电子邮件取证分析——微软Exchange邮箱系统取证

论电子邮件（E-mail）的证据属性(一)“摘要”随着计算机技术的迅猛发展以及信息网络的建立和完善，以数字化形式出现电子邮件对传统的证据形式提出了挑战。

笔者以为电子邮件具备证据的客观性、关联性及合法性的基本特征，应将其纳入诉讼证据清单的范畴中去。

“关键词”电子邮件、证据属性随着计算机技术的迅猛发展以及信息网络的建立和完善，以电子数据形式出现的文字、图片、音像等正以日新月异的态势，冲击着原有的社会生活。

由于网络的虚拟性和开放性，使得建立在网络基础上的电子邮件与传统证据相比有许多迥然不同的地方，这无疑对传统法律制度提出了新的挑战。

就证据法律制度而言，电子邮件的证据属性问题，值得我们研究与探讨。

一、电子邮件及其特点电子邮件是通过Internet或Intranet等网络进行互传信息的数字化通讯方式。

作为信息世界的产物，其高效、便捷和经济性得到了人们的首肯。

人们从终端机输入文件、图像或声音等，就可以通过邮件服务器将电子邮件传达到另一终端机上。

从证据的本质上讲，电子邮件并不是传统意义的“原件”，它只是计算机能够识别的由“0”和“1”组成的一系列二进制编码，即“字符串”。

只有通过一定的输出设备，电子邮件才能被显示观看。

因此，与传统证据相比，电子邮件有以下特点：1.易破坏性。

电子邮件是用二进制数据“0”和“1”来表示的，并以数字编码的形式储存于介质之中。

因此，如果人为地对电子邮件进行删除、篡改，从技术角度上讲，不仅仅轻松、容易而且不留痕迹，很难查清。

轻易一个指令的键入，完全可以使其面目全非而且一经发件人从其“发件箱”，“回收站”中将文件删除，电子邮件便不见踪影。

这表明电子邮件具有易破坏性。

2.隐敝性。

在计算机内部，一切信息都被数字化了。

计算机通过二进制编码的形式将电子邮件中包含的图像、文字、声音等信息转化为一系列的电脉冲从而实现某种功能。

由此可见，电子邮件都是以无形的编码来传递的，如果没有一定的输出设备，电子邮件就看不见、摸不着，因而具有隐蔽性。

电子邮件如何取证、举证？
一、法院如何审查电子邮件真伪？
电子邮件十分方便、常用，不管是在公司内部员工之间，还是在公司与公司之间。

综合司法实践和相关规定，法院在审查电子邮件时通常注重如下五点：
第一，审查邮箱的取得方式。

第二，审查发件人、收件人。

第三，审查邮件到达时间。

第四，审查邮件正文的内容。

第五，邮件内容是否与其他证据相互印证，形成证据链条。

熊猫法律星球提醒大家一定要注意：法院审查当事人提交的已经公证机关公证的电子邮件，还需要审查是否符合《公证法》等规定，为合法有效的公证书！
二、取证过程中有哪些注意事项？
1、对电子邮件内容进行打印，打印件必须清晰、完整显示邮件的来源，包括发件人、收件人及邮件提供人，邮件的生成、接收时间及邮件内容。

2、收集和保存能与邮件内容相印证的其他证据，形成证据链。

三、如何在法院上出示电子邮件证据？
1、当事人对电子邮件已作公证的，可直接将公证机关出具的公证文书作为证据出示，一般不需要当庭演示邮件。

2、当事人对电子邮件没有作公证的，法院会要求当事人说明，必要时将计算机接入国际互联网，当庭演示登录邮箱，展示电子邮箱地址以及电子邮件内容，并下载电子邮件打印成纸质件。

四、相关规定
《上海市高级人民法院关于数据电文证据若干问题的解答》第七点
《浙江省高级人民法院民事审判第四庭关于涉外商事审判证据认定的意见》第二十条，二十一条，二十二条
《广州市南沙区人民法院（广东自由贸易区南沙片区人民法院）互联网电子数据证据举证、认证规程（试行）》第八条第一款第（二）项。

第1篇一、基础知识1. 请简要介绍电子取证的概念及其在网络安全领域的应用。

2. 电子取证的基本流程包括哪些步骤？3. 请列举几种常见的电子取证工具。

4. 请解释什么是数字证据，并说明其特点。

5. 在电子取证过程中，如何确保证据的完整性和可靠性？6. 请简述电子取证在调查网络犯罪案件中的作用。

7. 电子取证过程中，如何处理证据的保密性和隐私性问题？8. 请说明电子取证在处理企业内部纠纷、知识产权保护等方面的应用。

9. 电子取证过程中，如何确保证据的时效性？10. 请简述电子取证在处理网络攻击、网络诈骗等犯罪案件中的作用。

二、技术技能1. 请介绍Windows操作系统中常见的取证工具，如：Windows资源管理器、事件查看器等。

2. 请介绍Linux操作系统中常见的取证工具，如：find、grep、ps等。

3. 请说明如何使用Regedit工具进行Windows注册表取证。

4. 请说明如何使用WinDbg工具进行内存取证。

5. 请介绍如何利用Wireshark工具进行网络流量取证。

6. 请说明如何使用X-Ways Forensics进行文件系统取证。

7. 请介绍如何使用Autopsy进行网页取证。

8. 请说明如何使用Volatility进行内存取证。

9. 请介绍如何利用RegRipper进行注册表取证。

10. 请说明如何使用Foremost进行文件恢复。

三、实战案例1. 请简述一起网络攻击案件的取证过程。

2. 请简述一起网络诈骗案件的取证过程。

3. 请简述一起企业内部纠纷案件的取证过程。

4. 请简述一起知识产权保护案件的取证过程。

5. 请简述一起计算机犯罪案件的取证过程。

6. 请简述一起计算机病毒感染案件的取证过程。

7. 请简述一起计算机数据丢失案件的取证过程。

8. 请简述一起手机取证案件的取证过程。

9. 请简述一起网络钓鱼案件的取证过程。

10. 请简述一起电子邮件取证案件的取证过程。

四、法律知识1. 请列举我国与电子取证相关的法律法规。

微软邮件系统Exchange 2013系列（八）配置Exchange证书-生成证书需求文件熟悉Exchange的知道, Exchange需要证书支持，exchange安装之后会默认开启ssl，在IE中只能使用https来访问owa。

如果没有证书，使用owa时是会有告警提示。

要想取消警告信息，需为Exchange服务器颁发受信任的证书（默认Exchange安装好后会为自己签发一个自签名证书）。

要为Exchange颁发证书就需要在企业中的CA服务器为Exchange颁发证书或者在公网CA机构为Exchange申请证书(公网一般采用申请证书后绑定企业域名的方式)。

此处我们采用搭建自己的企业CA来实现，这也是多数企业采用的解决方案。

1、安装企业CA以管理员身份登录DC 服务器（此处我们将CA搭建在我们的域控中，生产环境建议独立部署）。

打开服务器管理器---添加角色和功能---Active Directory证书服务点击“下一步”选择证书颁发机构、证书颁发机构web注册，点击“下一步”点击“下一步”点击“安装”，完成后点击“关闭”2、配置企业CA在服务器管理器上，选择通知（黄色叹号）---配置目标服务器上的Active Directory证书服务点击“下一步”选择证书颁发机构和证书颁发机构web注册，点击“下一步”选择“企业CA”点击“下一步”选择“根CA”点击“下一步”点击“下一步”点击“下一步”点击“下一步”选择证书默认有效期，点击“下一步”选择证书存放位置，点击“下一步”选择配置完成后选择“关闭”，完成证书服务器配置3、生成Exchange证书请求文件在浏览器中输入https:///ECP 打开EAC，输入用户名和密码转到“服务器”---“证书”。

在“证书”页面，确保在“选择服务器”字段中选择了客户端访问服务器（这里首先配置cas01），然后单击“”在“新建Exchange 证书”向导中，选择“创建从证书颁发机构获取证书的请求”，然后单击“下一步”。

对称加密特点：对称加密的特点是加密和解密通过一个相同的密钥。

比如，我们要加密一组数字一组数字：12345密钥：10算法：原数字乘于密钥加密后的结果：123450解密的人也是通过密钥10，拿123450除以10 就得到了原来的数字12345，当然算法和密钥都不会这么简单。

缺点：对称加密的一个不便之处就是密钥的分发，因为当A发一封加密的信给B的时候，B要想读这封信，就必须知道密钥，但是怎么传递密钥呢？如果通过一封没有加密的信传递密钥，那么很容易就被截取了。

常见的对成加密算法: DES ,3DES, RC5非对称加密非对成加密有一对密钥，私钥和公钥，当使用其中一个来加密的时候，必须用另外一个来解密。

这样就把密钥分发的问题解决了，公钥可以随便分发，公钥是大家都知道的，私钥只有私钥持有人才有。

当 A 需要发信给 B 的时候，就使用 B 的公钥把这封信加密，然后发送给B，只有B有私钥，所以只有B能够读取这封信。

这样即使别人也知道公钥，但是却看不到信的内容。

但是非对称加密有个缺点，就是需要复杂的计算，这要耗费很多CPU，并且一般非对称加密的密钥都很长，1024 bit 或者2048 bit。

所以一般不会用非对称加密算法来数据，只用来加密密钥（对称加密的密钥），实际的加密过程还是使用对称加密。

常见的对成加密算法：Diffie-Hellman，RSARSA算法是很常用的算法，硬件解码的话，DES对称算法要比RSA 快1000倍。

在Exchange 2007 中，当使用New-ExchangeCertificate 来申请证书的时候，可以使用参数KeySize, 这个参数可以指定与要创建的证书关联的RSA 公钥的大小（位）。

可接受的值是4096、2048 和1024。

默认值为2048。

下图中可以看到，证书的公钥使用RSA算法，公钥长度1024 bits来进行加密的哈希哈希是用来保证一段数据不被更改，保证数据的完整性。

电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。

什么是电子取证技术电子邮件取证是计算机取证的一个分支,是指按照法律的要求提取电子邮件证据的方法和过程,是运用技术的手段识别一个电子邮件真正的发送者、接收者以及邮件发送的时间和发出地址的过程。

假定一个电子邮件的接收者是公司,该邮件的头部显示在接收者和发送者之间有四个节点。

其中第三和第四个在系统内,是公司内部的电子邮件系统,并且可能在公司内部的电子邮件日志中有记录。

如果不知道其它的两个节点的服务器,可以通过Whois 和Better-Whois进行查询。

这两个服务程序搜索包含注册用户名和IP 地址的数据库,例如通过使用Whois搜索 这个域名时,可以得到该域名所有者的名字、地址、联系方式,以及负责解析该域名的域名服务器等信息。

如果发送者的地址不是伪造的话,就可以很容易地找到邮件的发送者,因为只需找到在邮件发送时谁在使用邮件服务器就可以了,这通常可以在邮件服务器的日志中找到。

电子邮件取证追踪所面临的困境从上面看,似乎电子邮件的取证追踪非常简单,然而实际情况通常并非如此。

因为Whois 和Better-Whois虽然有助于找到电子邮件的发送者,但它们却无法确定该发送者的地址是否是伪造的。

目前的电子邮件服务器在发送邮件时通常是没有认证的,也就是说用户可以在无需密码的情况下使用他人的电子邮箱发送信件,所以在大多数情况下,虽然可以找到邮件发送者的账号,但却不能因此就断定邮件就是由该账号的用户所发送的,这就是电子邮件取证追踪所面临的困境,此时通常还要使用其它方面的证据才能断定。

电子邮件的取证追踪发送者的难题1、电子邮件欺骗。

这种方式是指修改邮件的实际发送者,邮件发送者使用工具将他的地址换成其它的地址。

这种工具目前在internet 上已经出现。

Foxmail邮箱密取原理与方法研究一、Foxmail简介Foxmail是由华中科技大学张小龙开发的一款优秀国产电子邮件客户端软件，由于其体积小巧、使用方便，深受广大用户的喜爱，市场占有率非常高，2005年3月16日被腾讯公司收购。

目前，Foxmail使用者遍及全球四十多个国家，是在互联网上唯一能与微软Outlook对抗的邮件处理软件。

二、实验目的通过对一定环境下、多组Foxmail加密后的密文Password（记为P）进行分析、计算，找出Foxmail的加密密钥Key（记为K）和加密算法，并通过密文P计算出加密前的密码（记为M）来验证密钥K及算法的正确性。

三、实验环境硬件配置：笔记本电脑：迅驰2 P7350、6G内存、500G 硬盘、GT240独立显卡等软件环境： Windows 7 64位旗舰版、Foxmail 6.5 Build26 正式版四、实验方法1、本次实验以密码为“o”（其对应的ASCII值为0111(6FH)）、长度从1至16位不等，分别在Foxmail 6.5邮件客户端中建立16个邮箱，并得到密文。

2、观察所得密文并从中找出规律及特点。

a、密文位数n与密码长度m是之间的关系。

b、密钥 K与密文P和密码M是之间的关系。

c、如何计算密钥K值。

3、验证通过上面所求得到的关系，通过密文P、密码M验证密钥K及算法的正确性。

五、实验过程1、密文位数n与密码长度m的关系以密码为“o”（其对应的ASCII值为0111(6FH)）、长度从1至16位不等，分别在Foxmail 6.5邮件客户端中中建立16个邮箱，得到如下密文。

a、POP3Password=E450b、POP3Password=55000Bc、POP3Password=49FC0805d、POP3Password=DC8B9E7C8Ae、POP3Password=17C256B746F2f、POP3Password=B024F715E512EEg、POP3Password=4BFE0A0B1BCD52AFh、POP3Password=5C0B1EFF0E3AC658B9i、POP3Password=47F2060717C15EA36DA2j、POP3Password=E753A664B265BB45CA44D7k、POP3Password=9044D735C5728E937D9266A7l、POP3Password=47F2060717C15EA36DA2769766m、POP3Password=9440CB49D90E12EF21EE3ADB2ADEn、POP3Password=1ECD59BA4BFD021FF01EE92BFB2CF4o、POP3Password=36A5719263956AB759B642C352869A64p、POP3Password=CA7E898A984FD12FE02EF91BEB1CE43AD7从上面密文位数n与密码长度m的数据中可以看出，当密文位数n为4位时，密码长度m为1位（记为4—1），密文位数n为6位时，密码长度m为2位（记为6—2），……当密文位数n为34位时，密码长度为16位（记为34—16），整理如下：4—1 6—2 8—3 10—4 12—5 14—6 16—7 1—8 20—9 22—10 24—11 26—12 28—13 30—14 32—15 34—16我们可以从上面的数据中分析得到，密文位数n除以2减1即为密码长度m，即：n/2 -1=m。

电子邮件(E-mail)证据若干问题研究(3)此外，另有一类电子邮件是被收发件人从其电脑中永远删除了，并据此否认收发过电子邮件。

对此类情况目前尚无较好的办法。

从技术上讲，已可以做到将所有“网上信息”搜集起来并永久保存，在必要时，通过检索使其还原。

由于我国目前尚无要求网络服务商对传输的电子文件储存记录或转存的制度，造成了一旦发生争议，将无第三方可出具中立性的证据。

而部分地方法规已有了相应规定。

如《广东省对外贸易实施电子数据交换暂行规定》就规定：电子数据服务中心应有收到报文和被提取报文的回应和记录；电子报文的存贮期最短不得少于5年；对进行电子数据交换的协议双方发生争议时，以该中心提供的信息为准。

如该方法被用于司法实践，将给审判工作带来极大便利。

三、合法举证问题在通常诉讼过程中，谁主张，谁举证。

但无纸化电子邮件交易中，举证是个难题，证据不好保存，也不便提取原告对于其主张的事实即却没有任何证据。

因原告无法举证证明其主张的权利或法律事实令其承担败诉的风险，这是不公平的。

如果要求被告承担举证责任，存在原告是否受到侵害尚不明确，且不谈受害的原因系电子签名（密码）被冒用，或因网络系统的不安全隐患所致，如何举证才合法呢？笔者认为；1.由当事人将邮件打印出来作为证据提交，其可信度较低，而且以Attach方式发送的非t某t纯文本文件和Html文件，有时还不能随原邮件一块打印出来，需在其它专用软件中打印，而在专用软件中一般都有对原文件进行更改的功能。

取证的方式，最好以查看源代码并Coyy出所有内容粘贴到字处理软件中编辑并打印，这样能够取得邮件中的所有内容；附件中的内容，应根据不同的文件格式，尽可能不失真地用高档设备打印出来；如是声音文件的，可记录成文字后打印出来，并保留原声音文件便于将来庭审中质证。

3．在诉讼中，当事人可以将导出的邮件放在软盘中提交人民法院，经对方质证后无异议的，可打印出来经双方当事人签字后附卷。

如对方有异议，应由人民法院按现场勘验的方法取证，现场勘验的笔录应由双方当事人当场签字。

邮件取证分析领导者Intella软件简介第一篇：邮件取证分析领导者Intella软件简介Intella 软件产品特点说明Intella是一款专业电子邮件取证检索、司法分析的软件，内嵌索引搜索功能和可视化关联分析，用于快速搜索关键内容和邮件人物、内容、附件的关联分析。

Intella电子邮件分析软件电子邮件是计算机调查人员在进行取证分析时重点查看的内容之一，因为现在通过电子邮件进行通信的概率几乎超过使用手机的概率。

同样，犯罪分子也经常使用电子邮件进行通信和组织犯罪活动。

被调查的Email收件箱中可能包含成百上千的电子邮件和更多的附件文件，电子邮件中包含收件人、发件人、加密文件、删除文件和其他多种格式的文件。

通常，一封带有一个word文件附件的邮件中就有超过50个不同的元数据需要调查员进行取证分析。

那么，面对如此之多的数据，调查员如何能够快速的管理和找到其中的证据文件，如何发现多个联系人邮箱之间的复杂关联，如何快速查看每一个邮箱中成百上千封邮件呢？Intella是一款针对电子邮件进行关联分析而开发的专用软件。

结合关键词索引搜索技术和可视化界面呈现，帮助调查员在更短时间内分析更多的证据文件内容。

支持Encase镜像文件、Outlook PST、Outlook OST、Lotus Notes和在线邮件分析（结合使用F-Response）。

Intella电子邮件分析软件的特征如下：Intella索引：Intella进行邮件分析的第一步就是对电子邮件进行索引，包括电子邮件的发件人、收件人、日期、主题、邮件内容、附件、邮件头和附件的内容，同时计算邮件的MD5哈希值。

Intella搜索搜索是Intella最强大的功能，对邮件进行索引之后，Intella就能够对邮件和附件中的所有内容进行实时搜索，并发现关键词所在邮件之间的联系。

当查看多个关键词时，Intella自动以可视化的簇图展现他们之间的相互关联。

另外，还可以结合Intella的过滤器缩小和精确搜索范围。

标题：exchange接收连接器使用的证书一、背景介绍Exchange服务器是微软公司推出的一款邮件服务器软件，它支持多种邮件协议和客户端访问方式。

在Exchange服务器中，连接器扮演着非常重要的角色，它用于接收来自外部邮件服务器的电流信箱，并将其投递到Exchange内部的邮件信箱。

而连接器的使用离不开证书的支持，使用证书能够加强连接器的安全性，保护邮件传输的安全性。

二、证书的作用1. 验证身份：证书通过数字签名的方式，可以验证连接器的身份，防止非法的邮件服务器冒充或伪装。

2. 加密通信：证书可以对邮件的传输进行加密，防止邮件内容被窃取或篡改。

3. 建立信任：合法的证书可以帮助建立邮件服务器之间的信任关系，提高邮件传输的稳定性和可靠性。

三、证书的申请和安装1. 申请证书a）在申请证书之前，需要先生成证书请求文件（CSR）。

b）CSR文件包含了用于生成证书的一些基本信息，如组织名称、通用名称（域名）、加密算法等。

c）CSR文件可以通过Exchange管理中心或命令行工具生成。

2. 选择证书颁发机构（CA）a）选择可信赖的证书颁发机构，可选择商业CA或者内部私有CA。

b）CA会对CSR文件中的信息进行核验，并签发证书。

3. 安装证书a）证书可以是单域名证书，也可以是通配符证书，具体取决于连接器所使用的域名类型。

b）将证书文件导入到Exchange服务器的证书存储中，然后在连接器设置中绑定相应的证书。

四、证书的更新和管理1.证书的有效期a）证书有一个固定的有效期，一般为1年或3年。

b）在证书过期之前，需要提前进行证书的更新。

2.证书的吊销a）如果证书泄露或者遭到不明势力攻击，需要及时吊销证书，避免继续使用。

b）吊销证书可以到证书颁发机构进行操作。

3.证书的备份a）证书的备份很重要，一旦证书丢失或损坏，将会影响连接器的正常工作。

b）建议定期对证书进行备份，在一定的安全环境中保存备份文件。

五、总结在Exchange服务器中，连接器使用的证书对邮件传输的安全性起着至关重要的作用。

电⼦邮件形式的证据收集证据对案件判决的影响是⾮常⼤的，依据我国法律的规定，证据的类型有很多，如物证、证⼈证⾔、鉴定结果、视听资料等，⽽有些证据是以电⼦形式表现的，那么电⼦邮件形式的证据收集是怎样的?下⾯由店铺⼩编为读者进⾏相关知识的解答。

⼀、电⼦邮件形式的证据怎样收集电⼦邮件形式电⼦证据的收集。

电⼦邮件是基于因特⽹⽽产⽣的⼀种新型通信⽅式，其与传统的通信⽅式的区别在于，它把⼈们所要表达的意思转化为数字信号，并通过⽹络传输呈现在对⽅的电脑屏幕上。

电⼦邮件在民事诉讼中已经得到确认，如我国《民法典》规定合同的书⾯形式包括电⼦数据邮件形式。

在刑事诉讼领域中，司法机关的解释中也有所体现，但对如何收集并未规定。

收集时应⾸先了解电⼦邮件的特征，电⼦邮件区别于其他形式电⼦证据的特点是每个电⼦邮件使⽤者必有⼀个电⼦信箱，⽽每个电⼦信箱其⽤户名、账户名以及密码是惟⼀的，纯电⼦邮件的信头都带有收发件⼈、⽹址及收发时间。

任何⼈掌握了某⼀注册⽤户的⽤户名、账户名、密码，就可以收发或删除邮件。

当然，对于⼀般⼈来说，直接在收件箱中修改⽂件并不是容易的事，因为收件箱中的⽂件为只读⽂件，拒绝修改。

即使将其另存，也只改变其位置，并不能改变其属性。

⼆、⼿机短信形式的证据收集⼿机短信形式电⼦证据的收集。

近年来，⼿机短信成为⼈们的重要联络⽅式，由于其具有便捷性和隐蔽性，也被犯罪分⼦作为重要的犯罪⼿段和犯罪⼯具使⽤，如利⽤短信指挥犯罪活动或者直接进⾏诈骗活动。

在这类案件中，若能收集该类证据，对证实案件往往起到⼀锤定⾳的作⽤，因为每个⼿机⽤户的⼿机号码和⼊⽹证号都是惟⼀的，短信发出后，接受者⼿机⼜能显⽰对⽅的⼿机号码。

这样就可以确定发送者是谁，起到证实案件事实的作⽤。

在收集该类证据时，可以采取以下⽅法：⼀是在接受信息者未将短信删除的情况下，直接将此信息予以储存，并将⼿机封存，作为最终审判的证据材料。

⼆是在与案件有关的短信被删除情况下，可以通过⼿机短信运⾏商来调取短信内容。

邮件归档如何支持电子取证被曝光于公众视野中的电子邮件用于诉讼证据的案例层出不穷，这使电子取证逐渐成为人们关注的话题：原来电子邮件也可以作为证据啊……邮件要是没有了怎么办……N年前的邮件即使没删又该怎么找啊……是的，这些就是电子取证中所要解决的重要问题，并且不止这些。

于是乘着电子取证的东风，邮件归档站在了聚光灯下，因为它首要解决的就是法规遵从和电子取证的问题。

邮件归档其实是从国外最先发展起来的，美国的“萨班斯法案”促进了邮件归档在企业中的应用；国内颁布的企业内控法又对金融企业和上市公司首先提出了邮件保存的严格要求，再加上越来越多正在发生的电子取证案例，邮件归档正成为各个行业各个类型企业CIO们的新宠。

不了解邮件归档的人可能要问了，邮件归档怎么就能够支持电子取证呢？换个别的什么比如备份难道就不能支持吗？别着急，这就以企业电子邮件归档系统EEA（MessageSolution Enterprise Email Archive Suite）为例，给大家分析一下邮件归档如何支持电子取证。

首先，MessageSolution EEA能将企业邮件服务器中的邮件——无论发进还是发出、抄送还是密送——立刻一封不落地、完整地全部归档到归档服务器中，满足归档的完整性，这是电子取证的前提。

邮件归档的实时性也避免了这种现象：定时备份可能会漏掉看后随即删除的邮件。

即使在邮件服务器中将邮件删除也没有关系，反正邮件都以无损压缩和单实例存储的形式被存到归档服务器中了，想要查看调取非常方便，同时又为邮件服务器减轻了压力。

在将邮件归档的时候，MessageSolution EEA就对邮件内容和传输方式等进行了重重加密，这样做的效果是：查看邮件需要认证，传输过程更加安全，脱离归档系统的邮件无法识别，更不用提对邮件进行一丝一毫的篡改了，这样就保证了邮件的安全性。

邮件安全了，才能成为有效的诉讼证据。

邮件被归档和加密后，当有电子取证的需求时，就需要搜索调取功能大显身手了。

电子邮件的研究与取证摘要：电子邮件已经成为网民最常使用的网络服务。

在很多计算机犯罪案件以及商业和民事纠纷中都涉及电子邮件的调查和取证。

检查电子邮件需要注意其传输原理、邮件头和编码的特殊性，取证人员需要掌握相应的取证技巧和技术。

关键词：电子邮件传输原理编码邮件头取证1 电子邮件系统组成电子邮件系统的主要组成部分包括，邮件用户代理MUA（Mail User Agent）就是用户与电子邮件系统的接口，提供用户编辑、发送、接收、阅读和处理电子邮件的功能。

Outlook，Foxmail等都是很受欢迎的电子邮件用户代理。

邮件传送代理MTA(Mail Transfer Agent)是电子邮件系统的核心，运行于后台，主要将邮件通过网络发送给目的MTA、接收邮件并报告邮件传送的情况(己交付、被拒绝、丢失等)。

用户不直接和MTA交互，邮件发送队列和邮箱起缓冲的作用，可以使用户收发邮件与实际的邮件传输分开。

2 电子邮件的传输原理2.1 电子邮件相关协议电子邮件是通过SMTP和POP3协议来进行收发的。

SMTP(Simple Mail Transfer Protocol)即简单邮件传输协议，是为了保证电子邮件的可靠高效的传送。

SMTP协议是存储转发协议，是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式意味着它允许邮件通过一系列的服务器发送到最终目的地。

SMTP协议属于TCP／IP协议族，将用户收发邮件与Internet的邮件传输区分开。

POP3协议(Post Office Protocol 3)是C/S结构的脱机模型的电子邮件协议，目前已发展到第三版，称POP3。

它是规定怎样将个人计算机连接到Internet的邮件服务器和下载电子邮件的电子协议。

POP3允许用户从服务器上把邮件存储到本地主机(即自己的计算机)上，同时删除保存在邮件服务器上的邮件。

在POP3协议中有三种状态，认可状态，处理状态和更新状态。