郵件特征的每一個細(xì)節(jié)及郵件特征的前后關(guān)聯(lián)性。在實際應(yīng)用過程中，對使用客戶端收發(fā)的電子郵件的修改，通過上述分析方法基本可以做到準(zhǔn)確的判斷。但目前在對使用網(wǎng)頁收發(fā)的電子郵件的真實性鑒定上還存在一定的難題，需要進(jìn)行深入的研究。

[1]李巖,施少培,陳曉紅,等.民事案件中電子數(shù)據(jù)真實性鑒定實踐探討[C].上海:2011司法鑒定理論與實踐研討會論文集,2012:565-569.

[2]司法部司法鑒定科學(xué)技術(shù)研究所.電子郵件真實性鑒定鑒定文書評析[M].北京:科學(xué)出版社,2013:492-577.

[3]SF/Z JD0402001—2014,電子郵件鑒定實施規(guī)范[S].

[4]王晨.電子郵件的研究與取證[J].中小企業(yè)管理與科技, 2010(18):263-264.

[5]羅文華.一封涉案電子郵件的檢驗分析[J].警察技術(shù),2010 (1):28-30.

[6]廖根為.電子郵件真?zhèn)舞b定初探[J].犯罪研究,2009(3):42-48.

[7]張新霞.擦亮眼睛辨別電子郵件真?zhèn)蝃J].信息網(wǎng)絡(luò)安全,2007 (4):17-18.

[8]羅文華,段嚴(yán)兵.通過郵件頭分析進(jìn)行電子郵件追蹤[J].警察技術(shù),2008(1):48-50.

[9]聶小塵,邱衛(wèi)東,李巖,等.基于多屬性的電子郵件鑒定研究[J].信息安全與通信保密，2012(2):76-80.

[10]郭弘,金波.利用郵件頭分析電子郵件的真?zhèn)蝃J].中國司法鑒定,2010(4):63-68.

Technical Analysis on E-mail Authenticity

LIU Qi-wei
(Hebei Far-east Communication System Engineering Co.,Ltd,Shijiazhuang Hebei 050000,China)

The e-mail as an important way of modern communications is increasingly applied to electronic commerce and daily life. The analysis of e-mail authenticity also becomes an important topic in the field of judicial expertise of electronic data.Aiming at the common tampering method of e-mail at present,based on e-mail sent and received by e-mail client,this paper implements the comprehensive analysis of related contents,including structural,message header,message content,e-mail attachments,related messages and operation behavior,and proposes the feasible method of analyzing the authenticity of e-mail.

e-mail;authenticity;message header

TP393

A

1008-1739（2015）02-70-3

定稿日期：2014-12-26