从邮件到邮件取证

电子邮件取证在现代司法调查中扮演着重要角色，尤其是在解决涉及电子邮件的案件时。随着电子数据被正式纳入证据种类，电子邮件证据的可靠性和验证方法也显得尤为重要。

现代司法调查中涉及电子邮件取证的实例应用包括：电子邮件泄露、邮件诈骗、钓鱼邮件、垃圾邮件、合同纠纷、企业内部调查等。熟悉电子邮件的结构及其整个生命周期的传递过程是解决电子邮件相关案件的技术前提。

 1.电子邮件概述

1.1什么是电子邮件

电子邮件（e-mail）是一种利用互联网在发送方和接收方系统之间快速交换信息的方法。您甚至可以将图像、视频和音频文件等非文本文件作为附件发送，它属于异步通信媒介。具有传递迅速和费用低廉的优点，自互联网建立以来就开始流行，随着互联网的不断发展，电子邮件也变得越来越便捷高效，时至今日电子邮件仍然是现代互联网最重要和实用的应用程序之一。

1.2电子邮件系统的组成

电子邮件系统由三大组件构成，包括：用户代理（User Agent）、邮件服务器（Mail Server）、邮件发送协议和读取协议。

用户代理又称为：电子邮件客户端，它向用户提供了一个友好的接口，方便终端用户撰写、收发、阅读、转发和保存邮件。微软Outlook、苹果Apple Mail、基于Web的Gmail和移动终端的Gmail都是电子邮件用户代理的例子。

邮件服务器又称为：邮件传输代理，是形成电子邮件体系结构的核心。它的功能是发送和接收邮件，同时还要向发件人报告邮件传送结果。

1.3电子邮件的通信过程

一封邮件的成功发送不仅需要发送协议：简单邮件传输协议SMTP。还需要读取协议比如：邮局协议POP3和因特网邮件访问协议IMAP。

图解用户Doris发送邮件给Stephen的过程。

• 发件人Doris通过调用计算机中的用户代理撰写了一封电子邮件；
• 当Doris点击屏幕上“发送邮件”按钮后，其余的工作就交给Doris的用户代理来完成了。用户代理把邮件用SMTP协议发送给Doris的邮件服务器。用户代理充当SMTP的客户，Doris的邮件服务器充当SMTP的服务器；
• SMTP服务器收到Doris的代理发来的邮件后，就把邮件临时存放在邮件缓存队列中，等待发送到Stephen的邮箱服务器；
• Doris邮件服务器的SMTP客户与Stephen邮件服务器的SMTP服务器基于TCP建立连接，然后把邮件缓存队列的邮件依次发送出去。值得注意的是：邮件不会在互联网中的某个中间邮件服务器落地。如果SMTP客户无法和SMTP服务器建立TCP连接，那么要发送的邮件会继续保存在Doris的邮件服务器中，并在稍后一段时间再进行新的尝试。如果SMTP客户超过了规定的时间还不能把邮件发送出去，那么Doris的邮件服务器就会把这种情况通知用户代理。
• 运行在Stephen邮件服务器的SMTP服务器进程收到邮件后，把邮件放入Stephen的用户邮箱当中，等待Stephen进行读取。
• Stephen在打算收信时，就运行他计算机的代理程序，使用POP3（或IMAP）协议读取Doris发送给他的邮件。这个过程是POP3客户把邮件从POP3服务器“拉”过来的。

1.4电子邮件的地址格式

TCP/IP体系的电子邮件系统规定电子邮件地址的格式为：

收件人邮箱名 @ 邮箱所在服务器域名

2.简单邮件传输协议SMTP（Simple Mail Transfer Protocol）

SMTP是TCP/IP协议簇中主机间传输邮件的标准协议，由RF822所定义。适用于用户代理向邮件服务器或者邮件服务器之间发送邮件。

SMTP和大多数应用层协议一样有两个部分，运行在发送方邮件服务器的客户端和运行在接收方邮件服务器的服务器端。每台邮件服务器上即运行SMTP的客户端也运行SMTP的服务器端。

SMTP的工作流程好似人与人之间相互交流前的自我介绍一般，服务器和用户代理会在建立连接后执行某些应用层的握手。举例客户（C）主机名：crepes.fr和SMTP服务器（S）主机名：hamburger.edu之间交换报文的过程。

HELLO：这是SMTP会话开始时使用的第一个命令，用于建立与接收邮件服务器的联系。发件方以此来向服务器标识自己身份，HELLO后通常是发件方的服务器地址或者域名。

MAIL FROM：用于标识邮件的发件人，启动邮件传输过程。此命令后跟随的是发件人的电子邮件地址。

RCPT TO：该命令用于标识邮件的一个或多个收件人。它可以多次使用，以添加多个收件人地址到当前邮件的传输中。

DATA：在MAIL FROM和RCPT TO命令之后，DATA命令告诉服务器接下来的数据是邮件的实际内容。服务器接收到DATA命令后，会将随后的数据视为邮件内容，直到遇到单独一行的“.”作为结束标志。

QUIT：所有的邮件发送完毕后，通常用QUIT来结束SMTP会话，关闭与服务器的链接。

注意：

SMTP一般不使用中间邮件服务器发送邮件，即使这两台服务器位于地球两端。

SMTP只能采用7比特的ASCII表示，不能是其他编码。

MAIL FROM命令后的地址可任意填写，给垃圾邮件提供了方便。

3.邮局协议POP3和因特网邮件访问协议IMAP

要知道SMTP是一个推协议，如果接收方想要通过用户代理获得邮件服务器上的邮件，需要借助读取协议，也就是因特网邮件访问协议IMAP（Internet Mail Access Protocol）或者邮局协议POP3（Post Office Protocol 3）

邮局协议第3版即POP3，是在RFC1399定义的因特网标准，POP3支持邮件收取的基本功能。

IMAP作为一个拉协议，同样是基于TCP链接实现客户与服务器之间的通信，是一个联机协议。IMAP第4版是IMAP的最新版本，由RFC3501定义，相较POP3改进了它的不足，并且拥有更多的功能与特性。

IMAP和POP3两种协议都按照客户服务器方式工作，但仍然有很大的不同