基于時(shí)間屬性的電子郵件真實(shí)性鑒定研究*

汪振林，張程緒

（重慶郵電大學(xué)法學(xué)院，重慶400065）

基于時(shí)間屬性的電子郵件真實(shí)性鑒定研究*

汪振林，張程緒

（重慶郵電大學(xué)法學(xué)院，重慶400065）

社會(huì)的發(fā)展和技術(shù)的進(jìn)步使得電子郵件被用作證據(jù)采納運(yùn)用成為可能，但這種可能首要解決的問(wèn)題是電子郵件的真實(shí)性鑒定?，F(xiàn)有電子郵件真實(shí)性鑒定方法均有不足之處，而把電子郵件的時(shí)間屬性作為切入點(diǎn)來(lái)分析和判斷電子郵件真實(shí)性的鑒定方法原理易懂，操作簡(jiǎn)便，容易實(shí)現(xiàn)電子郵件真實(shí)性鑒定目的。基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法包括時(shí)間信息的解析和時(shí)間屬性邏輯關(guān)系的判斷。如果判斷解析的時(shí)間出現(xiàn)邏輯關(guān)系矛盾，則可以認(rèn)定電子郵件遭到篡改，不滿足作為證據(jù)的真實(shí)性條件。

電子郵件；真實(shí)性鑒定；時(shí)間屬性；郵件頭

隨著互聯(lián)網(wǎng)的發(fā)展，中國(guó)已經(jīng)一躍成為網(wǎng)民最多的國(guó)家。截至2012年年底，中國(guó)互聯(lián)網(wǎng)用戶達(dá)到5．64億，互聯(lián)網(wǎng)普及率高達(dá)42．1%［1］。作為互聯(lián)網(wǎng)通信方式的一種，“電子郵件是網(wǎng)絡(luò)用戶進(jìn)行信息交流的常用手段之一”［2］。和傳統(tǒng)通信方式相比，電子郵件的優(yōu)點(diǎn)在于方便快捷、成本低廉和內(nèi)容豐富多彩。郵件通信不僅傳遞文字信息，還傳遞聲音、圖像或者視頻等信息，另外，電子郵件也可以發(fā)送附件，這使計(jì)算機(jī)之間可以便捷地傳遞各種重要文件。在商務(wù)通信往來(lái)中，采用電子郵件通信，不僅方便快捷，還能降低通信成本，提高交易速度。不過(guò)，在產(chǎn)生糾紛、需要使用電子郵件作為證據(jù)證明相關(guān)事實(shí)的場(chǎng)合，由于電子郵件的易偽造性、易修改性和依附性，法庭難以徑直認(rèn)定其真實(shí)性，除非當(dāng)事人自認(rèn)，否則就需要委托電子數(shù)據(jù)鑒定機(jī)構(gòu)對(duì)電子郵件的真實(shí)性進(jìn)行鑒定。

一、現(xiàn)有電子郵件真實(shí)性鑒定方法

對(duì)于電子郵件真實(shí)性的鑒定，目前主要采用以下幾種方法。

1．分析電子郵件偽造方法途徑和電子郵件發(fā)送環(huán)境的方法［3］。該方法是較早出現(xiàn)的電子郵件真實(shí)性鑒定方法，是一種開(kāi)放式列舉分析方法。它主要分析電子郵件的工作原理、電子郵件系統(tǒng)的組成和偽造電子郵件的可能方法和形式。不過(guò)，在技術(shù)不斷發(fā)展和進(jìn)步的今天，電子郵件服務(wù)器不斷更新?lián)Q代，電子郵件偽造方法途徑層出不窮，這種列舉式方法很難滿足電子郵件真實(shí)性分析的需要。另外，這種分析方法在具體的案件中也沒(méi)有給鑒定人員提出可操作性方案，僅僅停留在理論分析層面。

2．分析電子郵件郵件頭的方法［4］。郵件頭是電子郵件的重要組成部分，其包含了電子郵件發(fā)送過(guò)程相關(guān)的重要信息。這種方法注重分析郵件頭中的時(shí)間信息、發(fā)送路徑信息等，通過(guò)對(duì)這些信息的分析，達(dá)到電子郵件真實(shí)性鑒定的目的。該方法思路清晰，不足之處在于片面強(qiáng)調(diào)電子郵件頭信息的重要性，忽略了其他郵件組成部分的信息。電子郵件中和郵件相關(guān)的重要信息還可能存在于郵件正文和郵件文件存儲(chǔ)系統(tǒng)的屬性信息中，而這部分信息并沒(méi)有被重視。另外，這種方法同樣沒(méi)有提供能夠指導(dǎo)實(shí)務(wù)操作的方案。

3．綜合分析電子郵件的方法［5］。該方法綜合分析電子郵件頭、郵件正文、郵件客戶端、郵件發(fā)送系統(tǒng)等。這種方法從理論上全面分析了電子郵件工作的基本原理，對(duì)真實(shí)性鑒定起著很大的指導(dǎo)作用。不足之處在于該方法分析面太廣，導(dǎo)致深度方面有所欠缺，在一定程度上影響了電子郵件真實(shí)性鑒定的準(zhǔn)確性。

綜上所述，由于已有的鑒定方法均存在不同程度的缺陷，不能徹底解決電子郵件的真實(shí)性鑒定問(wèn)題，因此需要尋找和確定一種新的電子郵件真實(shí)性鑒定方法。

眾所周知，在電子郵件信息中，時(shí)間信息占據(jù)了重要地位，電子郵件系統(tǒng)設(shè)計(jì)者也充分考慮到時(shí)間因素的重要性，在電子郵件的發(fā)送和接收過(guò)程中，郵件系統(tǒng)會(huì)在電子郵件文件中嵌入大量時(shí)間屬性信息，因而，當(dāng)電子郵件遭到偽造之后，很容易在正常的時(shí)間邏輯關(guān)系上表現(xiàn)出前后不一致或者矛盾的現(xiàn)象。為此，筆者認(rèn)為可以確立一種基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法。這種鑒定方法主要包含電子郵件時(shí)間信息的解析和時(shí)間屬性邏輯關(guān)系判斷，如果判斷時(shí)間屬性邏輯關(guān)系出現(xiàn)矛盾，則可以認(rèn)定電子郵件遭到篡改，不滿足作為證據(jù)的真實(shí)性條件。

不過(guò)，采用偽造或者篡改得到的電子郵件不一定都表現(xiàn)出時(shí)間邏輯關(guān)系的矛盾，因此，雖然在電子郵件時(shí)間屬性表現(xiàn)出矛盾時(shí)，可以采用基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法判斷出電子郵件是不真實(shí)的，但時(shí)間信息不表現(xiàn)出邏輯關(guān)系的矛盾并不必然得出“電子郵件是真實(shí)的”這個(gè)結(jié)論。所以，當(dāng)郵件時(shí)間屬性邏輯關(guān)系不矛盾時(shí)，要判斷郵件的真實(shí)性，就要采用其他方法或者從其他切入點(diǎn)著手分析電子郵件的真實(shí)性。即基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法只能“去偽”，不能“存真”。但與其他電子郵件真實(shí)性鑒定方法相比，本方法原理易懂，操作步驟簡(jiǎn)單，應(yīng)是電子郵件真實(shí)性鑒定的首選。以下就該方法的內(nèi)容，即電子郵件時(shí)間信息的解析和時(shí)間屬性邏輯關(guān)系判斷逐一進(jìn)行討論，并通過(guò)實(shí)例就運(yùn)用該方法的具體程序作一說(shuō)明。

二、電子郵件時(shí)間信息解析

基于時(shí)間屬性的電子郵件鑒定方法主要包含電子郵件時(shí)間信息的解析和時(shí)間屬性邏輯關(guān)系判斷兩方面的內(nèi)容，在此先就電子郵件時(shí)間信息解析進(jìn)行討論。

電子郵件主要由郵件頭、正文和附件組成。郵件頭信息保存郵件各種屬性信息，通過(guò)適當(dāng)設(shè)置電子郵件客戶端軟件可以查看。郵件正文通常包含郵件發(fā)送的文字信息、圖片等內(nèi)容，它和郵件附件一起，是能夠被客戶端軟件正常查看和識(shí)別的信息。時(shí)間屬性信息是電子郵件的重要信息，它記錄了電子郵件的發(fā)送過(guò)程、郵件文件生成時(shí)間等信息。電子郵件的時(shí)間屬性信息保存比較分散，在電子郵件頭、磁盤文件系統(tǒng)的文件時(shí)間屬性、郵件附件屬性等位置都能找到該信息，充分解析這些時(shí)間信息是鑒定電子郵件真實(shí)性的關(guān)鍵。

（一）Message ID時(shí)間信息解析

Message ID是電子郵件的“指紋”，由數(shù)字和符號(hào)組成，保存在郵件頭信息里，具有全球唯一性，即在全球不會(huì)找到兩封Massage ID相同的電子郵件。Message ID由發(fā)送方郵件服務(wù)器生成，具體格式會(huì)因電子郵件客戶端軟件的不同而有所不同。所有電子郵件頭信息都能找到Message ID，但并非所有客戶端軟件生成的Message ID都包含有時(shí)間信息。生成的Message ID包含時(shí)間信息的客戶端軟件主要有Outlook Express、Foxmail、Windows Live，以下將對(duì)其逐一進(jìn)行說(shuō)明。

1．Outlook Express的Message ID中的時(shí)間信息

Outlook Express的Message ID格式為：［random］｛4｝［hex Windows File Time／Date］｛8｝MYM［hex Windows File Time／time］｛8｝MYM［hw-hash］｛8｝＠［hostname］。其中，［hex Windows FileTime／Date］表示8位16進(jìn)制數(shù)值的郵件發(fā)送日期，［hex Windows File Time／time］表示8位16進(jìn)制數(shù)值的郵件發(fā)送時(shí)間。在版本6．00．2900．5512之后的客戶端生成的Message ID中不再包含時(shí)間信息。

例如：Outlook Express生成的Message ID為：00061405071cMYM0a352a80MYMc92c030b＠smallmin，這表示該電子郵件發(fā)送時(shí)間為：2005年7月28日10時(shí)53分42秒。

2．Foxmail的Message ID中的時(shí)間信息

Foxmail的Message ID格式為：［Datetime］｛21｝＠［hostdomain］。其中，［Datetime］表示21位的日期時(shí)間。

例如：Foxmail生成的Message ID為：Message－id：201105261552312350836＠sjtu．edu．cn，這表示該電子郵件發(fā)送時(shí)間為：2011年5月26日15時(shí)52分31秒。

3．Windows Live的Message ID的時(shí)間信息

Windows Live的Message ID格式為：［Windows File Time＆Date］｛14｝［random］｛12｝＠［hostname］。其中，［Windows File Time＆Date］｛14｝表示14位的日期時(shí)間。

例如：Windows Live生成的Message ID為：20120516234308．802465300A3＠webmail．sinamail．sin．com．cn，這表示該電子郵件發(fā)送時(shí)間為：2012年5月16日23時(shí)43分8秒。

（二）Date時(shí)間信息解析

Date時(shí)間屬性是指保存在電子郵件頭信息里的郵件發(fā)送時(shí)間。相比Massage ID，其格式較為簡(jiǎn)單。如：Date：Sun，20 May 2012 08：19：44＋0800，該Date時(shí)間表示電子郵件發(fā)送時(shí)間為2012年5月20日8時(shí)19分44秒，發(fā)送地點(diǎn)時(shí)區(qū)為東8區(qū)。

（三）Boundary時(shí)間信息解析

Boundary是電子郵件內(nèi)部信息分界標(biāo)記。郵件頭中的Boundary屬性用來(lái)分隔郵件純文本和超文本正文，郵件正文中的Boundary屬性用來(lái)分隔郵件主體、內(nèi)嵌資源（一般為超文本正文的圖片）以及郵件附件［6］。Boundary屬性在郵件頭會(huì)出現(xiàn)一次，在郵件正文會(huì)出現(xiàn)多次。雖然并非所有郵件客戶端生成的Boundary都能解析出時(shí)間信息，但大多數(shù)國(guó)內(nèi)網(wǎng)絡(luò)郵箱客戶端生成的Boundary中都包含時(shí)間信息。以126郵箱為例，Boundary的格式為：----＝＿part＿［random］｛6｝＿［random2］｛8｝．［UnixTime］｛13｝。其中，UnixTime是從1970-01-01 00：00：00格林尼治標(biāo)準(zhǔn)時(shí)間到Date時(shí)間的毫秒數(shù)。

Received信息在郵件頭信息里表示郵件的發(fā)送路徑列表，即從發(fā)送者到接收者之間郵件經(jīng)過(guò)郵件服務(wù)器的路徑順序表。Received信息排列在郵件頭的起始位置，從開(kāi)始位置起，第一項(xiàng)記錄是郵件經(jīng)過(guò)的最后經(jīng)過(guò)服務(wù)器信息，最后一項(xiàng)記錄是郵件的起始經(jīng)過(guò)服務(wù)器信息。Received信息的一般格式為：Received：from郵件服務(wù)器域名［郵件服務(wù)器ip地址］＋郵件服務(wù)器類型＋郵件經(jīng)過(guò)該服務(wù)器時(shí)間＋其他時(shí)間信息。例如：Received：from r175-229．sinamail．sina．com．cn（unknown［60．28．175．229］）bymx16（Coremail）with SMTP id QsCowED5DUtw＋rJPGm72BA--．942S2；Wed，16 May 2012 08：53：04＋0800（CST），這里表示電子郵件在16 May 2012 08：53：04＋0800時(shí)間經(jīng)過(guò)r175-229．sinamail．sina．com．cn（unknown［60．28．175．229］）服務(wù)器。

（五）郵件文件和郵件附件的時(shí)間信息解析

任何電子數(shù)據(jù)的存儲(chǔ)介質(zhì)所采用的文件系統(tǒng)都必然設(shè)計(jì)管理文件屬性信息的功能，文件屬性信息里就包含了時(shí)間信息。文件系統(tǒng)可以簡(jiǎn)單理解為計(jì)算機(jī)或者其他電子設(shè)備在存儲(chǔ)介質(zhì)里的文件保存方法，一般在我們格式化存儲(chǔ)介質(zhì)的時(shí)候產(chǎn)生。文件系統(tǒng)儲(chǔ)存的文件屬性信息包括文件大小、文件的時(shí)間屬性、文件的類型等信息，其中，文件時(shí)間屬性包含文件創(chuàng)建時(shí)間、修改時(shí)間、訪問(wèn)時(shí)間等，文件類型包括文件是否只讀、隱藏、是否為系統(tǒng)文件等。文件系統(tǒng)會(huì)將文件屬性信息和文件內(nèi)容分開(kāi)存儲(chǔ)，文件系統(tǒng)不同，時(shí)間屬性的保存位置也不一樣。如早些年計(jì)算機(jī)硬盤和其他電子設(shè)備存儲(chǔ)介質(zhì)較多使用的Fat32文件系統(tǒng)時(shí)間屬性保存在該文件系統(tǒng)數(shù)據(jù)區(qū)的目錄項(xiàng)里，Windows7系統(tǒng)所采用的NTFS文件系統(tǒng)的文件時(shí)間屬性保存在主文件分配表的10H屬性里。郵件客戶端軟件接收、保存電子郵件之后，會(huì)在計(jì)算機(jī)硬盤里寫入電子郵件文件，同時(shí)將時(shí)間屬性信息寫入文件系統(tǒng)相應(yīng)的位置。電子郵件的時(shí)間屬性信息獲取相對(duì)比較容易，和其他文件操作一樣，在Windows操作系統(tǒng)下，找到文件“右擊”，選擇屬性，便能查看到電子郵件的時(shí)間屬性。如果想進(jìn)一步對(duì)比大量電子郵件的時(shí)間屬性，可以用專業(yè)的計(jì)算機(jī)取證分析軟件如X-ways Forensic和Encase先進(jìn)行電子郵件過(guò)濾，然后再分別列出電子郵件的時(shí)間屬性進(jìn)行分析對(duì)比。

另一個(gè)可以提取時(shí)間信息的文件是電子郵件里添加的郵件附件。附件文件通常是計(jì)算機(jī)硬盤里保存的文件，是通過(guò)計(jì)算機(jī)操作或者其他電子設(shè)備生成的，和其他電子數(shù)據(jù)文件的時(shí)間屬性一樣，這就必然在文件屬性里包含文件時(shí)間屬性信息，如文件創(chuàng)建時(shí)間、修改時(shí)間、訪問(wèn)時(shí)間等，電子郵件的發(fā)送也將這些信息一同發(fā)送給郵件的接收者。附件文件的時(shí)間屬性相比其他時(shí)間信息較為隱蔽，不容易被察覺(jué)和重視，也往往被取證人員或者鑒定人員所忽略，而獲取該信息也要通過(guò)專業(yè)的軟件。在實(shí)踐中鑒定人員通常采用Intella或者Nuix軟件來(lái)查看郵件附件文件的時(shí)間屬性，操作很簡(jiǎn)便。

（六）時(shí)間信息解析的工具和步驟

電子郵件分析有專業(yè)的分析軟件，比如Intella和Nuix Forensics，它們都可以在加載電子郵件文件之后，通過(guò)查看郵件頭信息，直觀方便地查找出郵件頭信息里的時(shí)間屬性信息。電子郵件文件儲(chǔ)存在硬盤的二進(jìn)制數(shù)據(jù)直接轉(zhuǎn)化為ASSIC碼數(shù)據(jù)之后，文件的起始位置就是電子郵件頭信息，如Received、Date和Message ID等信息，這些數(shù)據(jù)或者時(shí)間信息的獲取，簡(jiǎn)單的二進(jìn)制代碼查看軟件就能做到，如Winhex軟件就能查看。專業(yè)的電子郵件分析軟件的不同之處在于將這些數(shù)據(jù)以一種更加直觀的方式呈現(xiàn)給使用者，同時(shí)挖掘深層次的數(shù)據(jù)，比如解析電子郵件的內(nèi)容、分析電子郵件附件文件的內(nèi)容和文件屬性信息，專業(yè)的郵件分析軟件的操作也較為簡(jiǎn)便。Intella軟件的電子郵件分析步驟是加載電子郵件文件之后，雙擊郵件文件，點(diǎn)擊郵件頭就能看到郵件頭信息；點(diǎn)擊附件，雙擊附件文件就能看到附件文件和該文件的屬性信息。X-ways Forensic軟件在過(guò)濾出電子郵件文件之后，在電子郵件查閱窗口便可以查看郵件頭的各種數(shù)據(jù)，比如Message ID、Date等信息。

三、時(shí)間屬性邏輯關(guān)系判斷

一封沒(méi)有經(jīng)過(guò)篡改或者偽造的電子郵件發(fā)送和接收必然要滿足時(shí)間結(jié)構(gòu)上的邏輯關(guān)系，并遵循時(shí)間先后邏輯順序關(guān)系，這是電子郵件發(fā)送必須要遵守的客觀規(guī)律，電子郵件時(shí)間結(jié)構(gòu)的這種關(guān)系主要表現(xiàn)在時(shí)間統(tǒng)一和時(shí)間的先后順序方面。電子郵件在遭到篡改或者偽造之后通常會(huì)表現(xiàn)出時(shí)間邏輯結(jié)構(gòu)方面的矛盾，即時(shí)間的不統(tǒng)一或者時(shí)間先后順序的錯(cuò)亂。經(jīng)過(guò)篡改或者偽造的電子郵件時(shí)間邏輯結(jié)構(gòu)矛盾情況的出現(xiàn)與電子郵件時(shí)間信息的提取位置有關(guān)，不同位置提取的時(shí)間信息在矛盾表現(xiàn)上也不一致。

（一）時(shí)間信息的統(tǒng)一性分析

一些電子郵件的Message ID和Boundary信息能夠解析出該電子郵件的發(fā)送時(shí)間，在這類電子郵件頭的郵件信息里，Date信息、Message ID和Boundary信息是在電子郵件發(fā)送過(guò)程中同時(shí)生成的，其內(nèi)部解析出的時(shí)間信息應(yīng)當(dāng)具備統(tǒng)一性，即三個(gè)時(shí)間值要完全一致。另外，在電子郵件經(jīng)過(guò)第一個(gè)服務(wù)器時(shí)，Received From信息里添加了第一條記錄，也就是郵件頭信息中的最后一條記錄，該記錄的時(shí)間信息也是郵件的發(fā)送時(shí)間，故和Date時(shí)間信息應(yīng)該具備統(tǒng)一性?，F(xiàn)實(shí)中考慮到郵件數(shù)據(jù)傳遞設(shè)備的延時(shí)效果，該時(shí)間信息和Date時(shí)間信息相比可能會(huì)有出入，但是不會(huì)太大。電子郵件時(shí)間屬性統(tǒng)一性分析通過(guò)對(duì)比解析出的時(shí)間信息，根據(jù)時(shí)間信息的統(tǒng)一關(guān)系，可確認(rèn)時(shí)間信息是否遭到篡改，如發(fā)現(xiàn)時(shí)間信息遭到篡改，便可以判斷出該電子郵件不具有真實(shí)性。

（二）時(shí)間先后順序分析

時(shí)間先后順序是電子郵件時(shí)間分析涉及時(shí)間點(diǎn)最多的邏輯關(guān)系。電子郵件發(fā)送過(guò)程中，各個(gè)包含時(shí)間信息的數(shù)據(jù)生成的時(shí)間先后不一樣，這就導(dǎo)致這些時(shí)間表現(xiàn)為先后順序，這種時(shí)間先后順序的不同會(huì)因時(shí)間提取點(diǎn)的不同而不同。第一，電子郵件的發(fā)送時(shí)間必然在先，接收在后。電子郵件在發(fā)送的過(guò)程中時(shí)間信息要滿足先后順序，這部分的分析可以檢查電子郵件發(fā)送接收時(shí)間信息的先后順序。第二，Received最后一條記錄為電子郵件經(jīng)過(guò)的第一個(gè)服務(wù)器，這條記錄記錄的時(shí)間信息最早，依次稍微延時(shí)，直到最后一條記錄，也就是第一條時(shí)間記錄最晚。Received信息生成于電子郵件發(fā)送傳輸過(guò)程中，電子郵件在網(wǎng)絡(luò)中以光速傳播，考慮到實(shí)際電子設(shè)備的延時(shí)效果，電子郵件依次經(jīng)過(guò)的服務(wù)器時(shí)間也會(huì)有差距和延時(shí)，但是時(shí)間不會(huì)延遲太久，所以表現(xiàn)出時(shí)間的先后順序。第三，發(fā)送端郵件文件的生成時(shí)間在電子郵件接收時(shí)間之前，電子郵件接收端郵件文件生成時(shí)間在電子郵件發(fā)送之后。電子郵件完成發(fā)送之后，客戶端軟件就會(huì)在本地計(jì)算機(jī)保存電子郵件文件，電子郵件接收之后才能再生成電子郵件文件，因此，解析出的郵件文件生成時(shí)間必然是發(fā)送端郵件文件的生成時(shí)間在電子郵件接收時(shí)間之前，電子郵件接收端郵件文件生成時(shí)間在電子郵件發(fā)送之后，這是電子郵件發(fā)送接收的邏輯規(guī)律。第四，電子郵件附件文件的創(chuàng)建時(shí)間在發(fā)送時(shí)間之前。郵件的附件文件一定是計(jì)算機(jī)或者其他電子設(shè)備創(chuàng)建完成的電子數(shù)據(jù)，否則不能添加為附件文件并發(fā)送給郵件接收人，文件建立的活動(dòng)在發(fā)送之前，故電子郵件的建立時(shí)間一定在電子郵件發(fā)送時(shí)間之前。

電子郵件的時(shí)間先后順序分析方法是電子郵件時(shí)間邏輯關(guān)系分析方法中最重要的分析方法，這是由電子郵件活動(dòng)過(guò)程所遵循的邏輯順序決定的。通過(guò)解析電子郵件的時(shí)間，并進(jìn)行各種邏輯關(guān)系論證，便能準(zhǔn)確排除已經(jīng)被污染的電子郵件證據(jù)。

四、程序說(shuō)明

下文將通過(guò)司法鑒定實(shí)務(wù)中的一個(gè)真實(shí)案例來(lái)說(shuō)明基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法的具體程序。

在××民事訴訟中，被告向法庭提交了若干封與原告往來(lái)作為證據(jù)的電子郵件，原告對(duì)其中主題為“貨款”和“催收”的兩封電子郵件提出異議。現(xiàn)法院送檢原告方提交的用于收發(fā)電子郵件的計(jì)算機(jī)的硬盤，委托A司法鑒定中心對(duì)其中有爭(zhēng)議的兩封電子郵件的真實(shí)性進(jìn)行司法鑒定①該案例系筆者所在單位主管的A司法鑒定中心2012年接受委托的鑒定案件。接受委托后，鑒定人員運(yùn)用基于時(shí)間屬性的電子郵件真實(shí)性鑒定方法進(jìn)行鑒定，得出的鑒定意見(jiàn)提交法庭經(jīng)過(guò)質(zhì)證后為法庭所采信?！，F(xiàn)將該案鑒定程序的主要內(nèi)容說(shuō)明如下。

（一）證據(jù)保全

A司法鑒定中心工作人員依照鑒定程序首先記錄硬盤的相關(guān)信息，在送檢方和工作人員的見(jiàn)證之下拆封硬盤接口封條，用硬盤復(fù)制機(jī)對(duì)整個(gè)硬盤二進(jìn)制數(shù)據(jù)進(jìn)行克隆制作硬盤鏡像，同時(shí)計(jì)算檢材硬盤和硬盤鏡像的哈希值。在確認(rèn)兩者一致后，檢材硬盤送交保管，硬盤鏡像用于鑒定，即后期所有鑒定工作均在硬盤鏡像上進(jìn)行。證據(jù)保全的作用在于獲得可供鑒定使用的復(fù)制件，避免在證據(jù)源盤上進(jìn)行操作可能發(fā)生的毀壞或污染電子數(shù)據(jù)的風(fēng)險(xiǎn)。

（二）電子郵件檢驗(yàn)分析

將硬盤鏡像通過(guò)只讀設(shè)備連接鑒定用計(jì)算機(jī)，用文件分析軟件分析硬盤文件，過(guò)濾出有爭(zhēng)議的電子郵件文件，同時(shí)計(jì)算電子郵件文件的哈希值，最后采用專業(yè)電子郵件分析軟件分析有爭(zhēng)議的兩封電子郵件。電子郵件分析主要是提取電子郵件內(nèi)容、郵件頭信息、郵件文件屬性信息、郵件附件內(nèi)容和附件屬性信息，分析兩封電子郵件相關(guān)信息，判斷電子郵件是否偽造或篡改。檢驗(yàn)分析過(guò)程應(yīng)使用專業(yè)的取證分析工具，并遵守相應(yīng)的鑒定技術(shù)規(guī)范。具體分析過(guò)程及結(jié)果如下。

1．主題為“貨款”的電子郵件的檢驗(yàn)分析。郵件頭中Data、Message ID以及Received中的時(shí)間均為2012年3月17日，首先使用分析軟件查看郵件的文件屬性，顯示“創(chuàng)建時(shí)間”也為2012年3月17日，表明此封郵件是在2012年3月17日生成。使用分析軟件查看郵件的文件屬性，顯示“修改時(shí)間”為2012年3月21日，這表明此郵件于2012年3月21日被修改。其次查看郵件時(shí)間和附件時(shí)間屬性，使用分析軟件查看郵件附件“協(xié)信公司聲明．doc”，顯示其創(chuàng)建時(shí)間為2012年3月21日，郵件附件應(yīng)早于郵件或與郵件同時(shí)創(chuàng)建，附件的創(chuàng)建時(shí)間與郵件的創(chuàng)建時(shí)間存在明顯的矛盾。綜上，通過(guò)對(duì)郵件頭、文件時(shí)間屬性及附件的時(shí)間屬性的分析，可以得出鑒定意見(jiàn)，即該郵件應(yīng)經(jīng)過(guò)偽造、篡改。

2．主題為“催收”的電子郵件的檢驗(yàn)分析。郵件頭中的Message ID與Date同時(shí)生成，故從Message ID中提取的時(shí)間應(yīng)與從Date中提取的時(shí)間一致，Received中提取的時(shí)間也應(yīng)與Date中提取的時(shí)間一致或略微延后。通過(guò)分別提取郵件中郵件頭的Message ID、Date及Received的時(shí)間信息，發(fā)現(xiàn)三個(gè)時(shí)間存在較大差異，綜上，可以得出鑒定意見(jiàn)：該郵件應(yīng)經(jīng)過(guò)偽造、篡改。

（三）鑒定意見(jiàn)書制作提交與存檔

A司法鑒定中心工作人員在完成以上檢驗(yàn)分析步驟之后制作了司法鑒定意見(jiàn)書，鑒定意見(jiàn)為：“1．主題為‘貨款’的郵件，經(jīng)過(guò)偽造、篡改；2．主題為‘催收’的郵件，經(jīng)過(guò)偽造、篡改?！辈⑵渑c檢材、附件光盤一起提交法院，同時(shí)在鑒定中心存檔一份。制作鑒定意見(jiàn)書應(yīng)符合《司法鑒定文書規(guī)范》的要求，便于對(duì)電子郵件證據(jù)的質(zhì)證和認(rèn)定。存檔司法鑒定意見(jiàn)書的目的是便于進(jìn)行業(yè)務(wù)總結(jié)和方便外部監(jiān)督。

五、結(jié) 語(yǔ)

基于時(shí)間屬性的電子郵件真實(shí)性鑒定，關(guān)鍵在于解析電子郵件在發(fā)送過(guò)程中生成的時(shí)間信息，判斷這些時(shí)間所遵循的邏輯關(guān)系是否成立，以鑒定電子郵件的真?zhèn)?、認(rèn)定電子郵件證據(jù)真實(shí)性。電子數(shù)據(jù)作為新的證據(jù)類型已為訴訟法所規(guī)定［7］，隨著計(jì)算機(jī)網(wǎng)絡(luò)的進(jìn)一步普及，電子數(shù)據(jù)在電子商務(wù)案件、電子政務(wù)案件、網(wǎng)絡(luò)侵權(quán)和網(wǎng)絡(luò)犯罪案件中將會(huì)得到越來(lái)越廣泛的運(yùn)用，作為電子數(shù)據(jù)之一的電子郵件由于其易偽造性、易修改性和依附性，在訴訟中往往需要進(jìn)行真實(shí)性鑒定。由于基于時(shí)間屬性電子郵件真實(shí)性鑒定方法的可靠性和簡(jiǎn)易性，其在電子郵件真實(shí)性鑒定中將會(huì)起到不可替代的作用。

［1］ 工業(yè)和信息化部電信管理局許廉先生致辭［EB／OL］．（2013-03-28）［2013-10-02］．http：／／tech．china．com／news／net／domestic／11066127／20130328／17751876．html．

［2］ 廖根為．論電子郵件證據(jù)證明力［J］．安徽師范大學(xué)學(xué)報(bào)：人文社會(huì)科學(xué)版，2010（3）：304-308．

［3］ 廖根為．電子郵件真?zhèn)舞b定初探［J］．犯罪研究，2009（3）：42-48．

［4］ 郭弘，金波．利用郵件頭分析電子郵件的真?zhèn)危跩］．中國(guó)司法鑒定，2010（4）：63-68．

［5］ 李巖，施少培，楊旭，等．電子郵件真實(shí)性鑒定方法探索［J］．中國(guó)司法鑒定，2012（4）：94-99．

［6］ 聶小塵，邱衛(wèi)東，李巖，等．基于多屬性的電子郵件鑒定研究［J］．信息安全與通信保密，2012（2）：76-77，80．

［7］ 汪振林．電子數(shù)據(jù)原件問(wèn)題研究［J］．重慶郵電大學(xué)學(xué)報(bào)：社會(huì)科學(xué)版，2012（5）：33-37．

?

時(shí)間信息解析

Time Attribute-based Identification of the Authenticity of the E-mail

WANG Zhenlin，ZHANG Chengxu
（College of Law，Chongqing University of Posts and Telecommunications，Chongqing 400065，China）

The development of society and technologymakes the adoption of e-mail to be used as the evidence possible，but itmay be the most pressing issue to identify the authenticity of e-mail．Existing e-mail authenticity identification methods have shortcomings，but themethod taking the time attribute of the e-mail as an entry point to analyze and judge the authenticity of the e-mail is easy to understand，operate and easy to implement e-mail authenticity identification purposes．This time attribute-based identification of the authenticity of the e-mailmethod includes the time attribute information extraction and time attribute logic relationship judgment．If the time attribute has logical relationship conflicts，you can be sure that the e-mail has been tampered with，and it can not satisfy the authenticity conditions as evidence．

e-mail；authenticity identification；time attribute；e-mail head

TP393．098

A

1673-8268（2014）02-0036-06

（編輯：劉仲秋）

10．3969／j．issn．1673-8268．2014．02．007

2013-11-05

2013-12-10

教育部人文社會(huì)科學(xué)研究青年基金項(xiàng)目：刑事電子證據(jù)規(guī)則研究（13YJC820109）

汪振林（1965-），男，安徽安慶人，副教授，法學(xué)博士，主要從事訴訟法學(xué)、證據(jù)法學(xué)研究。