【摘要】伴随着网络与信息化的快速发展，电子邮件逐渐成为犯罪活动的可能证据载体，这使得电子邮件取证成为世界范围内需要引起重视的课题。本文主要研究电子邮件取证的现状，电子邮件的证据效力问题和进行电子邮件取证时需要了解的一些基本技术。
　　【关键词】电子邮件 取证 计算机犯罪
　　
　　电子邮件取证是计算机取证的一个分支,是指依照法律的要求提取电子邮件证据的方法和进程，是运用技术的手腕识别一个电子邮件真正的发送者、接纳者以及邮件发送的时间和收回地址的进程。近年来，伴随着网络与信息化的快速发展，电子邮件作为信息交换方式，以其新型、快速、经济的特点而成为人们进行通信和交流的重要方式。与此同时，各种犯罪活动中犯罪分子也普遍使用电子邮件来实施其罪恶，利用电子邮件进行垃圾广告、传播色情信息、诈骗等违法犯罪活动日益猖獗。因此，对电子邮件进行技术鉴定，对于获取破案线索以及提供法庭上的呈堂证据，起着越来越重要的作用。
　　一、电子邮件取证及相关问题
　　１、电子邮件取证及其现状
　　电子邮件取证主要是指分析电子邮件的来源和内容来作为证据、确定真正的发送者和接收者、以及发送的时间。电子邮件取证勘察过程，大致经历犯案、立案、原始证据采集、证据分析、证据链条建立、证据分析报告与提交到呈堂等一系列过程。在这个过程中，对电子邮件事件痕迹取证绝不是基于某种单一的概念或者纯粹的技术，而是基于法学、计算机科学和信息安全学的一系列概念，并且是面向实际应用的一个概念，要遵循标准的技术流程，涉及法律、计算机系统、计算机网络、信息安全等多方面的知识。
　　目前，在实际办案过程中，一般的侦查人员和公诉人员缺乏相关的专门知识，在收集、提取、保全、审查、运用电子证据的时候往往困难重重：电子证据的删除太快太容易，执法部门机关在取证前，可能已经被毁灭；目前在我国电子证据能否成为证据、电子证据成为证据的条件、电子证据的合法性等问题存在广泛争议，我国法律也没有明文规定；在处理计算机犯罪案件时， 我国检察机关目前普遍的做法是对电脑进行勘验检查并制作笔录，或者将电子邮件记录等先打印出来，再由犯罪嫌疑人签字，最后作为书证这种具有法律效力的证据来使用，这些证据在法律中只能视为传闻证据，其可靠性大打折扣。这种侦查难、举证难、定罪难的境况迫切要求适用的取证工具的产生与应用，尤其是当前电子邮件取证在计算机取证上的重要性不断提高，而互联网电子邮箱申请与真实身份并没有挂钩，一旦有问题，通过电子邮件侦查取证难度很大。
　　这种侦查难，举证难造成了难以定罪的情况。建立一个专门针对电子邮箱的取证工具包迫在眉睫。近年来，国际电子证据软件产品发展迅速，老牌产品Encase，FTK再加上近两年德国X-ways的X-ways Forensics，澳大利亚的Nuix FBI Forensic Destop，形成计算机取证行业的四大品牌，为各国警界所用。然而，其中只有X-ways Forensics具有针对电子邮件的一些分析处理功能，并且这几款软件均为欧美产品，相对来说我国在这方面处于落后的地位，急需要开发自主化的取证产品。
　　２、电子邮件的证据效力问题
　　由于电子证据容易被伪造、篡改，而且被伪造、篡改后不留痕迹，再加上电子证据由于人为的原因或环境和技术条件的影响容易出错，一般被归入间接证据。虽然目前电子邮件能否作为证据目前尚无规定，但是电子邮件已被现代经济社会所接受却是现实，如电子商务、电子教育、电子政府等即是现代信息社会的产物。在已经由九届人大二次会议审议通过的新合同法里，电子邮件已列为书面合同的一种形式，合同的双方通过电子邮件来达成购买合约，来实现购买行为，其购买、结算、质疑、退货、索赔等均是通过电子邮件来实现的；网上订票、网上挂号、网上咨询已实际进入我们的生活。由此可见，如有涉及此的诉讼中，负有举证义务的当事人必然会将双方往来的电子邮件作为证据提交到法庭，以支持自己的主张。这就为电子邮件可以成为证据提供了现实的可能性和必要性。
　　二、电子邮件取证需了解的基本技术
　　一般来说，电子的收/发信方式分为两种：通过ISP或免费邮箱服务商提供的SMTP发信服务器中转的发信方式；通过本机建立SMTP发信服务器直接发送电子邮件的方式。
　　通过邮件发信服务器发信的收发过程首先由发信人通过电脑将电子邮件发送到SMTP发信服务器上，如果发信服务器收到的邮件合法，发信服务器通过一种“存储转发”技术，将该电子邮件在服务器上排队，当轮到该邮件发送顺序时，再由发信服务器将邮件发送到对方的收信服务器（MX邮件交换服务器）上，再由收信服务器转发到POP3服务器上（很多服务器系统的收信服务器和POP3服务器是同一服务器），最后由收件人通过电脑上的客户端软件将电子邮件从POP3服务器上取走。
　　这种方法收发信件的方法实现通常是通过浏览器直接进行电子邮件的接受和发送，即通常说的Web邮件。当前浏览器仍是全球访问电子邮件的主要方式， Web邮件用户不需要特意安装客户端软件，只需在浏览器的网页上通过账号和密码登录到邮件服务器上，进行相关的电子邮件活动。在这种情况下，用户查看电子邮件信息时，信息内容只装载在机器内存和缓存区里面，一旦关机，电子邮件信息也将随即消失，相比较而言，痕迹取证比较难。但是，只要看过， 就会在机器上流下蛛丝马迹，可以从Web浏览器的Cookies、历史记录、Cache等地方来寻找痕迹，发现线索。
　　Web电子邮件事件指通过浏览器收发电子邮件的事件。目前，国内外用的最多的浏览器是Microsoft公司的Internet Explorer（简称IE）和Netscape公司的Netscape浏览器。在我们国内用的最普遍的是IE浏览器，因此通过研究IE的电子邮件事件痕迹即可从中提取出有用的线索和证据。
　　三、总结
　　当前通过电子邮件进行的犯罪活动形形色色，面对这些犯罪，如何搜集获取证据，证实犯罪事实，一直是计算机取证领域人士探讨和研究的内容。在这里笔者结合最近对计算机取证的一些研究，简单介绍了电子邮件取证技术的特点，希望借此抛砖引玉，引起大家对电子邮件取证技术的关注和探讨。
　　参考文献：
　　[1] 郭弘,金波. 利用邮件头分析电子邮件的真伪. 中国司法鉴定. 2010-4
　　 [2] 郭秋香,包兵,罗永刚,张睿超. 电子邮件取证模型的研究. 计算机安全. 2007.01
　　[3] 曹麒麟,张千里. 垃圾邮件与反垃圾邮件技术. [M]人民邮电出版社. 2003-02.