来源:法律人的微实验
只有想不到,没有做不到,从信息技术的角度来说,任何电子证据都存在篡改的可能性,但是篡改的难易程度、可伪造到何种程度、需要怎样的条件都是有区别的。下面通过实验研究电子邮件的可篡改性和可追踪性,为了避免模仿,实验过程将忽略一些细节信息。
电子邮件的发件箱地址、发件人可以任意伪造,还包括邮件标题和邮件内容。如果使用代理的话,相当于发件人的IP地址也可以伪造,如图所示,笔者伪造了一封从zhangsan@yahoo.com.cn邮箱发送给自己的qq邮箱的电子邮件,邮件标题和邮件内容皆为“可以伪造的邮件”,提示发送成功,成功的绕过了QQ邮箱过滤器。(http://tool.chacuo.net/mailanonymous/)
进入笔者的QQ邮箱,显示确实收到了来自zhangsan@yahoo.com.cn的电子邮件,内容和标题一致,如图所示。但其实笔者该邮件并非来自于真正的zhangsan雅虎邮箱,该实验验证了****伪造电子邮件的可能性。
接下来,笔者继续做实验,进一步验证zhangsan@yahoo.com.cn的存在性。笔者通过自己的QQ邮箱给zhangsan@yahoo.com.cn发送测试邮箱存在与否的电子邮件,如图所示,显示投递失败,从而说明了zhangsan@yahoo.com.cn邮箱实际上并不存在,如此可进一步验证电子邮件的可伪造性,简而言之,是电子邮件的发件人、发件主题、邮件内容是可以伪造的。
上述实验过程看似简单,实际上笔者试验失败了很多次之后才得以摸索规律而成功。失败的情形列举如下:
1、 伪造从163.com、126.com邮箱向笔者的QQ邮箱发送失败;
2、 伪造从某QQ邮箱向笔者的QQ邮箱发送失败;
3、 伪造从yahoo.com邮箱向笔者的QQ邮箱发送失败;
4、 伪造从263.net邮箱向笔者的QQ邮箱发送失败;
5、伪造从gmail.com邮箱向笔者的QQ邮箱发送失败;
……
伪造邮件能否发送成功与发件箱相关,更与收件邮件服务商针对该类发件邮件的处理策略有关,具体技术细节不是此处关注的重点,重点在于伪造电子邮件并不是那么的轻而易举,更别提形成完整的证据链了。
电子邮件服务是利用计算机网络来进行信息传递的一种现代化通信方式,凭借着低廉的价格、快速的方式成为Internet最基本的一项服务之一,在人们日常生活和工作中发挥着重要作用,可以传送文字、图像、声音等各种类型的文件。电子邮件属于法定证据种类中的电子数据,已被现代社会所广泛接受,合法真实的电子邮件具有法律效力。
电子邮件有客户端服务器模式(C/S),如outlookexpress,foxmail等等,需要安装客户端才能收发电子邮件;有基于Web的电子邮件,可以直接通过浏览器登录进行收发邮件。
如zhangsan@163.com用户要发一封邮件给lisi@sina.com ,邮件传输过程如图所示:
1、发件人zhangsan编辑好邮件,将邮件发送到163邮件服务器上,他的工作就完成了。
2、163邮件服务器发现该邮件是sina用户的,就将邮件发送给sina邮件服务器。
3、接收者lisi打开邮箱,从sina邮件服务器接收zhangsan发送给他的邮件。
电子邮件传输过程中会在这些位置留下痕迹:发件人端(电脑或手机等);发件箱;发件邮件服务器;中转邮件服务器;接收邮件服务器;收件箱;收件人端(电脑或手机等);
通常一封完整的电子邮件包括邮件正文、邮件头和附件三个部分。
1、邮件正文
邮件正文是指邮件撰写者撰写的邮件内容。注意,正文部分不是以明文方式保存的,需要解析才可读。
2、附件
邮件附件是指跟随邮件正文一起发送的独立文件。主要包括图片、文档、程序等信息,附件在发送时会经过编码。其中MIME/Base64是比较常见的编码。
3、邮件标头
邮件标头是电子邮件原始信息中的一个重要组成部分,能够描述出邮件在网络中的传输情况。包括发件人信息、收件人信息、发件日期、服务器中转信息;邮件客户端信息;
以Web方式登录涉案电子邮箱(QQ邮箱),直接查看被调查邮件的电子右箭头,如下图所示,注意不同邮件服务器查看邮件头的方式不一样。
1、展开电子右箭头(图中红色框框处)
2、选择“显示邮件原文”
3、详细文件标头内容
邮件标头简称邮件头,是邮件发送过程中,邮件服务器添加到邮件上,有利于邮件的传输和退回。邮件头中包含邮件的传输途径,通过分析邮件头能追踪发件人的IP地址。
邮件标头是由各个头部域组成,每一个头部域包括域名(field-name)和域体(field-body),中间以“:”分割。
1、Return-Path:退信的地址;
2、MIME-Version:表示MIME(多用途Internet邮件扩充协议)的版本;
3、Content-Type:表示邮件内容的格式;
4、Message-ID:表示邮件唯一号,由第一个传送邮件服务器创建,该号码一直伴随整个邮件传送过程;
5、Received:表示路由信息。Internet上的邮件,从发送地到达目的地,可能需要经过多个邮件服务器。每一个邮件服务器都会把自己的一段Received域信息添加进邮件头中(当A邮件服务器把邮件传到下一个邮件服务器B时,就像邮局盖邮戳一样,B服务器会在邮件头中加入Received信息)。所以,可能有多段Received域,依传递次序排列。这个域的内容很有意思,我们可以根据每一段内容来跟踪一封信在Internet上的传递过程,也可以根据这些信息获得有价值的线索;
6、其中from表示发送主机,by表示接收主机,with表示使用协议,id表示接收信息号;
7、X-Mailer:表示发送邮件的软件及版本;
8、解读邮件标头
以OutlookExpress软件发送的一个邮件头为例:
X-KAVProxy-Noop:xNoopEnd
Return-Path:<zj_zhangsan@163.com>
Delivered-To:zj_lisi@mx71.mail.sohu.com
Received:from163.com(unknown[220.181.12.11])
by sohumax97.sohu.com(Postfix) with SMTPid 1663600B2CC0
for <zj_lisi@sohu.com>; Tue,21Feb 2006 11:29:52 +0800(CST)
Received: fromUSERBB70B08A3B(unknown[60.191.16.162])
By smtp12(Coremail) with SMTP idH8D5BCWJ +KOD1Z83.11433S2;
Tue,21Feb 2006 11:29:43 +0800(CST)
Message-ID:00b801c63697$0d1e29c0$026fa8c0@USERBB70B08A3B
From:“zj_zhangsan”<zj_zhangsan@163.com>
To:<zj_lisi@sohu.com>
Subject:helolisi(Outlook Express)
Date:Tue,21Feb 2006 11:29:39 +0800
MIME-Version: 1.0
X-Priority:3
X-Mailer:MicrosoftOutlook Express 6.00.2900.2180
解析:
这是一封zj_zhangsan@163.com发给zj_lis@sohu.com的邮件;
主题为“hellolisi”;
发件人采用的软件是MicrosoftOutlook Express(版本号为6.00.2900.2180);
其计算机名为USERBB70B08A3B(通过C/S模式才有这个,Web模式的没有这个),外网IP地址为60.191.16.162(不同的邮件服务器可能有不同);
发送邮件的时间为北京时间Tue,21Feb 2006 11:29:39。+0800(CST)表示中国标准时间,比GMT(格林尼治标准时间早8小时);
接收电子邮件消息的每个服务器都会在邮件中添加一个“Received”标头;记录从其接收到消息的服务器的IP地址;“Received”标头每次添加到消息的顶部;
邮件的传递依次经过了两个服务器:smtp12和sohumx97.sohu.com;还可以看到邮件服务器的协议都是SMTP,到达各服务器的时间分别为Tue,21Feb 2006 11:29:43和Tue,21Feb 2006 11:29:52。其中,Postfix和Coremail都是常见的邮件系统;
虽然电子邮件是可以伪造的,但是电子邮件却很难被篡改。电子邮件从接收人邮箱中提取,收件人可以对邮箱内邮件实施转发或者删除等操作,但难以对电子邮件内容进行添加,删除操作,更难以轻易更改邮件头信息。
并且,对于伪造的电子邮件,比较容易被辨识。因为电子邮件在传输过程中,每经过一个邮件服务器,就会添加一些附属信息到邮件标头中:接收电子邮件消息的每个服务器都会在邮件中添加一个“Received”标头,记录从其接收到消息的服务器的真实IP地址,“Received”标头每次添加到消息的顶部……。这些都是证明邮件真实性和可靠性与否的重要信息。
注意,实际信体中的From,To和标头里的From地址都可以伪造,它们的真实性并不能得到保证,但是Received信息却是由第三方邮件服务器加上去的,比较真实,从Received中的IP地址可以分析出邮件的来源。通过IP地址库可以查询IP地址归属信息,尤其是最后一个Received里记录的from那里的IP地址。
注意:It is possible with moredetailed IP address databases (paid ones for example), to narrow down thelocation of the IP to the region, city, or even approximate physical address ofthe user.
【图片来自网络】
大家可以互相发送匿名邮件实验验证真伪哦。
(PS:上述内容主要摘自著作《电子证据认知新思路——基于实验的直观体现方式》(中国法制出版社)
