【GA公共安全标准】 电子邮件检验技术方法

ICS35.240.01
中华人民共和国公共安全行业标准GA/T1172—2014
电子邮件检验技术方法
Technical methods for E-mail examination2014-07-09发布
中华人民共和国公安部
2014-07-09实施
本标准按照GB/T1.1-2009给出的规则起草。本标准由公安部第三研究所提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位：公安部第三研究所、黑龙江省公安厅刑事技术总队。本标准主要起草人：张颖、王洪庆、郭弘、金波、黄道丽、徐克鑫。GA/T1172—2014
1范围
电子邮件检验技术方法
本标准规定了对电子邮件进行检验的技术方法。本标准适用于在电子数据检验鉴定工作中，对电子邮件的真实性进行检验。2规范性引用文件
GA/T1172—2014
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单)适用于本文件。GA/T756-2008数字化设备证据数据发现提取固定方法RFC 821SimpleMailTransferProtocolRFC1939PostOfficeProtocol-Version3RFC 35o1Internet Massage Access Protocl-Version 4revlRFC4409MessageSubmission forMail3术语和定义
GA/T756-2008、RFC821、RFC1939、RFC3501和RFC4409界定的以及下列术语和定义适用于本文件。
电子邮件electronicmail(E-mail)通过数据通讯网络进行传输的信件。3.2
邮件应用程序接口messagingapplicationprogramminginterface（MAPI）微软公司提供的用于创建邮件撰写和工作组应用程序的开放和全面的邮件撰写接口。3.3
电子邮件客户端electronicmailclient（E-mail Client）使用POP3、SMTP等协议收发电子邮件的软件3.4
message-ID
邮件信息号
邮件系统创建邮件时的唯一标志，是发件方邮件服务器赋给这封邮件的编号，由唯一编号、符号和域名组成。
邮件头electronic mail header(E-mail header)电子邮件消息中正文前面的部分，由字段名及值组成，能够描述出邮件在网络中的传输情况，同时表明消息的接收者、发送者、发送时间和时区、邮件主题、邮件信息号、邮件传送代理等信息1
GA/T1172—2014
4检验步骤
4.1检材编号
当送检检材为数字化设备时，对其进行唯一性编号。4.2检材拍照
当送检检材为数字化设备时，对其进行拍照。4.3检材的获取和保全备份
4.3.1检材为数字化设备
检材为数字化设备时，对具备保全条件的检材进行保全备份，参见GA/T756一2008。4.3.2检材为独立于数字化设备的文件分析检材，根据检材的内容选择以下的一项或多项进行检验：检材为电子邮件时，将电子邮件导出到检验环境中；a
b）检材为电子邮箱地址时，在检验环境中连接到互联网（或局域网络)后，通过电子邮件客户端或者网页登录电子信箱，查找与检验要求有关的电子邮件，并下载有关电子邮件到检验环境中，参见GA/T756一2008。如果通过电子邮件客户端收取电子邮件，应确认电子邮件客户端被设置为在服务器上保留邮件的副本；检材为第三方邮件服务器日志时，将服务器日志导出到检验环境中。c）
4.4分析电子邮件的真伪
4.4.1直接判定邮件真实性
检验电子邮件的发送是否使用数字签名，对于使用数字签名的电子邮件可以直接判断其真实性。4.4.2电子邮件服务器的邮件相关信息分析根据从邮件服务器日志、服务器备份数据等处查找到的邮件相关信息，判断电子邮件是否经过删除、修改。
4.4.3接收电子邮件的协议分析
对接受电子邮件的协议进行分析，判断电子邮件的真实性。检验电子邮件是否使用IMAP接收协议，该协议使得客户端能够与服务器端实现同步，因此a)
使用了该协议的电子邮件需结合检材中使用的客户端软件版本，邮件头信息以及其他相关信息来判断其真实性；
检验电子邮件是否使用POP3接收协议，使用了该协议的电子邮件应通过分析电子邮件的邮b）
件头信息以及其他相关信息来判断其真实性：c）
检验电子邮件是否使用MAPI接收协议，使用了该协议的电子邮件应通过分析电子邮件的邮件头信息以及其他相关信息来判断其真实性。4.4.4电子邮件头分析
查看电子邮件的邮件头，通过分析邮件头中电子邮件的发送时间、接收时间、邮件传送代理2
GA/T1172-2014
（MTA）、邮件用户代理（MUA）、服务器IP地址以及邮件信息号（Messagc-ID）等信息来判断邮件的真伪。
5电子邮件之间的关系分析
对接受电子邮件之间的关系进行整理分析，判断电子邮件的真实性。a）由于电子邮件不是孤立的，需要鉴定的电子邮件往往和其他电子邮件的内容有所关联，因此需要结合这些相关联的电子邮件，依照发送与接收的时间顺序，对需鉴定的电子邮件进行梳理，并结合邮件头信息检验电子邮件的真实性；b)
对于发送方将电子邮件转发给第三方的情况，可根据第三方所接收到的电子邮件来判断其真实性。
5检验记录
4.5.1对于检材为数字化设备的，应记录检材的：a）类别：
b）型号；
出厂时唯一性编号（如果适用）；c
d）照片。
4.5.2对于检材为独立于数字化设备的文件时，应记录文件的：a）名称；
b）哈希值。
3应对检验分析的过程进行记录。5检验结论和意见
邮件的真实性检验结论是以下四种结论之一a）发现修改/伪造；
没有发现修改/伪造
没有修改/伪造；
不能判定。
GA/T 1172-2014
打印日期：2014年11月11日F009A中华人民共和国公共安全
行业标准
电子邮件检验技术方法
GA/T1172-2014
中国标准出版社出版发行
北京市朝阳区和平里西街甲2号（100029）北京市西城区三里河北街16号（100045）网址spc.net.cn
总编室：（010)64275323
发行中心：（010)51780235
读者服务部：（010)68523946
中国标准出版社秦皇岛印刷厂印刷各地新华书店经销
开本880×1230
印张0.5免费标准bzxz.net
字数8千字
2014年9月第一版2014年9月第一次印刷*
书号：155066·2-27342定价14.00元如有印装差错由本社发行中心调换版权专有侵权必究
举报电话：(010)68510107
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。