中国邮箱网讯 4月3日消息 随着市场经济对效率要求的不断提高,如今兼具灵活、廉价、高效等特性的电子邮件已成为信息数据传递的主要工具。但囿于电子邮件本身的易篡改性,使得实际发生法律纠纷时电子邮件作为证据的可采性极低。在具体判断电子邮件真伪时,应从案件事实、发件互联网协议地址、收发件习惯等方面进行综合考量,进而确认其真实性。
电子邮件真伪辨别的基本思路
从发件人使用邮件客户端MUA(Mail User Agent)开始,电子邮件通常会依据邮件传送标准协议SMTP(Simple Mail Transfer Protocol)依次经由邮件传送代理MTA(Mail Transfer Agent)、邮件发送代理程序MDA(Mail Deliver Agent)投递至收件人的邮件客户端MUA。投递处理过程中,邮件传送代理MTA一般会对从其他邮件传送代理MTA或邮件客户端MUA传送的信息预先进行储存、处理,编辑邮件头部信息(如Received域)后再选择转存或转发至其他的邮件传送代理MTA。
在了解电子邮件的一般传输步骤后,可以据此路径顺序提出如下真伪辨别的思路:(1)发件人使用客户端MUA投递电子邮件时是否使用数字签名;(2)邮件服务提供商的邮件传送代理MTA时是否留存有邮件信息;(3)电子邮件头是否未被篡改。沿着这一分析思路,在具体判断邮件真伪时,便可以相应地提取电子邮件发件时间、电子邮件发送互联网协议地址等信息,作为综合判断依据。
基于数字签名的鉴伪技巧
数字签名是对信息发送者所发送信息真实性的有效证明,仅信息发送者才能生成而他人无法伪造,是非对称秘钥加密技术与数字摘要技术的应用。数字签名的出现,有效解决了传统签名易篡改、易重放、易抵赖等问题,极大地保证了收发件人的信息安全。2005年4月1日起,我国电子签名法正式确认了电子签名的法律效力。目前,实务中数字签名技术运用相当普遍,尤其是在近些年兴盛的小额贷款领域,采用数字签名技术对电子合同内容进行固定的方式更是惯用做法。对此,法院、仲裁机构等对数字签名的效力认可度都较高,数字签名一经验证即可对其真实性予以确认。如近段时间的重庆海尔小额贷款有限公司与黄自彬金融债务合同纠纷一案中,法院便依据《数字签名验证意见书》的意见,对借款合同的真实性予以直接确认。
具体到邮件真伪辨别的过程中,如果发件人在投递电子邮件时使用了数字签名,则在收件人收到签名邮件后会提示已经收到一份数字签名邮件,如Outlook Express等客户端将会自动验证签名是否存有问题、签名证书是否可信任、邮件是否被篡改等。如若发件人在投递该邮件时请求了安全回执,则发件人也会相应收到一封载有数字签名的电子邮件,记录收件人收件时间、电子邮件未被篡改等信息。此外,收件人也可以单独查看该邮件的证书,可查看到发件人证书的详细信息以确认发件人身份。
因此,在判断电子邮件真伪时,应当首先确认欲鉴伪的电子邮件是否使用了数字签名,并根据数字签名确定收发件人身份信息、收发件时间、是否被篡改的关键信息。尤其是对于多页文件,传统尾页签名难以判断文件前后页关系以及文件是否被增减、修改,更应当从数字签名入手确定关键信息。
基于服务器留存记录的鉴伪技巧
电子邮件在传输过程中必然会经由多个计算机网络设备转送,而在此过程中,邮件传送代理MTA会对其转存记录并添加头部信息内容。依据此种特点,可以通过将服务器留存的记录与现有的证据进行对比,进而确定电子邮件真伪情况。
通常情况下,使用企业邮箱的公司多会设置独立服务器以留存、保密邮件信息,也因此该方法较适用于设有公司服务器的企业邮箱。具体而言,在通过企业服务器提取电子邮件信息时,应当着重关注与收发件地址、收发件时间、电子邮件流转记录相关的信息,并与现有证据、案件事实进行比对。如公司住所曾发生变更,那么此封电子邮件的发件网络协议地址是否为先前的公司住所地址,其时间是否与公司住所变更时间相对应等。
基于邮件头信息的鉴伪技巧
在电子邮件传输过程中,邮件传送代理MTA对接收到的电子邮件信息,会先行储存、处理,编辑、添加头部信息后,再选择转存、转发至其他的邮件传送代理MTA。目前通过电子邮件客户端或网页端都可以轻易获取邮件头信息。
在邮件头信息中,可以根据“From”“Received”“To”“Message-ID”等字段的指引,确认邮件流转过程、收发件人身份信息以及收发件时间。但邮件头的内容可以被人为篡改,所以在确认电子邮件真伪时,还需要进一步结合其中的信息去检验、比对。
在初步查看邮件头信息时可以了解到该封电子邮件的传输路径、传输时间及网络协议地址的信息。
1. 电子邮件传输路径
判断电子邮件传输路径是否正确,主要可以从两方面进行核实:(1)中转信息是否正确;(2)收发件人信息是否正确。
在邮件头信息中,“Message-ID”是电子邮件系统赋予电子邮件的唯一标记,在电子邮件传输过程中不会变更,由识别编号、符号、主机名称组成。通常情况下,“Message-ID”会记载有发件人的电子邮箱地址,如前文示例中的“Message-ID”就是a@163.com。根据“Message-ID”随电子邮件传输而传输且不变更的特点,在鉴别电子邮件真伪时应首先核实“Message-ID”在电子邮件传输过程中是否有变更或遗漏,如果有变更、遗漏的情形发生则意味着该封电子邮件很可能经过人为的篡改。
在确认“Message-ID”的情况后,可以往下核实电子邮件的中转情况。以前文所示最简单的电子邮件传输过程为例,示例中的电子邮件沿着“MUA-MTA-MTA”的顺序,投递至收件人电子邮箱客户端。若是电子邮件传输过程更为复杂,则可能经过更多个邮件传送代理MTA。由此,如若邮件头信息中邮件传送代理MTA数量过少或存在多个重复,则表明该封电子邮件可能经过人为的篡改。
此外,还应当确认收发件人的信息与案件事实相符,如电子邮箱地址是否区分大小写、电子邮箱地址是否有拼写错误、网络协议地址是否一致等,尽可能从细节上保证电子邮件传输过程的准确。
2. 电子邮件传输时间顺序
电子邮件传输时间的顺序,可以依照前文对电子邮件头分析的方式进行梳理,厘清电子邮件从发件人传输至收件人的关键时间节点。通常情况下,邮件传送代理MTA编辑、添加邮件头部信息是自邮件最上方开始添加,因此“Receive”字段一般呈倒序。如若某一处时间顺序颠倒或者相同,则意味着电子邮件时间顺序存在矛盾。尤其在涉及跨国(境)邮件时,更应当注意对电子邮件传输时间顺序的梳理,将UTC时间同一转化进行分析。 此外,有些电子邮件客户端生成的“Message-ID”,可以相应反映出邮件的生成时间,如Outlook Express。此时也可以根据相应的“Message-ID”生成规则,解码出电子邮件原始UTC时间。或通过“Message-ID”所对应的生成规则,判断电子邮件是否由固定使用的客户端发送。
3.电子邮件传输空间位置
分析电子邮件的邮件头信息仅是分析、判断电子邮件真伪的一种方法,不能单一依赖于此。比如一方窃取、盗用受害人的电子邮箱账号时,则无法通过分析邮件头信息来对电子邮件真伪进行辨别。因此在分析过程中,应当结合具体事实进行判断。
经由前文,通过提取电子邮件的邮件头信息能够得到收发件人的网络协议地址、服务器名称等信息。若分析邮件头无法判断电子邮件真伪,可将邮件头信息同如下事实进行对比:(1)发件人的住所地;(2)服务器名称是否正确。
4.电子邮件传输方式
在一方窃取、盗用受害者的电子邮箱账号的情况下,有时甚至难以找到如电子邮件传输空间位置一样的事实线索,此时还应将收发件人的收发件习惯纳入考量范围。可能的收发件习惯包括:(1)是否有固定使用的邮箱类型;(2)是否有固定使用的邮件发送方式。
具体而言,如企业用户可能较常使用的是企业邮箱,并且考虑到保密因素,内部邮件通常会以“企业邮箱-企业邮箱”的方式发送。如若此时出现与先前收发件习惯截然不同的情况,则可能一定程度上反映了某些异常。
其次,作为发件人一方可能有着固定的邮件发送方式,如固定使用电子邮箱客户端发送等。对于发件人是使用网页端发送还是使用客户端发送,我们可以从电子邮件的邮件头字段中提取该信息。
随着电子邮件的不断普及,电子邮件真伪的鉴别变得日益重要。对电子邮件真伪的认定,实质上是对电子邮件传输过程的追根溯源。具体分析过程中,应当理清电子邮件的传输过程与逻辑,结合具体案情提取电子邮件收发件方式、收发件地址等关键信息,并将其与涉案事实相互比对、印证进而得出结论。
本文作者系加州大学伯克利分校法学院硕士研究生 吴宗泽