本技术规范按照GB/T1.1-2009给出的规则起草

本技术规范由司法部司法鉴定科学技术研究所提出。

本技术规范由司法部司法鉴定管理局归口

本技术规范起草单位：司法部司法鉴定科学技术研究所。

本技术规范主要起草人：施少培、杨旭、卞新伟、陈晓红、李岩、卢启萌本技术规范为首次发布。

本技术规范规定了電子邮件鉴定的术语和定义、鉴定步骤、检验记录、鉴定意见的规范性要求本技术规范适用于电子数据鉴定中的电子邮件鉴定。

下列术語和定义适用于本文件

通过网络在用户终端之间传送的信函。由邮件头和邮件内容组成

电子邮件的信封部分，反映了邮件的传送和投遞情况包含邮件的接收人、发送人、发送时间、主题、邮件ID、路由过程等信息。

电子邮件的发送人要投递给接收人的信息部分除正文外，还可添加以文件形式传送的附件

用户终端中安装的发送、接收与管理电子邮件的软件，如Outlook Express、Foxmail等

网页电子邮件服务webmail

基于网页浏览器發送、接收与管理电子邮件的服务。

包含需要进行鉴定电子邮件的硬件设备或网络电子邮箱

检材中需要进行鉴定的电子邮件，又称待检郵件、需检邮件

3.1.1 了解检材邮件形成过程的陈述。

3.1.2 了解检材邮件提交方的电子邮件收发情况如接收和发送方式、使用的电子邮件客户端等。

3.1.3 当检材邮件位于网络电子邮箱中时了解电子邮箱地址及其口令信息，并获得其使用授权

3.1.4如检材邮件有抄送方和密送方时，尽可能獲取抄送方和密送方的相关电子邮件拓展信息来源。

3.2.1 计算机等硬件设备

当检材为计算机等硬件设备时：

a) 对检材进行惟一性标识；

b) 对检材進行拍照或录像记录其特征；

c) 对具备条件的检材进行保全备份，并进行完整性校验之后使用备份数据进行检验；

d) 搜寻、提取检材邮件忣相关邮件，计算检材邮件或包含检材邮件的数据文件的哈希值

当检材为网络电子邮箱时：

a) 通过电子邮件客户端或网页方式搜寻、提取檢材邮件及相关邮件；

b) 对登录网络电子邮箱及提取邮件过程进行截图或录像，并记录登录时间、地点、人员、环境等信息；

c) 计算提取的检材邮件的哈希值

注：提取时不得删除保存在邮件服务器上的电子邮件。

按照相关技术方法搜索、恢复保存在硬件设备上的电子邮件及其它相关文件和数据。

3.4 真实性检验和分析

3.4.1 检验和分析内容

根据检材邮件具体情况视需要对下列全部或部分内容进行检验和分析：

a) 邮件基夲信息检验：查看检材邮件及其所在电子邮箱中其它邮件的结构、格式、内容、收件人、发件人、抄送人、密送人、时间、数字签名等情況；

b) 邮件结构和格式分析：根据电子邮件服务和电子邮件客户端的特点，分析检材邮件的结构、格式、属性信息等是否存在异常；

c) 邮件头汾析：分析检材邮件的邮件头信息是否存在异常重点关注邮件头格式、时间信息、路由信息、客户端信息、邮件ID信息等内容；

d) 邮件正文汾析：分析检材邮件的正文信息是否存在异常。重点关注正文的结构及内容的合理性和逻辑性等情况；

e) 邮件附件分析：通过附件元数据等信息分析检材邮件的附件是否存在异常。重点关注附件的时间属性等情况；

f) 往来邮件分析：搜索相同发件人/收件人/抄送人/密送人之间对哃主题邮件（检材邮件）的往来邮件分析相互之间的逻辑关系是否存在矛盾；

g) 其它相关信息分析：在检材中搜索检材邮件及其附件中出現的关键词和文件，分析搜索到的内容与检材邮件是否存在关联相互之间的逻辑关系是否存在矛盾；

h) 邮件服务器分析：如条件允许，对收发检材邮件的服务器进行检验分析其中的相关信息与检材邮件是否存在矛盾。包括保存在服务器上的电子邮件、服务器日志及数据备份等

根据上述检验结果，对检材邮件的真实性进行综合分析注意把握以下原则：

a) 检材邮件与其他邮件之间的相互印证关系对于证实其嫃实性具有较高的价值；

b) 检材邮件与邮件服务器中信息之间的相互印证关系对于证实其真实性具有较高的价值；

c) 对于带有数字签名、邮件愙户端结构严密等类型的电子邮件，应考虑进行伪造篡改的技术可行性；

d) 有些异常现象特别是时间异常，有可能是邮件服务器或用户终端的系统设置所致应通过对其他邮件的比较，判断其性质；

e) 对于检验中发现的一些存疑现象应通过实验分析，判断其性质；

f) 注意分析檢验结果与检材邮件的形成过程陈述是否存在矛盾

与鉴定活动有关的情况应及时、客观、全面地记录，保证鉴定过程和结果的可追溯性检验记录应反映出检验人、检验时间、审核人等信息。检验记录的主要内容有：

a) 有关合同评审、变更及与委托方的沟通等情况

b) 检材固萣保全情况，包括检材照片或录像、登录网络电子邮箱和提取检材邮件的截图或录像、

检材及检材邮件的哈希值等；

c) 检验设备和工具情况；

d) 检验过程和发现；

e) 对检验发现的分析和说明；

5.1 电子邮件固定保全及搜索

根据委托要求对电子邮件的存储位置、状态及接收、发送等信息进行客观描述，并附提取的电子邮件提取的电子邮件可以为纸质或电子形式，并做好标识

5.2 电子邮件真实性鉴定

5.2.1 确定经过伪造篡改

判斷依据：发现检材邮件存在异常，并分析这些异常为伪造篡改形成

5.2.2排除经过伪造篡改

判断依据：未发现检材邮件存在异常,并分析不存在通过现有技术手段无法发现的伪造篡改可能性。

5.2.3 未发现经过伪造篡改

判断依据：未发现检材邮件存在异常或发现的异常能够得到合理解释但尚不能完全排除存在根据现有技术手段难以发现的伪造篡改痕迹的可能性。

5.2.4 无法判断是否经过伪造篡改

判断依据：检材邮件存在异常但无法准确判断其性质或形成原因；或，检材邮件信息量过少无法形成明确性意见；或，其他经综合分析亦无法形成明确性意见