刘奇伟
(河北远东通信系统工程有限公司 河北 石家庄 050000)
电子邮件真实性技术分析
刘奇伟
(河北远东通信系统工程有限公司 河北 石家庄 050000)
电子邮件作为现代通信的一种重要方式,被越来越多的应用到电子商务及日常生活中。电子邮件的真伪的分析,也成为电子数据司法鉴定领域一项重要的课题。文章针对目前较为常见的电子邮件的篡改方法,通过对电子邮件客户端收发的邮件进行结构分析、邮件头分析、邮件内容分析、邮件附件分析、相关邮件分析及操作行为分析等相关内容的综合分析,对电子邮件的真实性进行分析提出了可行性的方法。
电子邮件 真实性 邮件头
随着互联网的普及,电子邮件成为了一种重要的传递信息的手段,在现代商业交往中电子邮件也发挥着越来越重要的作用。然而在使用方便的同时,电子邮件也存在着易修改等诸多问题。本文主要通过分析电子邮件头、邮件客户端等方面来判断电子邮件的真实性,为司法鉴定中电子邮件的真实性鉴定提供技术支持。目前在司法鉴定领域,对电子邮件真实性的鉴定主要是对邮件客户端中邮件真实性的鉴定,因此本文对电子邮件真实性的技术分析主要围绕电子邮件客户端中邮件的真实性而进行。
①目前对电子邮件的篡改主要针对EML文件进篡改:邮件内容的修改主要涉及修改邮件内的时间、数量和价格等相关涉及约定事宜的内容;于邮件附件篡改:附件的修改包括文档内容的修改、电子邮件附件文件的替换、删除电子邮件附件和添加电子邮件附件;③邮件头篡改:电子邮件的邮件头包括了邮件的发送时间、发送人、接收人、主题、邮件ID、发送中转和接收等所需服务器等邮件的基本信息。
对邮件真实性的分析,首先应从了解邮件的结构入手,电子邮件结构包括邮件头和邮件体,邮件体实际上是一行行的ASCII字符构成的简单序列,它和邮件头是靠一个空行来区分开的。
3.1 邮件头
邮件头字段不是必须按照特定的顺序安排。在一封邮件中,邮件头一般包含以下几个部分:“Received”、“Date”、“From”、“To”、“Subject”、“Mailer”、“Content-Type”和“Message-ID”等[1]。
①Received,表示邮件发送过程中所经过的服务器,常见格式如下:
Received:from邮件服务器名(邮件服务器名[IP地址])By接收方服务器名(邮件服务器软件版本)with邮件发送协议类型id邮件本地编号:转发时间;
于Date:表示邮件的发送时间,其中包括星期、日期和时间等信息;
③From:表示邮件的发送地址及发件人地址;
④To:表示邮件的接受地址及收件人地址;
⑤Subject:邮件主题,如邮件主题为汉字,则以编码形式显示;
⑥Mailer:邮件发送服务器名称,如使用邮件客户端进行发送的邮件,会显示邮件客户端名称及版本号;
⑦Content-Type:邮件内容类型,说明邮件正文部分的文件类型,由于邮件的正文存在“text/plain”、“text/html”2种形式;
⑧Message-ID:邮件ID,邮箱服务器会通过邮件发送时间等信息赋予该邮件的“Message-ID”;
⑨X-CM-TRANSID:如果是Foxmail通过126邮箱发送的的邮件,这条信息内的ID应与邮件头最下面一条Received信息中的with SMTP id相符。如果是126邮箱接收的邮件,这条信息内的ID应与邮件头最上面一条Received信息中的邮件的服务器为该件赋于的ID号相符。
3.2 邮件正文
在邮件中第一个空行后,可以看到通过“Content-Type”中“boundary”相应字段,这就是邮件正文的开始,如邮件存在附件,在该字段“Content-Type”中会出现一个新的“boundary”所指引的边界信息。该边界信息所内的内容为邮件正文,如邮件不存在附件,邮件正文的边界信息则以邮件头中的“Content-Type”所提示的边界信息为准。
邮件的正文存在2种形式,一种为“text/plain”是无格式正文,一种为“text/html”是html格式的正文,在网页及客户端中看的到邮件正文都是以“text/html”的格式所显示。
3.3 邮件附件
在邮件正文边界后的,会出现一个邮件头中“Content-Type”所提示的边界信息,这个边界信息后的内容为邮件附件,如存在多个附件,每个附件之间都会存在一条该边界信息。在附件的“Content-Type”信息中包括类型标识和子类型标识,前者类型标识声明了数据的类型,后者子类型标识为这种数据类型指定了特定的格式。
附件类型分为7种,分别是:文本(Text)、多文档(mulipart)、消息(Message)、图像(Image)、音频(audio)、视频(Video)和应用(Application)。当遇到未知的类型如压缩文件时,将会把未知类型当作“application/octet-stream”对待。
电子邮件真实性分析主要从以下几个方面进行分析。
4.1 电子邮件客户端分析
电子邮件客户端是日常办公中经常使用的邮件发送及接收所使用软件,在使用方便快捷的同时也会在操作时产生相应的记录。打开电子邮件客户端,查看客户端收件箱、发件箱和回收站是否存在与需要分析真实性的邮件相关的原邮件、转发邮件、回复邮件和删除邮件等内容。
在对Live Mail客户端中的邮件真实性进行分析时,应查看邮件的流文件,在流文件中会记录邮件的相关事件及大小属性,该属性不会因修改邮件而改变,在流文件中邮件的发送时间为0时区时间[2]。
4.2 邮件内容分析[3]
⑴邮件关联性分析
查看客户端中相关邮件:①发件箱:查看发件箱内是否存在对怀疑修改的邮件的回复,如存在回复邮件,可以查看回复的邮件中的原邮件内容与怀疑修改的邮件是否相同;于垃圾箱:查看垃圾箱内是否存在被删除的怀疑修改的邮件,如存在相关邮件,可以查看垃圾箱内的相关邮件与怀疑修改的邮件是否相同。
⑵邮件编码分析
邮件内容的修改方式为将邮件的正文部分的编码进行解码后修改,修改完成后将修改过的邮件内容转换为邮件原编码格式后,对原编码进行替换。邮件内容分为“Content-Type: text/plain”、“Content-Type:text/html”,邮件内容的修改只有对邮件内容的“text/html”编码进行修改后才可以在正常打开邮件时显示为已修改内容,所以在对邮件内容真实性进行判别时可以对“Content-Type:text/plain”的内容进行解码后查看内容与邮件内容是否一致[4,5],如不一致则可以判断邮件内容经过了修改。
⑶邮件与硬盘关联性分析
查看邮件所在硬盘的是否安装了360杀毒软件,如安装360杀毒软件,首先查看怀疑修改的邮件的文件属性,根据文件属性所显示的修改时间,查看相关硬盘中360杀毒软件日志文件所记录的修改时间当天的计算机操作记录日志[2]。
根据属性显示的修改时间打开相应日志文件,点击查找,输入需要分析的邮件名称,进行查找。在该日志中主要查看与需要分析真实性的邮件的文件属性中修改时间相近的日志记录中如否存在“记事本(notepad.exe)”调用了要查找的文件。
⑷附件分析
对邮件存在附件的邮件,可对附件主题和内容进行关键字设定,在邮件所在硬盘中对关键字进行搜索。查找硬盘中是否存在与附件相同个文件。
如邮件发送的方式为通过“foxmail客户端”发送,在邮件头的信息中也可对是否存在附件进行鉴定,使用“foxmail客户端”发送的邮件,在邮件头“X-Has-Attach”中会存在不同的表现。如存在附件,显示为“X-Has-Attach:yes”,如发送时不存在附件显示为“X-Has-Attach:no”。
根据邮件头中“Content-Type”项中“boundary”中的Part内容对邮件内容进行查找。
在邮件正文部分,查抄下列字段:
“Content-Type”中显示为附件文件类型,及附件名称;
“Content-Transfer-Encoding”显示为附件编码类型;
“Content-Disposition”显示为该内容为类型;
“filename”显示为附件文件名。
根据上面的内容可以对邮件中附件的名称及附件的类型进行分析,从而查看邮件中所包含的附件是否经过修改。如邮件中“Content-Type”中所显示的文件类型为“image/jpeg”,但邮件附件名后缀为文档文件,同时附件“filename”与“name”处文件名不符,由此可以判断这个邮件的附件是经过修改的。如附件内容为文档文件,可对邮件所在硬盘进行关键字搜索,设置邮件附件内容所包含的关键字,对邮件所在硬盘进行检索,查看是否存在相关的文档。对搜索到的相关文档与附件文档进行比对,查看是否存在差异。
4.3 邮件头分析
⑴发件人真实性分析
通过邮件头的特征,对邮件发件人真实性的进行分析。正常的邮件的发件人应与第一项Received信息中的地址相符。
通过对“网易”、“新浪”、“搜狐”、“QQ”和“foxmail客户端”等目前较为常用的邮件服务器所发邮件的邮件头进行比对后发现,由于邮箱服务器不同,一些邮箱发出的邮件不会存在第一项Received信息,如“QQ”和“foxmail客户端”发出的邮件就不存在第一项Received信息[6],同时对发件人真实性的分析可以根据一些邮件服务器的Message-ID中的信息来进行判断,如“网易”和“搜狐”等邮箱服务器的Message-ID信息中会出现发件人地址。
⑵发件时间真实性分析
通过对邮件头的分析,可以看到在Received信息中会存在时间信息,所以在对时间真实性的分析上应注意邮件的发送时间,是否与Received信息中的时间相符。在关注发件时间是,也应注意发件时间中的星期与发件日期是否相符[7]。
在对发件人真实性分析时,提到过的Message-ID信息,在对时间真实性进行分析时,也可以得到应用,如“新浪”和“foxmail客户端”所发邮件的Message-ID信息中会出现时间信息[8-10],在这应注意到新浪Message-ID的时间为0时区和我们相差8小时,所以时间加8 h。
电子邮件真实性的分析,不是对一个邮件个体的分析,是一个需要通过对邮件客户端、邮件头中Message-ID信息、Received信息、邮件正文编码特征、邮件附件编码特征及相关硬盘的检验等多种方式相互结合从而得出结论的过程,同时在分析过程中要注意邮件特征的每一个细节及邮件特征的前后关联性。在实际应用过程中,对使用客户端收发的电子邮件的修改,通过上述分析方法基本可以做到准确的判断。但目前在对使用网页收发的电子邮件的真实性鉴定上还存在一定的难题,需要进行深入的研究。
[1]李岩,施少培,陈晓红,等.民事案件中电子数据真实性鉴定实践探讨[C].上海:2011司法鉴定理论与实践研讨会论文集,2012:565-569.
[2]司法部司法鉴定科学技术研究所.电子邮件真实性鉴定鉴定文书评析[M].北京:科学出版社,2013:492-577.
[3]SF/Z JD0402001—2014,电子邮件鉴定实施规范[S].
[4]王晨.电子邮件的研究与取证[J].中小企业管理与科技, 2010(18):263-264.
[5]罗文华.一封涉案电子邮件的检验分析[J].警察技术,2010 (1):28-30.
[6]廖根为.电子邮件真伪鉴定初探[J].犯罪研究,2009(3):42-48.
[7]张新霞.擦亮眼睛辨别电子邮件真伪[J].信息网络安全,2007 (4):17-18.
[8]罗文华,段严兵.通过邮件头分析进行电子邮件追踪[J].警察技术,2008(1):48-50.
[9]聂小尘,邱卫东,李岩,等.基于多属性的电子邮件鉴定研究[J].信息安全与通信保密,2012(2):76-80.
[10]郭弘,金波.利用邮件头分析电子邮件的真伪[J].中国司法鉴定,2010(4):63-68.
Technical Analysis on E-mail Authenticity
LIU Qi-wei
(Hebei Far-east Communication System Engineering Co.,Ltd,Shijiazhuang Hebei 050000,China)
The e-mail as an important way of modern communications is increasingly applied to electronic commerce and daily life. The analysis of e-mail authenticity also becomes an important topic in the field of judicial expertise of electronic data.Aiming at the common tampering method of e-mail at present,based on e-mail sent and received by e-mail client,this paper implements the comprehensive analysis of related contents,including structural,message header,message content,e-mail attachments,related messages and operation behavior,and proposes the feasible method of analyzing the authenticity of e-mail.
e-mail;authenticity;message header
TP393
A
1008-1739(2015)02-70-3
定稿日期:2014-12-26