基于時間屬性的電子郵件真實性鑒定研究*

汪振林，張程緒

（重慶郵電大學法學院，重慶400065）

基于時間屬性的電子郵件真實性鑒定研究*

汪振林，張程緒

（重慶郵電大學法學院，重慶400065）

社會的發(fā)展和技術的進步使得電子郵件被用作證據(jù)采納運用成為可能，但這種可能首要解決的問題是電子郵件的真實性鑒定?，F(xiàn)有電子郵件真實性鑒定方法均有不足之處，而把電子郵件的時間屬性作為切入點來分析和判斷電子郵件真實性的鑒定方法原理易懂，操作簡便，容易實現(xiàn)電子郵件真實性鑒定目的?；跁r間屬性的電子郵件真實性鑒定方法包括時間信息的解析和時間屬性邏輯關系的判斷。如果判斷解析的時間出現(xiàn)邏輯關系矛盾，則可以認定電子郵件遭到篡改，不滿足作為證據(jù)的真實性條件。

電子郵件；真實性鑒定；時間屬性；郵件頭

隨著互聯(lián)網的發(fā)展，中國已經一躍成為網民最多的國家。截至2012年年底，中國互聯(lián)網用戶達到5．64億，互聯(lián)網普及率高達42．1%［1］。作為互聯(lián)網通信方式的一種，“電子郵件是網絡用戶進行信息交流的常用手段之一”［2］。和傳統(tǒng)通信方式相比，電子郵件的優(yōu)點在于方便快捷、成本低廉和內容豐富多彩。郵件通信不僅傳遞文字信息，還傳遞聲音、圖像或者視頻等信息，另外，電子郵件也可以發(fā)送附件，這使計算機之間可以便捷地傳遞各種重要文件。在商務通信往來中，采用電子郵件通信，不僅方便快捷，還能降低通信成本，提高交易速度。不過，在產生糾紛、需要使用電子郵件作為證據(jù)證明相關事實的場合，由于電子郵件的易偽造性、易修改性和依附性，法庭難以徑直認定其真實性，除非當事人自認，否則就需要委托電子數(shù)據(jù)鑒定機構對電子郵件的真實性進行鑒定。

一、現(xiàn)有電子郵件真實性鑒定方法

對于電子郵件真實性的鑒定，目前主要采用以下幾種方法。

1．分析電子郵件偽造方法途徑和電子郵件發(fā)送環(huán)境的方法［3］。該方法是較早出現(xiàn)的電子郵件真實性鑒定方法，是一種開放式列舉分析方法。它主要分析電子郵件的工作原理、電子郵件系統(tǒng)的組成和偽造電子郵件的可能方法和形式。不過，在技術不斷發(fā)展和進步的今天，電子郵件服務器不斷更新?lián)Q代，電子郵件偽造方法途徑層出不窮，這種列舉式方法很難滿足電子郵件真實性分析的需要。另外，這種分析方法在具體的案件中也沒有給鑒定人員提出可操作性方案，僅僅停留在理論分析層面。

2．分析電子郵件郵件頭的方法［4］。郵件頭是電子郵件的重要組成部分，其包含了電子郵件發(fā)送過程相關的重要信息。這種方法注重分析郵件頭中的時間信息、發(fā)送路徑信息等，通過對這些信息的分析，達到電子郵件真實性鑒定的目的。該方法思路清晰，不足之處在于片面強調電子郵件頭信息的重要性，忽略了其他郵件組成部分的信息。電子郵件中和郵件相關的重要信息還可能存在于郵件正文和郵件文件存儲系統(tǒng)的屬性信息中，而這部分信息并沒有被重視。另外，這種方法同樣沒有提供能夠指導實務操作的方案。

3．綜合分析電子郵件的方法［5］。該方法綜合分析電子郵件頭、郵件正文、郵件客戶端、郵件發(fā)送系統(tǒng)等。這種方法從理論上全面分析了電子郵件工作的基本原理，對真實性鑒定起著很大的指導作用。不足之處在于該方法分析面太廣，導致深度方面有所欠缺，在一定程度上影響了電子郵件真實性鑒定的準確性。

綜上所述，由于已有的鑒定方法均存在不同程度的缺陷，不能徹底解決電子郵件的真實性鑒定問題，因此需要尋找和確定一種新的電子郵件真實性鑒定方法。

眾所周知，在電子郵件信息中，時間信息占據(jù)了重要地位，電子郵件系統(tǒng)設計者也充分考慮到時間因素的重要性，在電子郵件的發(fā)送和接收過程中，郵件系統(tǒng)會在電子郵件文件中嵌入大量時間屬性信息，因而，當電子郵件遭到偽造之后，很容易在正常的時間邏輯關系上表現(xiàn)出前后不一致或者矛盾的現(xiàn)象。為此，筆者認為可以確立一種基于時間屬性的電子郵件真實性鑒定方法。這種鑒定方法主要包含電子郵件時間信息的解析和時間屬性邏輯關系判斷，如果判斷時間屬性邏輯關系出現(xiàn)矛盾，則可以認定電子郵件遭到篡改，不滿足作為證據(jù)的真實性條件。

不過，采用偽造或者篡改得到的電子郵件不一定都表現(xiàn)出時間邏輯關系的矛盾，因此，雖然在電子郵件時間屬性表現(xiàn)出矛盾時，可以采用基于時間屬性的電子郵件真實性鑒定方法判斷出電子郵件是不真實的，但時間信息不表現(xiàn)出邏輯關系的矛盾并不必然得出“電子郵件是真實的”這個結論。所以，當郵件時間屬性邏輯關系不矛盾時，要判斷郵件的真實性，就要采用其他方法或者從其他切入點著手分析電子郵件的真實性。即基于時間屬性的電子郵件真實性鑒定方法只能“去偽”，不能“存真”。但與其他電子郵件真實性鑒定方法相比，本方法原理易懂，操作步驟簡單，應是電子郵件真實性鑒定的首選。以下就該方法的內容，即電子郵件時間信息的解析和時間屬性邏輯關系判斷逐一進行討論，并通過實例就運用該方法的具體程序作一說明。

二、電子郵件時間信息解析

基于時間屬性的電子郵件鑒定方法主要包含電子郵件時間信息的解析和時間屬性邏輯關系判斷兩方面的內容，在此先就電子郵件時間信息解析進行討論。

電子郵件主要由郵件頭、正文和附件組成。郵件頭信息保存郵件各種屬性信息，通過適當設置電子郵件客戶端軟件可以查看。郵件正文通常包含郵件發(fā)送的文字信息、圖片等內容，它和郵件附件一起，是能夠被客戶端軟件正常查看和識別的信息。時間屬性信息是電子郵件的重要信息，它記錄了電子郵件的發(fā)送過程、郵件文件生成時間等信息。電子郵件的時間屬性信息保存比較分散，在電子郵件頭、磁盤文件系統(tǒng)的文件時間屬性、郵件附件屬性等位置都能找到該信息，充分解析這些時間信息是鑒定電子郵件真實性的關鍵。

（一）Message ID時間信息解析

Message ID是電子郵件的“指紋”，由數(shù)字和符號組成，保存在郵件頭信息里，具有全球唯一性，即在全球不會找到兩封Massage ID相同的電子郵件。Message ID由發(fā)送方郵件服務器生成，具體格式會因電子郵件客戶端軟件的不同而有所不同。所有電子郵件頭信息都能找到Message ID，但并非所有客戶端軟件生成的Message ID都包含有時間信息。生成的Message ID包含時間信息的客戶端軟件主要有Outlook Express、Foxmail、Windows Live，以下將對其逐一進行說明。

1．Outlook Express的Message ID中的時間信息

Outlook Express的Message ID格式為：［random］｛4｝［hex Windows File Time／Date］｛8｝MYM［hex Windows File Time／time］｛8｝MYM［hw-hash］｛8｝＠［hostname］。其中，［hex Windows FileTime／Date］表示8位16進制數(shù)值的郵件發(fā)送日期，［hex Windows File Time／time］表示8位16進制數(shù)值的郵件發(fā)送時間。在版本6．00．2900．5512之后的客戶端生成的Message ID中不再包含時間信息。

例如：Outlook Express生成的Message ID為：00061405071cMYM0a352a80MYMc92c030b＠smallmin，這表示該電子郵件發(fā)送時間為：2005年7月28日10時53分42秒。

2．Foxmail的Message ID中的時間信息

Foxmail的Message ID格式為：［Datetime］｛21｝＠［hostdomain］。其中，［Datetime］表示21位的日期時間。

例如：Foxmail生成的Message ID為：Message－id：201105261552312350836＠sjtu．edu．cn，這表示該電子郵件發(fā)送時間為：2011年5月26日15時52分31秒。

3．Windows Live的Message ID的時間信息

Windows Live的Message ID格式為：［Windows File Time＆Date］｛14｝［random］｛12｝＠［hostname］。其中，［Windows File Time＆Date］｛14｝表示14位的日期時間。

例如：Windows Live生成的Message ID為：20120516234308．802465300A3＠webmail．sinamail．sin．com．cn，這表示該電子郵件發(fā)送時間為：2012年5月16日23時43分8秒。

（二）Date時間信息解析

Date時間屬性是指保存在電子郵件頭信息里的郵件發(fā)送時間。相比Massage ID，其格式較為簡單。如：Date：Sun，20 May 2012 08：19：44＋0800，該Date時間表示電子郵件發(fā)送時間為2012年5月20日8時19分44秒，發(fā)送地點時區(qū)為東8區(qū)。

（三）Boundary時間信息解析

Boundary是電子郵件內部信息分界標記。郵件頭中的Boundary屬性用來分隔郵件純文本和超文本正文，郵件正文中的Boundary屬性用來分隔郵件主體、內嵌資源（一般為超文本正文的圖片）以及郵件附件［6］。Boundary屬性在郵件頭會出現(xiàn)一次，在郵件正文會出現(xiàn)多次。雖然并非所有郵件客戶端生成的Boundary都能解析出時間信息，但大多數(shù)國內網絡郵箱客戶端生成的Boundary中都包含時間信息。以126郵箱為例，Boundary的格式為：----＝＿part＿［random］｛6｝＿［random2］｛8｝．［UnixTime］｛13｝。其中，UnixTime是從1970-01-01 00：00：00格林尼治標準時間到Date時間的毫秒數(shù)。

Received信息在郵件頭信息里表示郵件的發(fā)送路徑列表，即從發(fā)送者到接收者之間郵件經過郵件服務器的路徑順序表。Received信息排列在郵件頭的起始位置，從開始位置起，第一項記錄是郵件經過的最后經過服務器信息，最后一項記錄是郵件的起始經過服務器信息。Received信息的一般格式為：Received：from郵件服務器域名［郵件服務器ip地址］＋郵件服務器類型＋郵件經過該服務器時間＋其他時間信息。例如：Received：from r175-229．sinamail．sina．com．cn（unknown［60．28．175．229］）bymx16（Coremail）with SMTP id QsCowED5DUtw＋rJPGm72BA--．942S2；Wed，16 May 2012 08：53：04＋0800（CST），這里表示電子郵件在16 May 2012 08：53：04＋0800時間經過r175-229．sinamail．sina．com．cn（unknown［60．28．175．229］）服務器。

（五）郵件文件和郵件附件的時間信息解析

任何電子數(shù)據(jù)的存儲介質所采用的文件系統(tǒng)都必然設計管理文件屬性信息的功能，文件屬性信息里就包含了時間信息。文件系統(tǒng)可以簡單理解為計算機或者其他電子設備在存儲介質里的文件保存方法，一般在我們格式化存儲介質的時候產生。文件系統(tǒng)儲存的文件屬性信息包括文件大小、文件的時間屬性、文件的類型等信息，其中，文件時間屬性包含文件創(chuàng)建時間、修改時間、訪問時間等，文件類型包括文件是否只讀、隱藏、是否為系統(tǒng)文件等。文件系統(tǒng)會將文件屬性信息和文件內容分開存儲，文件系統(tǒng)不同，時間屬性的保存位置也不一樣。如早些年計算機硬盤和其他電子設備存儲介質較多使用的Fat32文件系統(tǒng)時間屬性保存在該文件系統(tǒng)數(shù)據(jù)區(qū)的目錄項里，Windows7系統(tǒng)所采用的NTFS文件系統(tǒng)的文件時間屬性保存在主文件分配表的10H屬性里。郵件客戶端軟件接收、保存電子郵件之后，會在計算機硬盤里寫入電子郵件文件，同時將時間屬性信息寫入文件系統(tǒng)相應的位置。電子郵件的時間屬性信息獲取相對比較容易，和其他文件操作一樣，在Windows操作系統(tǒng)下，找到文件“右擊”，選擇屬性，便能查看到電子郵件的時間屬性。如果想進一步對比大量電子郵件的時間屬性，可以用專業(yè)的計算機取證分析軟件如X-ways Forensic和Encase先進行電子郵件過濾，然后再分別列出電子郵件的時間屬性進行分析對比。

另一個可以提取時間信息的文件是電子郵件里添加的郵件附件。附件文件通常是計算機硬盤里保存的文件，是通過計算機操作或者其他電子設備生成的，和其他電子數(shù)據(jù)文件的時間屬性一樣，這就必然在文件屬性里包含文件時間屬性信息，如文件創(chuàng)建時間、修改時間、訪問時間等，電子郵件的發(fā)送也將這些信息一同發(fā)送給郵件的接收者。附件文件的時間屬性相比其他時間信息較為隱蔽，不容易被察覺和重視，也往往被取證人員或者鑒定人員所忽略，而獲取該信息也要通過專業(yè)的軟件。在實踐中鑒定人員通常采用Intella或者Nuix軟件來查看郵件附件文件的時間屬性，操作很簡便。

（六）時間信息解析的工具和步驟

電子郵件分析有專業(yè)的分析軟件，比如Intella和Nuix Forensics，它們都可以在加載電子郵件文件之后，通過查看郵件頭信息，直觀方便地查找出郵件頭信息里的時間屬性信息。電子郵件文件儲存在硬盤的二進制數(shù)據(jù)直接轉化為ASSIC碼數(shù)據(jù)之后，文件的起始位置就是電子郵件頭信息，如Received、Date和Message ID等信息，這些數(shù)據(jù)或者時間信息的獲取，簡單的二進制代碼查看軟件就能做到，如Winhex軟件就能查看。專業(yè)的電子郵件分析軟件的不同之處在于將這些數(shù)據(jù)以一種更加直觀的方式呈現(xiàn)給使用者，同時挖掘深層次的數(shù)據(jù)，比如解析電子郵件的內容、分析電子郵件附件文件的內容和文件屬性信息，專業(yè)的郵件分析軟件的操作也較為簡便。Intella軟件的電子郵件分析步驟是加載電子郵件文件之后，雙擊郵件文件，點擊郵件頭就能看到郵件頭信息；點擊附件，雙擊附件文件就能看到附件文件和該文件的屬性信息。X-ways Forensic軟件在過濾出電子郵件文件之后，在電子郵件查閱窗口便可以查看郵件頭的各種數(shù)據(jù)，比如Message ID、Date等信息。

三、時間屬性邏輯關系判斷

一封沒有經過篡改或者偽造的電子郵件發(fā)送和接收必然要滿足時間結構上的邏輯關系，并遵循時間先后邏輯順序關系，這是電子郵件發(fā)送必須要遵守的客觀規(guī)律，電子郵件時間結構的這種關系主要表現(xiàn)在時間統(tǒng)一和時間的先后順序方面。電子郵件在遭到篡改或者偽造之后通常會表現(xiàn)出時間邏輯結構方面的矛盾，即時間的不統(tǒng)一或者時間先后順序的錯亂。經過篡改或者偽造的電子郵件時間邏輯結構矛盾情況的出現(xiàn)與電子郵件時間信息的提取位置有關，不同位置提取的時間信息在矛盾表現(xiàn)上也不一致。

（一）時間信息的統(tǒng)一性分析

一些電子郵件的Message ID和Boundary信息能夠解析出該電子郵件的發(fā)送時間，在這類電子郵件頭的郵件信息里，Date信息、Message ID和Boundary信息是在電子郵件發(fā)送過程中同時生成的，其內部解析出的時間信息應當具備統(tǒng)一性，即三個時間值要完全一致。另外，在電子郵件經過第一個服務器時，Received From信息里添加了第一條記錄，也就是郵件頭信息中的最后一條記錄，該記錄的時間信息也是郵件的發(fā)送時間，故和Date時間信息應該具備統(tǒng)一性?，F(xiàn)實中考慮到郵件數(shù)據(jù)傳遞設備的延時效果，該時間信息和Date時間信息相比可能會有出入，但是不會太大。電子郵件時間屬性統(tǒng)一性分析通過對比解析出的時間信息，根據(jù)時間信息的統(tǒng)一關系，可確認時間信息是否遭到篡改，如發(fā)現(xiàn)時間信息遭到篡改，便可以判斷出該電子郵件不具有真實性。

（二）時間先后順序分析

時間先后順序是電子郵件時間分析涉及時間點最多的邏輯關系。電子郵件發(fā)送過程中，各個包含時間信息的數(shù)據(jù)生成的時間先后不一樣，這就導致這些時間表現(xiàn)為先后順序，這種時間先后順序的不同會因時間提取點的不同而不同。第一，電子郵件的發(fā)送時間必然在先，接收在后。電子郵件在發(fā)送的過程中時間信息要滿足先后順序，這部分的分析可以檢查電子郵件發(fā)送接收時間信息的先后順序。第二，Received最后一條記錄為電子郵件經過的第一個服務器，這條記錄記錄的時間信息最早，依次稍微延時，直到最后一條記錄，也就是第一條時間記錄最晚。Received信息生成于電子郵件發(fā)送傳輸過程中，電子郵件在網絡中以光速傳播，考慮到實際電子設備的延時效果，電子郵件依次經過的服務器時間也會有差距和延時，但是時間不會延遲太久，所以表現(xiàn)出時間的先后順序。第三，發(fā)送端郵件文件的生成時間在電子郵件接收時間之前，電子郵件接收端郵件文件生成時間在電子郵件發(fā)送之后。電子郵件完成發(fā)送之后，客戶端軟件就會在本地計算機保存電子郵件文件，電子郵件接收之后才能再生成電子郵件文件，因此，解析出的郵件文件生成時間必然是發(fā)送端郵件文件的生成時間在電子郵件接收時間之前，電子郵件接收端郵件文件生成時間在電子郵件發(fā)送之后，這是電子郵件發(fā)送接收的邏輯規(guī)律。第四，電子郵件附件文件的創(chuàng)建時間在發(fā)送時間之前。郵件的附件文件一定是計算機或者其他電子設備創(chuàng)建完成的電子數(shù)據(jù)，否則不能添加為附件文件并發(fā)送給郵件接收人，文件建立的活動在發(fā)送之前，故電子郵件的建立時間一定在電子郵件發(fā)送時間之前。

電子郵件的時間先后順序分析方法是電子郵件時間邏輯關系分析方法中最重要的分析方法，這是由電子郵件活動過程所遵循的邏輯順序決定的。通過解析電子郵件的時間，并進行各種邏輯關系論證，便能準確排除已經被污染的電子郵件證據(jù)。

四、程序說明

下文將通過司法鑒定實務中的一個真實案例來說明基于時間屬性的電子郵件真實性鑒定方法的具體程序。

在××民事訴訟中，被告向法庭提交了若干封與原告往來作為證據(jù)的電子郵件，原告對其中主題為“貨款”和“催收”的兩封電子郵件提出異議。現(xiàn)法院送檢原告方提交的用于收發(fā)電子郵件的計算機的硬盤，委托A司法鑒定中心對其中有爭議的兩封電子郵件的真實性進行司法鑒定①該案例系筆者所在單位主管的A司法鑒定中心2012年接受委托的鑒定案件。接受委托后，鑒定人員運用基于時間屬性的電子郵件真實性鑒定方法進行鑒定，得出的鑒定意見提交法庭經過質證后為法庭所采信。?，F(xiàn)將該案鑒定程序的主要內容說明如下。

（一）證據(jù)保全

A司法鑒定中心工作人員依照鑒定程序首先記錄硬盤的相關信息，在送檢方和工作人員的見證之下拆封硬盤接口封條，用硬盤復制機對整個硬盤二進制數(shù)據(jù)進行克隆制作硬盤鏡像，同時計算檢材硬盤和硬盤鏡像的哈希值。在確認兩者一致后，檢材硬盤送交保管，硬盤鏡像用于鑒定，即后期所有鑒定工作均在硬盤鏡像上進行。證據(jù)保全的作用在于獲得可供鑒定使用的復制件，避免在證據(jù)源盤上進行操作可能發(fā)生的毀壞或污染電子數(shù)據(jù)的風險。

（二）電子郵件檢驗分析

將硬盤鏡像通過只讀設備連接鑒定用計算機，用文件分析軟件分析硬盤文件，過濾出有爭議的電子郵件文件，同時計算電子郵件文件的哈希值，最后采用專業(yè)電子郵件分析軟件分析有爭議的兩封電子郵件。電子郵件分析主要是提取電子郵件內容、郵件頭信息、郵件文件屬性信息、郵件附件內容和附件屬性信息，分析兩封電子郵件相關信息，判斷電子郵件是否偽造或篡改。檢驗分析過程應使用專業(yè)的取證分析工具，并遵守相應的鑒定技術規(guī)范。具體分析過程及結果如下。

1．主題為“貨款”的電子郵件的檢驗分析。郵件頭中Data、Message ID以及Received中的時間均為2012年3月17日，首先使用分析軟件查看郵件的文件屬性，顯示“創(chuàng)建時間”也為2012年3月17日，表明此封郵件是在2012年3月17日生成。使用分析軟件查看郵件的文件屬性，顯示“修改時間”為2012年3月21日，這表明此郵件于2012年3月21日被修改。其次查看郵件時間和附件時間屬性，使用分析軟件查看郵件附件“協(xié)信公司聲明．doc”，顯示其創(chuàng)建時間為2012年3月21日，郵件附件應早于郵件或與郵件同時創(chuàng)建，附件的創(chuàng)建時間與郵件的創(chuàng)建時間存在明顯的矛盾。綜上，通過對郵件頭、文件時間屬性及附件的時間屬性的分析，可以得出鑒定意見，即該郵件應經過偽造、篡改。

2．主題為“催收”的電子郵件的檢驗分析。郵件頭中的Message ID與Date同時生成，故從Message ID中提取的時間應與從Date中提取的時間一致，Received中提取的時間也應與Date中提取的時間一致或略微延后。通過分別提取郵件中郵件頭的Message ID、Date及Received的時間信息，發(fā)現(xiàn)三個時間存在較大差異，綜上，可以得出鑒定意見：該郵件應經過偽造、篡改。

（三）鑒定意見書制作提交與存檔

A司法鑒定中心工作人員在完成以上檢驗分析步驟之后制作了司法鑒定意見書，鑒定意見為：“1．主題為‘貨款’的郵件，經過偽造、篡改；2．主題為‘催收’的郵件，經過偽造、篡改。”并將其與檢材、附件光盤一起提交法院，同時在鑒定中心存檔一份。制作鑒定意見書應符合《司法鑒定文書規(guī)范》的要求，便于對電子郵件證據(jù)的質證和認定。存檔司法鑒定意見書的目的是便于進行業(yè)務總結和方便外部監(jiān)督。

五、結 語

基于時間屬性的電子郵件真實性鑒定，關鍵在于解析電子郵件在發(fā)送過程中生成的時間信息，判斷這些時間所遵循的邏輯關系是否成立，以鑒定電子郵件的真?zhèn)?、認定電子郵件證據(jù)真實性。電子數(shù)據(jù)作為新的證據(jù)類型已為訴訟法所規(guī)定［7］，隨著計算機網絡的進一步普及，電子數(shù)據(jù)在電子商務案件、電子政務案件、網絡侵權和網絡犯罪案件中將會得到越來越廣泛的運用，作為電子數(shù)據(jù)之一的電子郵件由于其易偽造性、易修改性和依附性，在訴訟中往往需要進行真實性鑒定。由于基于時間屬性電子郵件真實性鑒定方法的可靠性和簡易性，其在電子郵件真實性鑒定中將會起到不可替代的作用。

［1］ 工業(yè)和信息化部電信管理局許廉先生致辭［EB／OL］．（2013-03-28）［2013-10-02］．http：／／tech．china．com／news／net／domestic／11066127／20130328／17751876．html．

［2］ 廖根為．論電子郵件證據(jù)證明力［J］．安徽師范大學學報：人文社會科學版，2010（3）：304-308．

［3］ 廖根為．電子郵件真?zhèn)舞b定初探［J］．犯罪研究，2009（3）：42-48．

［4］ 郭弘，金波．利用郵件頭分析電子郵件的真?zhèn)危跩］．中國司法鑒定，2010（4）：63-68．

［5］ 李巖，施少培，楊旭，等．電子郵件真實性鑒定方法探索［J］．中國司法鑒定，2012（4）：94-99．

［6］ 聶小塵，邱衛(wèi)東，李巖，等．基于多屬性的電子郵件鑒定研究［J］．信息安全與通信保密，2012（2）：76-77，80．

［7］ 汪振林．電子數(shù)據(jù)原件問題研究［J］．重慶郵電大學學報：社會科學版，2012（5）：33-37．

?

時間信息解析

Time Attribute-based Identification of the Authenticity of the E-mail

WANG Zhenlin，ZHANG Chengxu
（College of Law，Chongqing University of Posts and Telecommunications，Chongqing 400065，China）

The development of society and technologymakes the adoption of e-mail to be used as the evidence possible，but itmay be the most pressing issue to identify the authenticity of e-mail．Existing e-mail authenticity identification methods have shortcomings，but themethod taking the time attribute of the e-mail as an entry point to analyze and judge the authenticity of the e-mail is easy to understand，operate and easy to implement e-mail authenticity identification purposes．This time attribute-based identification of the authenticity of the e-mailmethod includes the time attribute information extraction and time attribute logic relationship judgment．If the time attribute has logical relationship conflicts，you can be sure that the e-mail has been tampered with，and it can not satisfy the authenticity conditions as evidence．

e-mail；authenticity identification；time attribute；e-mail head

TP393．098

A

1673-8268（2014）02-0036-06

（編輯：劉仲秋）

10．3969／j．issn．1673-8268．2014．02．007

2013-11-05

2013-12-10

教育部人文社會科學研究青年基金項目：刑事電子證據(jù)規(guī)則研究（13YJC820109）

汪振林（1965-），男，安徽安慶人，副教授，法學博士，主要從事訴訟法學、證據(jù)法學研究。