GA_T 1172-2014电子邮件检验技术方法.pdf

ICS 35.240.01GAA 92中华人民共和国公共安全行业标准GA/T 1172---2014电子邮件检验技术方法Technical methods for E-mail examination2014-07-09 发布2014-07-09实施中华人民共和国公安部发布 GA/T 1172--2014前言本标准按照GB/T 1.1一2009给出的规则起草。本标准由公安部第三研究所提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部第三研究所、黑龙江省公安厅刑事技术总队。本标准主要起草人：张颖、王洪庆、郭弘、金波、黄道丽、徐克鑫。 GA/T 1172—2014电子邮件检验技术方法范围本标准规定了对电子邮件进行检验的技术方法。本标准适用于在电子数据检验鉴定工作中，对电子邮件的真实性进行检验。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GA/T756-2008数字化设备证据数据发现提取固定方法RFC 821 Simple Mail Transfer ProtocolRFC 1939 Post Officc Protocol-Version 3RFC 3501 Internet Massagc Access Protocl-Version 4revl RFC 4409 Message Submission for Mail3术语和定义GA/T756—2008、RFC821、RFC1939、RFC 3501和RFC 4409界定的以及下列术语和定义适用于本文件。3.1电子邮件electronic mail(E-mail)通过数据通讯网络进行传输的信件。3.2邮件应用程序接口 messaging application programming interface(MAPI)微软公司提供的用于创建邮件撰写和工作组应用程序的开放和全面的邮件撰写接口。3.3电子邮件客户端 electronic mail client(E-mail Client)使用POP3、SMTP等协议收发电子邮件的软件。3.4邮件信息号message-ID邮件系统创建邮件时的唯一标志，是发件方邮件服务器赋给这封邮件的编号，由唯一编号、@符号和域名组成。3.5邮件头 electronic mail header(E-mail header)电子邮件消息中正文前面的部分，由字段名及值组成，能够描述出邮件在网络中的传输情况，同时表明消息的接收者、发送者、发送时间和时区、邮件主题、邮件信息号、邮件传送代理等信息。T GA/T 1172—20144检验步骤4.1检材编号当送检检材为数字化设备时，对其进行唯一性编号。4.2检材拍照4.3检材的获取和保全备份4.3.1检材为数字化设备检材为数字化设备时，对具备保全条件的检材进行保全备份，参见GA/T756一2008。4.3.2检材为独立于数字化设备的文件分析检材，根据检材的内容选择以下的一项或多项进行检验：a）检材为电子邮件时,将电子邮件导出到检验环境中；b）检材为电子邮箱地址时,在检验环境中连接到互联网(或局域网络)后，通过电子邮件客户端或者网页登录电子信箱，查找与检验要求有关的电子邮件，并下载有关电子邮件到检验环境中，参见GA/T756-一2008。如果通过电子邮件客户端收取电子邮件，应确认电子邮件客户端被设置为在服务器上保留邮件的副本；c）检材为第三方邮件服务器日志时,将服务器日志导出到检验环境中。4.4分析电子邮件的真伪4.4.1直接判定邮件真实性4.4.2电子邮件服务器的邮件相关信息分析根据从邮件服务器日志、服务器备份数据等处查找到的邮件相关信息，判断电子邮件是否经过删除、修改。4.4.3接收电子邮件的协议分析对接受电子邮件的协议进行分析，判断电子邮件的真实性。a）检验电子邮件是否使用 IMAP接收协议，该协议使得客户端能够与服务器端实现同步，因此使用了该协议的电子邮件需结合检材中使用的客户端软件版本、邮件头信息以及其他相关信息来判断其真实性；b）检验电子邮件是否使用POP3接收协议，使用了该协议的电子邮件应通过分析电子邮件的邮件头信息以及其他相关信息来判断其真实性；c)7检验电子邮件是否使用MAPI接收协议，使用了该协议的电子邮件应通过分析电子邮件的邮件头信息以及其他相关信息来判断其真实性。4.4.4电子邮件头分析查看电子邮件的邮件头，通过分析邮件头中电子邮件的发送时间、接收时间、邮件传送代理2 GA/T 1172—2014(MTA）、邮件用户代理（MUA）、服务器IP地址以及邮件信息号（Message-ID)等信息来判断邮件的真伪。4.4.5电子邮件之间的关系分