【摘要】电子邮件作为网络沟通常见的形式之一,应用十分广泛,但涉及电子邮件的相关纠纷与犯罪问题也日益突出。很多案件由于无法判明电子邮件证据真实性,而导致诉讼无法正常进行、无奈拖延或者失败。为确定电子邮件证据真实性,对其进行科学鉴定显得十分重要,但电子邮件不同传统的物证、书证鉴定,其本身十分复杂,对其鉴定研究,必须分析常见的伪造形式,以及如何伪造,并在此基础上探讨鉴定的主要思路。
【关键词】电子邮件;鉴定;伪造
【英文摘要】As a way of the communication on Internet, E-mail's application is very popular. However, disputesand crime problems related to E-mail become more and more serious. In many relative cases, for failing to judgewhether the Email evidence is authentic, the court cannot but delay the process of those actions, or entireproceedings go out of business. In order to make sure the E-mail is true or not, the E-mail forensics is important.Unfortunately, the E-mail Protocols is too complicated to judge without any checking. Analyzing the differentforging means of different E-mail Protocols, we will put forward a E-mail Forensic strategy, which is a integratedpolicy include research of E-mail head, log file, transmitting environment, E-mail abnormity, and analysis oflogic relations of E-mails.
【英文关键词】E-mail; forensics; forge
一、概述
电子邮件是我们生活中不可缺少的一部分,在电子商务往来中,电子邮件用途也非常广泛,根据2007年CNNIC调查结果显示[1],搜索引擎、电子邮件和即时通信是互联网上的基础应用。其中电子邮件应用率是56. 5%,电子邮件用户规模达11, 865万人。与传统邮件相比,电子邮件成本低廉,且其到达目的地不受时空限制,可以在极短的时间内到达世界各国。个人在使用电子邮箱前需到ISP申请邮箱帐号,或者在公司申请内部的邮件服务器邮箱帐号,申请好后便可以立即使用了。电子邮件带给人们巨大便利的同时,也给人们带来了负面影响。在电子商务往来中,人们经常采用电子邮件形式进行商务交流,在商务活动中难免产生纠纷,一旦发生了纠纷,如果一方当事人否认电子邮件是其发送的、或认为电子邮件内容有更改时,另一方当事人却发现无法拿出足够的证据证明其提交的电子邮件证据合法性、真实性、关联性。由于电子邮件是信息时代的产物,对其研究还不透彻,加上数字化信息本身易于更改,其真实性难以证明,常使诉讼难以正常进行。此类局面对于电子商务的健康发展极其不利,极大阻碍了其快速成长,并降低了人们对互联网安全交易的信心。另外,利用电子邮件进行垃圾广告、传播色情信息、诈骗等违法犯罪活动也十分猖獗,这些犯罪嫌疑人习惯采用虚假的电子邮箱帐号、或者冒充他人进行违法犯罪活动,使得直接通过电子邮箱帐号查找犯罪嫌疑人十分困难,难以遏制犯罪气焰。所有这些困难均与电子邮件有关,那么是否可以通过对电子邮件进行分析,从而判定电子邮件是否伪造,是谁伪造呢?最常见的手段之一就是对电子邮件进行技术鉴定。但是目前关于计算机鉴定的研究尚少,对电子邮件如何进行技术鉴定的研究几乎一片空白。电子邮件十分复杂,接收与发送电子邮件均采用不同的协议,且电子邮件服务器软件很多、电子邮件客户端软件也十分庞杂,在不同组合条件下,其可靠性、可信度均会发生变化,况且伪造电子邮件手法也十分繁多,所以对其鉴定研究,需总结归纳出常见的电子邮件伪造形式,并分析每一类伪造手段实现方法,通过对各类伪造行为的研究,制定相应的鉴定策略,提出鉴定电子邮件的主要思路。
二、电子邮件伪造形式
目前影响电子邮件系统正常运行的主要有垃圾电子邮件问题和伪造电子邮件问题,其中垃圾邮件又常常是伪造的,所以研究电子邮件伪造形式十分重要。伪造电子邮件可以是伪造电子邮件内容,即发件人发送了某邮件,但邮件内容进行了修改;也可以伪造电子邮件的来源,即发件人根本就没有发送相同内容的电子邮件。从目前看,如果不考虑个人电脑中电子邮件直接伪造情形外,一般电子邮件证据均在服务器中取得,如果电子邮件是完全离线方式操作,那么对邮箱内或传送过程中电子邮件内容直接伪造十分困难,大量伪造案件,主要集中在电子邮件来源伪造上,表现为被害人没有发送过相同内容电子邮件,但电子邮件显示发件人是被害人发送的电子邮件。这种电子邮件伪造主要存在两大类方法:
(一)获取密码的邮件伪造
获取密码,指的是获取被害人电子邮件帐号与电子邮件帐号对应密码,并利用帐号和密码直接进入邮箱操作的伪造。从密码获取的途径进行细分,又可分为三种形式:
1、猜测密码的方法获取密码
此类电子邮件伪造行为,主要是事先通过各种途径获悉被害人电子邮件信箱帐号信息,并根据帐号信息,直接登录到相应的邮件服务器,通过不同密码试探的方法多次测试是否通过服务器的验证,直到成功为止。通过这类途径伪造电子邮件比较罕见,因为试探方法一般很难奏效,除非被害人采用的电子邮件密码十分简短和简单。
2、盗窃密码的方法获取密码
此类伪造通常发生在比较亲近或熟悉人之间,通过各种关系偷看被害人输入密码,或者通过进入到被害人电脑,利用电脑中保存的密码进入到被害人邮箱中,并冒充被害人的身份伪造电子邮件。
3、技术窃取的方法获取密码
通过技术窃取密码是常见的获取密码方式,在此类方法中又分两种不同的获取途径。第一种途径通过局域网监控获取密码,第二种途径为通过黑客程序进入被害人电脑嗅探密码。虽然途径不同,但原理基本相同。在计算机网络数据传送过程中,数据包的传送通常是明文传送的,没有经过任何的加密[2],只要熟悉计算机网络相关协议(可理解为数据转换规则翻译程序)的人就能够理解数据包的结构,每个字段的意义。而电子邮件在传送过程中,电子邮件帐号、密码必须通过用户客户端传送到服务器上去认证,这些都是通过数据包在网络中传送的。如果在这些数据包经过的路线上截取它,通过分析数据包的内容就能够获得其中的电子邮件帐号和密码。通过黑客程序进入被害人电脑,并运行黑客嗅探程序,当用户使用电子邮箱并输入帐号密码时,黑客程序立即截取密码并转发到黑客预留的电子邮箱中。而通过局域网监控时,如果监控点就是网关,由于被害人任何外出的数据包都必须经过它,所以很容易获得密码,如果监控点不是网关,由于局域网一般采用广播的形式发送消息,其获取密码方法就与监控点获取效果相同。
以上三种方法由于均是通过获取密码,然后冒充被害人进行伪造,获取密码后,伪造的过程与被害人实际操作的过程十分相似,所以对此类电子邮件鉴定相对比较复杂、困难。一般需从不同人发送电子邮件所处不同位置判别着手考虑鉴定思路。
(二)利用发送邮件协议伪造
发送电子邮件必须遵循一定的规则[3],在计算机网络中通过协议来规范。电子邮件系统协议比较复杂,但发送邮件与接收邮件均采用不同的协议,发送邮件一般采用SMTP协议(简单邮件传输协议),接收邮件时常使用POP3协议(邮局协议)和IMAP协议(由于IMAP协议实际可以与服务器同步,是一种在线连接的方式,本文不讨论通过IMAIP协议伪造的情形)。通过协议伪造电子邮件主要利用电子邮件传送协议的漏洞进行。通常又可分为两种不同的伪造办法:
1、利用无需验证的SMTP协议漏洞
从电子邮件信头结构看,电子邮件包括两部分组成,一部分是电子邮件头,一部分是电子邮件正文。电子邮件正文包括电子邮件内容和附件[4],电子邮件头则包括信封头和路由信息,根据RFC822规定在邮件正文(或称信体)与邮件头之间有一空行把它们隔开。电子邮件与服务器通信过程中,一般均采用服务器/客户端模式,当客户端提出服务请求时,服务器响应客户端的请求,把请求的结果与状态返回到客户端,服务器与客户端不断通过这样的过程,最后完成通信。一个正常的SMTP相应过程可通过下图所示。
当利用SMTP协议伪造时,只需要在上图对话过程中,添加部分虚假的信息便可以完成伪造。下面是服务器响应客户端请求时的一个最简单流程:
客户端连接到服务器,通过HELO命令向服务器标识用户身份;服务器返回欢迎信息;
客户端通过MAIL FROM命令指定发件人地址,如果服务器不需要验证用户的身份,此时,欺骗者可以在此处输入一个虚假的电子邮件地址;服务器返回确认信息;
客户端通过RCPT TO命令标识邮件接收人,指定被害人的电子邮件信箱;服务器返回确认信息;
客户端通过DATA命令进入初始化数据传输状态;服务器返回确认信息;
客户端输入电子邮件主题信息,正文内容,并以CRLF. CRLF结束;服务器返回确认信息;
通过QUIT结束会话。
从这个伪造流程看,伪造最关键步骤在上述流程中MAIL FROM时客户端伪造了虚假的发送人电子邮件地址,当接收方收到电子邮件时,显示的发送者便变成伪造的电子邮件地址。这种伪造是目前最常见的电子邮件伪造形式之一,实际伪造可能会利用专用的软件进行,但目前较多邮件服务器进行了升级,改善。很多邮件服务器不支持不通过身份验证便可以发送邮件的流程,但是只要在网络中找到一个可以支持无验证的SMTP服务器,那么电子邮件伪造仍然可以进行,因为几乎所有后续的电子邮件服务器均不验证发送者信息是否伪造。
2、利用身份验证的ESMTP协议
目前,新一代电子邮件协议均采用扩展的SMTP协议,即需要身份验证的ESMP协议,在此协议中,当用户使用电子邮箱发送电子邮件时,必须键入对应的电子邮箱帐号的密码才可使用邮件服务器的发送邮件服务。主要在mail from前必须通过验证才可以使用发送邮件协议,增加步骤如下:
客户端通过helo命令要求通过ESMTP方式进行通信,服务器返回欢迎信息并要求选择认证方式进行身份认证(例如:250-PIPELINING 250-AUTH=LOGIN PLAIN 250-AUTH LOGIN PLAIN);
客户端通过auth login命令请求身份认证;服务器返回334 VXN1cm5hbWU6要求输入用户名;
客户端把用户名BASE64编码加密以后,将加密后的字符输入请求认证;服务器返回确认信息并返回334 UGFzc3dvcmQ6要求输入密码:
客户端把密码通过BASE64编码加密以后,将加密后的字符输入请求认证;服务器返回身份认证成功信息:
其它步骤同SMTP。但是输入DATA命令后进入数据初始化传输状态时,客户端输入FROM命令,在此命令后输入伪造的电子邮箱信息,其它与SMTP同。
虽然ESMTP增加了安全性,但这种ESMPT协议仍然可以被伪造,只不过在伪造过程中必须借用一个合法的电子邮件帐号,通过进入这个帐号以后可以在from域进行伪造,这个时候收件人收到电子邮件后,邮件收件人信息便是伪造的信息。通常伪造者通过申请一个免费的电子邮箱帐号,此帐号未透露其身份信息,通过这种方式隐藏自己的身份,从目前看,申请一个免费的电子邮件非常容易,所以这种伪造方式也是常见伪造方法之一。
三、电子邮件真伪鉴定思路
通过上述五种具体伪造方式分析可见,电子邮件伪造方式和手段多样,很多均通过技术手段进行伪造,那么对电子邮件鉴定必然需要从技术上寻找电子邮件正确的来源,同时电子邮件真伪鉴定通常会涉及具体的案件,对案件所反映事实的前后时间顺序、逻辑顺序的分析也十分重要。针对某一具体的鉴定,笔者认为可以从以下四个方面分析电子邮件
1、电子邮件头部分析与日志分析
电子邮件从一台服务器传送到另一台邮件服务器过程中,中间会经历很多计算机或网络设备,其中有些是电子邮件服务器,每经过一个邮件服务器转发时,邮件服务器均会在邮件头部添加必要的信息,其中每个电子邮件服务器均会添加Received域,常见格式如下:
Received: from邮件服务器名(邮件服务器名[IP地址])By接收方服务器名(邮件服务器软件版本)with邮件发送协议类型id邮件本地编号;转发时间
通常电子邮件发送与接收过程至少涉及发送方电子邮件服务器和接收方电子邮件服务器[5]。且邮件服务器添加新信息时是逐渐向外添加的,所以通过Received字段信息可以了解电子邮件的发送过程,在鉴定中经常关注IP地址构成的路径,与对应的时间信息,必要时还可以在邮件服务器找到对应的日志信息。下面是某邮件头部部分信息:
Return-Path: < kych@ecupl.edu.en>
Delivered-To:120OOgw@mail3-111.sinamail.sina.com.cn
Received: (qmail 67129 invoked from network);31 Dec 2006 00:26:03 -0000
Received: from unknown (HELO mx3-83. sinamail. sina. com. cn) (10.55.3.83)
by mail3-111. sinamail. sina. com. cn with SMTP; 31 Dec 2006 00:26:03 -0000
X-sina-Originating-IP:[202.121. 166.6]
X-sina-Originating-HELO:[ecupl.edu.cn]
X-sina-Received-SPF:[neutral]
Received: from ecupl. edu. cn (unknown [202. 121. 166.6])
by mx3-83.sinamail.sina.com.cn (Postfix) with ESMTP id 1EA5922DC83
for < 12000gw@sina.com>;Sun, 31 Dec 2006 08:26:02 +0800 (CST)
Received: from ecupl. edu. cn (localhost. localdomain [127. 0. 0. 1])
by ecupl. edu. cn (8.12.10/8.12.10) with ESMTP id kBVOPG1S013743
for < l2000gw@sina.com>;Sun, 31 Dec 2006 08:25:16 +0800
From: "kych" < kych@ecupl.edu.cn>
To: < 12000gw@sina.com>
Subject:Re: =?GB2312?B?INDMysLLvreo0afUuiDBZrj5?=
Date:2006-12-31 08:25:16 +0800
Message-Id: < 20061231002512.M77031@ecupl.edu.en>
从以上可看出电子邮件从某局域网内部机器经过该单位发送邮件服务器202. 121. 166. 6最终到达新浪邮箱(内部分配的服务器IP地址10.55.3.83);另外,电子邮件在发送方邮件服务器时,还会进行很多处理,其中一项重要的工作便是添加一全局的id号,在邮件整个发送过程中此信息均不变。上面邮件Message-Id号为20061231002512.M77031@ecupl.edu.cn;通常情况下可以从Message-Id分析出最初的发送电子邮件服务器信息。
当通过密码进行伪造的时候由于伪造者已经冒充了被害人的身份,无法从邮件传送路径来分析电子邮件真伪。但是,如果可以从电子邮件头部信息中了解到发送邮件服务IP地址,发送时从客户端记录的IP地址,或者从发送邮件服务器日志找到发送时相关的信息,则有可能缩小范围,甚至确定发送时所使用机器,从而判定真假或缩小鉴定范围。
如果采用无需验证的电子邮件伪造时,发送者电子邮箱信息均可能是伪造的,但可以根据电子邮件头部信息分析发送时嫌疑人使用的IP地址或者发送式机器名称,或者根据邮件服务器日志查询相关的信息。
如果是经过验证的电子邮件伪造时,由于是凭借第三方电子邮箱发送的,则首先可以根据电子邮件Return-Path确定真正发送者的电子邮箱帐号信息,并且可以依据上面两种情形下通过IP地址检查电子邮件信息。
通过上面检查如果存在可疑信息,则电子邮件伪造可能性极大。
2、电子邮件发送环境分析
在现实生活通过电子邮件沟通时往往不是孤立唯一的电子邮件往来,常常涉及大量的电子邮件,在电子邮件真伪鉴定时,必须考虑电子邮件相关的环境,特别是发送电子邮件所处的环境。从目前多数案例看,电子邮件伪造主要通过专用伪造软件来实现,这些软件在伪造时一般只能伪造基本的电子邮件信封或头部信息,不可能模拟出真实的发送环境,或者被害人收发电子邮件习惯,所以一般来说,伪造电子邮件其头部信息通常比较简短,而真实电子邮件头信息相对比较丰富。在鉴定时了解发件人的习惯,分析发件人使用的软硬件环境也是十分重要的。例如,有些人习惯使用OUTLOOK写信、发信、收信;有些人一般只通过网页界面环境写信;有些人习惯使用FOXMAIL或其它客户端软件;有些人可能使用其中几项,而且他们版本也可能不一样。伪造电子邮件时,很难伪造这些发送环境。下面是使用Microsoft Outlook Express6.0发送邮件环境时,电子邮件头部添加的部分信息。
MIME-Version: 1.0
Content-Type: text/plain;
charset="gb2312"
Content-Transfer-Encoding: base64
X-Priority: 3
X-MSMai1-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.3790.0
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.3790.0
其中X-Priority、X-MSMai1-Priority. X-Mailer、X-MimeOLE是采用客户端软件时添加的信息,如果采用其它软件发送一般不会产生这些信息。同样通过其它方式也会产生相应的特殊信息。根据这些信息,综合分析电子邮件所处的环境是否真实,对电子邮件真伪判定十分重要。
3、电子邮件内容异常分析
由于垃圾电子邮件十分频繁,很多ISP邮件服务器专门增加了垃圾电子邮件检测系统,一些常见的伪造软件很难通过ISP垃圾邮件检测系统,为了通过这些检测系统,伪造人员可能通过手工方式进行伪造,例如通过后台登录到后台,通过对话的方式伪造电子邮件,在此时如果输入出现异常,这些异常便会反应到接收电子邮件系统中,例如,有些异常符号通过正常的输入手段是无法输入的,通过检测字符输入是否存在异常,可以排除部分伪造的电子邮件。
另外,电子邮件内容也是与其他电子邮件相关联,如果是同一人书写,这其语言表达必然存在一定的共性,通过分析其内容中所反应的各种关系也可以作为电子邮件判别的一种辅助依据。
4、电子邮件之间逻辑关系分析
由于电子邮件不是孤立的,特别在民事诉讼中,存在争议的案件所涉及的电子邮件往往不是唯一的,存在很多电子邮件,有些电子邮件是不需要鉴定的依法被承认的事实。那么在鉴定的时候完全可以依据已经被证明真实的案件出发推断待鉴定邮件真实性。特别在民事纠纷中,可以在纠纷当事人中分别提取所涉事实的所有电子邮件,这些电子邮件组合在一起,一定可以反映一件案件事实的时间先后,事件先后关系。通过电子邮件发送与接收的时间顺序,把这些邮件按顺序进行分析,分析邮件所反映的案件事实,是否存在逻辑合理性,并结合各邮件的头部信息分析待鉴定电子邮件的真实性。
四、结论
电子邮件虽然是互联网中最早的应用程序之一,但是它也是不断发展变化的,电子邮件协议的多样性[6]、实现这些邮件协议的服务器软件的复杂性、以及邮件服务器的管理人员技术水平差异,邮件协议客户端软件多样性,使得伪造电子邮件手法可能翻新,鉴定电子邮件依据可能增多,鉴定难度也可能加大(例如使用IMAP邮件协议[7]时,由于客户端可以与服务端实现同步,那么完全可能把客户端修改好的电子邮件与服务器同步,这时候由于难以取得客户不易修改的电子邮件数据,使得启用了IMAP协议的电子邮件鉴定十分困难),但邮件头部分析、服务器日志分析、电子邮件发送环境分析、电子邮件内容异常分析、电子邮件之间逻辑关系分析这几种途径将是鉴定其真伪的基本思路。
【注释】[1]参见中国互联网发展状况统计报告:http://www.cnnic.net/uploadfiles/doe/2008/1/17/104126.doc,发布时间2008年1月。
[2]在计算机网络协议一般采用TCP/IP协议簇,由于在设计之初未考虑数据传送安全性,通过截取传送的数据便可以分析其内容,目前在某些应用领域在TCP/IP之上附加了一些安全协议如IPSec、SSL,但电子邮件领域应用较少。
[3]参见夏春和等,《UA与MTA间抗抵赖协议的研究与实现》,《计算机研究与发展》,2007第2期第237页。笔者注:电子邮件投递过程由MUA、 MTA、 MDA共同协作完成。在邮件传输过程中,MUA用于邮件的生成和处理,MTA负责邮件的传输,MUA向MTA发送邮件时使用SMTP协议;MUA从MTA收取信件时常使用POP3协议,MDA功能主要是邮件投递代理,它将MTA接收的信件发到对应的邮箱中,并进行附加的过滤、病毒扫描等功能。
[4]参见李茹等,《邮件结构分析及其在邮件筛选中的应用》,载《微计算机信息》2005年第11一期,第25页。电子邮件格式主要根据RFC822规范指定的标准,但是RFC822只规定是文本格式信息,没有提到非文本消息,例如语音、图象等多媒体数据及其他二进制数据文件,并且RFC822规定电子邮件的文本只能采用US ASCII字符集,不允许使用其他字符集,为了弥补其缺陷,通过扩展RFC规范产生了一种新的邮件标准,即MIME目前MIME已经成为得到广泛支持的电子邮件的标准。
[5]电子邮件在发送与接收的一个完整过程中,一般至少涉及客户端MUA发送者个人电脑、发送邮件服务器MTA与MDA、接收邮件服务器MTA与MDA、以及客户端MUA接收者个人电脑等四台物理设备。此处邮件头部分析主要针对从服务器中提取的电子邮件,且不采用IMAP协议的电子邮件。因为个人电脑中电子邮件易修改,邮件头部信息也能修改,缺乏分析可信基础。
[6]以电子邮件发送协议为例,在SMTP基础上发展起的扩充的反垃圾邮件协议,为防止垃圾制造者利用服务器中继邮件,在服务商邮件服务器中关闭了对外中继(OPEN RELA Y)功能的邮件服务,并在from域对话时,增加了DNS查询过程,保证发送方域名有效,在登录时进行身份验证,这些变化使得在对电子邮件进行鉴定时,增加了新的依据。
[7]IMAP协议INTERNET MESSAGE ACCESS PROTOCOL, IMAP与POP3最重大的区别是IMAP它只下载邮件的主题,并不是把所有的邮件内容都下载下来,并且邮箱当中还保留着邮件的副本,没有把原邮箱中的邮件删除,只有你用邮件客户软件阅读邮件时才下载邮件的内容。另一重大不同是客户端邮件会与服务器进行同步。