【2016-4-10】電子郵件取證中的關鍵問題
2021-02-23 電子物證
來源:微型機與應用2013年第1期
作者:江 璜 陳海凌
關鍵詞: 軟體 電子證據 數字取證 電子郵件取證 郵件頭
摘 要: 首先分析了電子郵件證據的特點,然後針對涉及電子郵件的案件中爭議較多的焦點,提出解決電子郵件取證中的幾個關鍵問題的方法,即如何確定郵件的發送者、郵件到達時間以及確認收到郵件。
關鍵詞: 電子證據 數字取證 電子郵件取證 郵件頭
2011年,十一屆全國人大常委會第二十三次會議初次審議了《中華人民共和國民事訴訟法修正案(草案)》。新修正的草案規定,將在第六十三條證據種類中新增「電子數據」。這意味著電子郵件、QQ聊天記錄、微博等電子數據都將作為一種獨立證據正式成為呈堂證供。其實隨著信息技術的發展,在近年出現的不少繼承糾紛、名譽權糾紛、合同糾紛等民事案件中,已經有很多客觀事實正是通過電子證據反映出來的,其中,電子郵件證據尤為常見。因此,作為數字取證的一個重要分支,電子郵件取證的技術應用及相關法律法規問題成為當前研究和討論的熱點。
我國司法實踐中廣泛地使用電子證據這一概念,其涵蓋的範疇包括任何以電子形式存儲、處理、傳輸的證據。電子郵件作為一種重要的電子證據,具有如下不同於普通證據的兩個重要特點。
(1)技術性。電子郵件的產生、存儲、傳輸及其採集、分析和判斷都必須藉助計算機技術與網絡通信技術。
電子郵件證據的技術性要求取證人員應當了解或通曉計算機技術,以便於及時採取相應的技術方法收集證據,排查案情。電子郵件證據的技術性,還要求在涉及相關軟體的使用等問題時,應指派或聘請技術專家進行協助或鑑定。
(2)脆弱性。由於電子郵件數據可以被修改、偽造、刪除,這使電子郵件證據具有脆弱性,因此使用電子郵件證據的同時通常還需要結合其他證據才能進行裁定。
電子郵件是以電子元件和磁性材料為物質載體的二進位數字,存儲在計算機等電子設備上。行為人可以通過技術手段對電子郵件數據進行修改、偽造或者刪除。日益普及的網絡環境和快速的數據通信傳輸又為操縱計算機提供了更為便利的機會,使得變更、毀滅電子郵件證據也更加方便。這一特點給電子郵件證據的審查判斷帶來不少技術上的困難。
在不少涉及電子郵件的案件中,爭議較多的往往不是針對郵件內容本身,而是否認自己是郵件的發送者;在時效性要求比較高的場合,質疑電子郵件的發送接收時間;或者無法確認是否收到郵件。由於非專業人士要篡改電子郵件並不容易,只要取證過程合法可行,比如通過申請法院保全或者通過公證,就可以認定取得的電子郵件證據真實可靠,也就是能證明郵件由A發送給B,並且郵件內容真實。但如何把網絡中的ID(A或B)和現實中的行為人聯繫起來呢?在電子郵件取證中,要解決的關鍵問題就是如何確定郵件的發送者、郵件到達時間以及確認對方已收到郵件。
1、確定郵件發送者
要確定發送者,根據發送者使用的郵箱地址,分以下3種情況。
1.1 實名認證郵箱
如果郵件使用的是實名認證的郵箱,那該郵箱的真實用戶資料在郵件伺服器端有備案。只要核對郵件伺服器上的真實用戶名、郵箱帳號和密碼等資料就可以確定郵件的發送者了。如果用戶否認,根據「誰主張誰舉證」的原則,則必須提供郵箱被盜用的相關證據,否則就可以認定其為該郵箱的擁有者,應為以該信箱收發電子郵件的行為負責。
1.2 免費郵箱或公共郵箱
現在很多人都使用免費的電子郵箱,雖然這些電子郵箱在申請時要求輸入基本的信息,並對其進行記錄,但由於不是實名認證,郵箱的提供者很少對提供的信息的真實性進行確認,因此記錄的很多信息往往是虛假的。如果獲取到的電子郵件使用一個免費的電子郵箱,那僅依據其在郵件伺服器登記的用戶信息並不能確定收發者。對於使用公共郵箱的用戶,或者開放自己的電子郵箱者,更加難以認定其使用者。
這時,應該分析郵件頭。一般情況下,電子郵件常用信頭欄位內容如表1所示。
從郵件頭中可以查看郵件收發者及郵件伺服器的IP位址、發送及接收時間,然後根據郵件伺服器和ISP上的日誌記錄,查看在相應時間使用此地址發送郵件的機器的物理位置。再結合以往與該郵箱的郵件往來歷史記錄,最終確定發送者。
1.3 匿名或偽造的郵箱地址
如果發送者使用Open Relay、Open Proxy以及匿名E-mail等技術來隱藏其真實的郵箱地址,那就需要更專業的技術來查找發送者。
開放Open Relay功能的郵件伺服器不理會郵件發送者或郵件接收者是否為系統所設定的用戶,而對所有的入站郵件一律進行轉發(Relay)。發信者在發送電子郵件的時候,就會選擇這種開放功能的郵件伺服器作為中轉伺服器,從而隱藏發送者的個人信息。
Open Proxy是網絡信息傳遞的中間代理,當Proxy沒有對使用者及TCP埠作相應的限制時,很容易被利用作為跳板來連接另外一臺郵件伺服器的25埠,並通過發送特定的SMTP指令就可以實現使用Open Proxy發送郵件並隱藏自己。這種方式經常被利用來發送大量的垃圾郵件。
使用Advanced Direct Remailer、ghostmail等軟體或登錄到一些提供匿名發送郵件的網站上,可以發送匿名郵件或偽造一個虛假的發送人郵箱地址。這時接收方收到的郵件上沒有任何發件人信息或者只能看到一個偽造的地址。
對於以上這些使用匿名或偽造郵件地址手段來發送的郵件,仍然可以從郵件頭入手。通過Open Relay伺服器或採用匿名Email軟體發送的電子郵件中仍包含真正發送者的IP位址信息,可以結合郵件伺服器和ISP的記錄定位其物理位置和使用時間。對於使用Proxy而不能直接得到發送者IP位址的,可以逐級回溯到代理伺服器上,在其日誌文件中查找線索。
2、確定郵件到達時間
時間因素是取證分析和案件審理過程中判定事件、犯罪行為發生情況的重要依據。一般在電子郵件頭中就有郵件創建和接收的時間,郵件接收時間即為到達時間。郵件從發送到接收一般以秒為單位,但是還需要考慮當時網絡線路等因素。當郵件到達時間成為區分當事人雙方權利義務的界限時,到達時間的確認就特別重要。收發者可能會故意改動時間以期維護自己的經濟利益。發生爭議時,比較可行的方法是不以接收人計算機內儲存的電子郵件時間為準,而以郵件伺服器所顯示的時間為準,因為郵件服務供應商通常是獨立的第三方,由其出具證明更為公平和真實。所以,將來關於電子籤名的立法應當指明,凡郵件收發方要求郵件服務供應商對接收時間出具證明的,郵件服務供應商應當予以配合。
另外,還應注意郵件伺服器本身的時間誤差。伺服器的時間應當定期調校,力求準確。建議在立法上,應當將定期調校伺服器時間列為郵件服務商的法定義務之一。如果郵件伺服器是在國外的,到達時間實際為國外時間,這時則要注意進行時差換算,以換算後的時間為到達時間。如果中間經過很多郵件中繼的,應根據郵件頭部的信息逐個追蹤郵件所經過的中間節點,確定到達時間。
3、確定已收到郵件
「收到」這一概念,在電子商務貿易過程中,具有相當重要的法律意義。國際貨物銷售公約和大陸法規定,不論是發盤還是接收,均以抵達接收人或發盤人作為生效的條件之一。而英美法則規定,信件或電報一經發出,立即生效,生效的時間以投遞郵件收據上郵局所蓋郵戳為準,而不管對方是否收到。在電子商務環境中,為避免貿易糾紛,確定了「收到生效」的原則,也就是說,不論什麼傳遞,只有對方收到才具有法律意義。如果採用電子郵件傳輸,那電子郵件只有被對方收悉才有意義。
電子郵件的傳輸速度很快,如果遇到線路故障或其他因素的幹擾,就可能造成延遲或發送失敗。在這種情況下,發件人以為收件人已經收到該電文,而收件人卻並不知道發件人給自己發了郵件以及所發郵件的內容。為了解決這個問題,《示範法》第14條建立了「確認收訖」概念,類似於郵政系統的「回執制度」。確認收訖可通過系統設計自動回復以確認郵件確實到達了目標信箱,也可以要求由收件人直接回覆郵件或發送閱讀回執,以確認郵件已被收到並閱讀。按照我國《電子籤名法》第10條的規定,是否需要特定的程序和以何種程序對數據電文的傳遞予以確認收訖,完全取決於雙方當事人的協商。即使法律、行政法規特別規定應該確認收訖的,雙方當事人也可以通過約定的方式予以改變。但一旦約定需要確認收訖,或者在法律、行政法規規定需要確認收訖的情況下,收件人應該在一定的期限內按照規定的或者約定的程序向發送人發出確認,否則,發送人將認為數據電文未被收到,並有權否定該項電文的效力。
目前,雖然我國尚無完整規範電子證據、數字取證方面的法規,司法機關的設備也尚無法滿足審理此類案件的物質需要,但是,電子郵件等電子證據所帶來的法律問題卻已實實在在地擺在了我們的面前。與其他法規相比,電子證據的法規需要結合計算機科學、法學、刑偵學等各學科的專業知識,這就給立法、司法提出了更高的要求。借鑑國外相關法律法規制定並完善適合國情的電子證據法律勢在必行,任重道遠。
參考文獻
[1] 楊澤明,劉寶旭,許榕生.電子郵件取證技術[J].信息網絡安全,2002(6):33-34.
[2] 電子證據的固定採集與展示業務操作指引[EB/OL]. http://www.sdlawyer.org.cn/doc/201202/9a2937b2-603a-4372-bbb1-123736334198.htm,2009-08-15.
[3] 孫國梓,耿偉明,陳丹偉,等.電子數據取證的可信固定方法[J].北京工業大學學報,2010,36(5):621-626.
[4] 電子合同中電子郵件應用的法律問題研究[EB/OL]. http://www.topoint.com.cn/html/article/2005/06/174378_5.html,2005-06-17.
[5] 程偉傑.關於電子郵件證據問題的探討[J].檔案,2007(5):5-7.
擴展閱讀:
1、電子郵件取證技術
http://www.docin.com/p-415336989.html
2、郵箱密碼真的那麼容易洩露麼?餘則成教你捍衛密碼
http://mp.weixin.qq.com/s?__biz=MTE3MzE4MTAyMQ==&mid=204798070&idx=4&sn=48e3c1e17991a10e142e684cdc137831#rd
相關焦點
-
電子郵件證據取證實務
從技術層面看一下電子證據的真實性問題。以郵箱郵件為例,法庭上有人拿出郵箱郵件說這是你發給我的郵件,承認了欠我100萬元,但對方說這個郵箱不是我的,該怎麼證明這個郵箱就是對方的,郵件就是對方發的,郵件的內容沒有經過篡改呢?這三個問題都回答了,郵件記錄的信息內容肯定就是真實的。 -
【用戶痕跡在電子數據取證實戰中的應用】
,用戶痕跡則是電子數據取證中不容忽視的重要內容。筆者於2015年末為《信息犯罪與計算機取證》一書編寫過相關章節內容,本文將基於該原稿並結合近幾年參與過的真實案件來談談用戶痕跡在電子數據取證實戰中的應用。提到痕跡,首先想到的是實際的事物經過後,可覺察的形影或印跡。其實電子數據也是一樣,用戶通過日常使用計算機、手機、平板電腦等設備,進行新建、修改、訪問、傳輸等操作產生的電子數據記錄也就是用戶留下的痕跡,即用戶痕跡。 -
電子數據取證在市場監管執法辦案中的運用
為推動《電子商務法》等法律法規應用,進一步提高執法辦案隊伍能力,首屆全國市場監管系統執法辦案電子數據取證大比武活動將於2020年12月10日至11日上午正式開幕。為了讓大家更好地掌握電子數據取證的相關知識,了解比賽動態,市場監管半月沙龍將組織專題報導,推出系列文章。今天為大家推出首篇文章,歡迎閱讀。 -
第二屆「美亞杯」全國電子數據取證大賽——團體賽
找出「com.android.email"文件夾,資料庫中設置的電子郵件地址是什麼?根據上述問題,總共發現多少條電子郵件的記錄?(Answer format: 50)1 Remark: EmailProvider.db – Table 「Message」153.根據上述問題,誰是首個電子郵件的接收者? -
BCS電子取證分享直播:「聚焦iOS取證」系列之走近iTunes備份
北京網絡安全大會(BCS)電子取證系列直播分享活動持續進行,在第五期的課程中,奇安信取證案件組組長青山帶領眾多電子取證專業人員聚焦iOS取證,走近iTunes -
電子數據取證應注意的幾個問題
監察法第三十三條第一款規定,「監察機關依照本法規定收集的物證、書證、證人證言、被調查人供述和辯解、視聽資料、電子數據等證據材料,在刑事訴訟中可以作為證據使用。」與物證、書證、證人證言等傳統的證據形式相比,電子數據能夠比較客觀、形象地反映案件事實,因而在監察調查工作,尤其是在職務犯罪案件的調查工作中越來越受到重視。 -
虎符網絡安全大賽電子取證
從虎符網絡安全大賽一道雜項題目學習電子取證前言在最近的虎符網絡安全大賽上遇到一道雜項題目,賽後通過電子取證的方式進行了復盤,覺得很有意思,從中也學習到了很多知識點。題目描述解題過程題目附件:附件下載 提取碼:(yzsa)本題用得到的取證工具為MAGNET AXIOM,下載地址:軟體下載提取碼:(bige),推薦使用取證大師,能夠檢索的信息更多一些,可以在官方微信公眾號聯繫客服獲取試用版本題目下載下來解壓發現是Windows系統中C盤文件夾,使用 -
第二屆全國電子數據取證大賽章程及案例背景
,由中國刑事警察學院主辦,南京森林警察學院承辦的全國第二屆電子數據取證大賽將在2016年11月5日至6日舉行。三、大賽報名(一)為保證大賽質量,每個學校只允許報一個代表隊最多4名隊員參賽。(二)為保證最終獲獎團隊每個隊員的水平和質量,全體報名隊員均需要參加資格賽,資格賽成績在及格線上的參賽隊員取得團體賽資格,並獲得個人優秀獎,各隊從中選出不超過3名隊員參加團體賽。(三)每個團隊請在2016年9月30日前提交報名申請。 -
電子取證行業龍頭美亞柏科深度解析:大數據智能化專家
1.1 信息安全行業發展歷程信息安全產業作為對國家安全、政治穩定、經濟發展、健康文化等具有生存性和保障性支撐作用的關鍵產業, 在整個產業布局乃至國家戰略格局中具有舉足輕重的地位。根據 2016 年 9 月 9 日發布的《關於辦理刑事案件收集提取和審查判斷電子數據若干問題的規定》,電子數據包括但不限於下列信息、電子文件:(一)網頁、博客、微博客、朋友圈、貼吧、網盤等網絡平臺發布的信息;(二)手機簡訊、電子郵件、即時通信、通訊群組等網絡應用服務的通信信息;(三)用戶註冊信息、身份認證信息、電子交易記錄、通信記錄、登錄日誌等信息;(四)文檔、圖片、音視頻、數字證書、電腦程式等電子文件 -
電子取證(Forensics)-Windows取證基礎
對於入侵者而言,了解電子取證,可以更全面的了解到自己能夠在系統中留下的痕跡,從而具有針對性的消除痕跡,而對於取證人員來說,電子取證無疑是了解整個入侵過程的關鍵。電子取證近年來也發展為了一個獨立的學科,其中在安全競賽中,電子取證也作為一部分考察內容,被納入到雜項的大類中,也有隻考察取證的競賽。下面從技術層面介紹Windows取證的相關知識。 -
取證小知識1-10
因為對電子取證鑑定工作的熱愛,一直想把自己在電子數據取證工作中所想、所學的和大家一起分享,可惜時間有限,沒有精力整理整篇整篇的文章,不過每天抽幾分鐘,在食堂、在上下班路上寫上一段,倒是可以做到。希望這次取證小知識系列能一直堅持下去,2020年,定個小目標,更新260期。針對Windows10的取證分析,一定要考慮到大版本更新的問題。 -
電子數據取證應注意這幾個問題
電子數據雖然在職務犯罪案件的調查工作中發揮著重要作用,但該類證據在物質形態、存在方式及外在特徵等方面均有別於傳統證據類型,因此,在獲取電子數據作為證據使用時,應注意以下幾方面問題。具體來講,其一,在電子數據提取、分析過程中,要注意通過判斷存儲信息的介質,來推斷生成的電子數據是否真實可靠。同時,注意是否存在人為刪除、增加、修改計算機內某些信息的行為。其二,在獲取電子數據後,將相關數據從原始介質複製到專用證據存儲設備時,注意對整個拷貝過程用攝像機等設備全程記錄;對數據原始存儲介質進行封存、提取的過程中應製作文書,由提取人、見證人等相關人員籤名或蓋章。 -
自動電子郵件營銷的藝術(含10封郵件內容)
電子郵件作為10大最有效的促銷手段、網站流量和購買來源之一,有哪些可以遵循的標準呢?自動電子郵件營銷的5個步驟:1.選擇安全的群發郵件服務如你所知,自動電子郵件(或後續郵件)是一系列邏輯連結的電子郵件。郵件系統會按照你預先指定的順序將其自動發送給你的關注者。 -
「美亞杯」第三屆全國電子數據取證競賽個人賽題目
全國電子數據取證競賽由中國刑事警察學院、中國科學院和香港大學發起,並得到了教育部高等學校信息安全專業教學指導委員會和中國計算機學會計算機安全專業委員的全面指導及香港警務處等單位的大力支持。競賽旨在進一步促進我國電子數據取證相關專業人才培養,推進電子數據取證技術的合作交流,提高我國電子數據取證能力和水平,推動全國電子數據調查取證技術發展。 -
黃生林、李忠強:網絡犯罪案件電子籤章取證程序之優化
其中,電子籤章是突破口,有兩個關鍵問題需要解決:一是網際網路企業在刑事訴訟中提供的電子籤章效力的確認。二是對用電子籤章來簡化刑事取證方式的效力認定。為此,筆者擬對電子籤章相關法律問題及取證程序進行專門論述。 -
【網絡安全事件調查取證】
(一)網絡安全現場勘查概述1、現場勘查的4個環節網絡安全事件現場勘查的主要任務是要在第一時間對網絡安全事件所在的物理空間和虛擬空間中的相關電子物證及電子數據進行保全,主要包括取證前期準備、證據識別、電子證據收集、電子證據提取與固定4個環節。 -
郵件往來中的電子郵件禮儀
8月12日消息,據統計,如今網際網路每天傳送的電子郵件已達數百億封,但有一半是垃圾郵件或不必要的。「在商務交往中要尊重一個人,首先就要懂得替他節省時間」,電子郵件禮儀的一個重要方面就是節省他人時間,只把有價值的信息提供給需要的人。 -
電子郵件:低等的溝通方式
負面信息的不良影響員工在利用電子郵件溝通負面消息時也需謹慎。不恰當的或負面的內容可能會危及目前的工作,或者把你排除在新職位的候選名單之外。電子郵件的耗時性整理和閱讀電子郵件會花費大量的時間。寫郵件花費的時間就更長了,無論你是十個手指在鍵盤上敲字還是兩個拇指在智慧型手機上打字,都很耗時。大多數人會為處理所有的電子郵件而苦惱,尤其是隨著我們的職位不斷晉升 建議採取以下策略:1.不要在早上查看電子郵件。 2.成批地查看郵件。不要整天不停地查看電子郵件。3.取消訂閱不必要的新聞郵件和產品廣告。 -
法治課 | 簡訊、支付寶、微信等電子證據如何取證、舉證?
一般而言,前者更加可靠;4)必要時,請網絡服務商提供協助,從電子郵件的傳輸、存儲環節中直接保全證據。或進行鑑定,從電子郵件生成、存儲、傳輸環境的可靠性,是否篡改等請有關方面提出專家意見。3、電子郵件如何存證推薦使用可信的第三方電子證據機構對電子郵件進行固化保全(比如存證雲攜手網易推出的全新公正郵服務),因為這樣一來電子郵件的證據採集就不再是從收件人處獲取,而是從郵件運營商伺服器端獲取。 -
計算機取證方法介紹
可理解為「從計算機上提取證據」即:獲取、保存、分析、出示、提供的證據必須可信 ;計算機取證(Computer Forensics)在打擊計算機和網絡犯罪中作用十分關鍵,它的目的是要將犯罪者留在計算機中的「痕跡」作為有效的訴訟證據提供給法庭,以便將犯罪嫌疑人繩之以法。