电子邮件调查基础丨企业反舞弊之电子邮件调查分析（一）

概要：电子数据是我国法定的证据类型，在《刑诉法》、《民诉法》中均有明确的定义，“两高一部”也在司法实践中逐步制定完善了电子数据的采集、固定、分析的标准和流程，其证据效力无需多言。

电子邮件是电子数据中常见而重要的组成部分，以文字、图像、声音等多种形式达到交换信息的目的，因其行文较为正式，包含了正文、附件等要素，从发送到接收的整个过程都能被完整记录而具有良好的可追溯性，在即时通信手段极为发达的当下，更多的被应用于各类组织、企业的正式业务往来。在反舞弊调查中，电子邮件调查始终占有极为重要的地位，限于篇幅，我们将把内容分成几个篇目，从基础到深入，向读者介绍电子邮件的取证常识和实践案例。

在电子数据调查实践中，电子邮件的主要获取方式可以归纳为3类：

一是被调查计算机设备中安装的邮件客户端本地数据。

常见的如outlook的pst文件，foxmail的mail目录、网易邮箱大师的MailMasterData目录等。电子邮件客户端本地数据往往与计算机设备电子数据调查相结合，与其他电子数据一并固证和分析，其缺点是客户端本地操作会同步到服务器，数据易被人为破坏、清理。

二是服务器管理后台导出数据。

国外大型企业基本以电子邮件作为核心办公交互方式，为吞吐海量邮件，邮件服务均自行部署于自建机房服务器或大型第三方云端服务器，近年来，国内的大中型企业也纷纷借鉴。此类自行运维的邮件系统一般都预设数据备份策略，用户在客户端的操作并不影响服务器端数据的存留，能够较为完整的获取用户邮件，不易受到破坏。此外，在某些需要先期秘密调查的案件中，邮件服务器后台数据导出最大可能地保证了调查的保密要求，在不惊动被调查对象的前提下，获取到有关信息。

三是网页版邮箱导出数据。

中小企业从节约成本的角度，一般使用腾讯、网易等第三方企业版邮箱，为便于非IT专业人员对邮箱进行管理，其后台系统都设置得较为简单，不具备数据导出等专业功能，而员工也有很大比例习惯使用网页版进行邮件拟写和收发，个人计算机本地并不留存邮件数据文件。该场景下，在企业邮箱管理员可靠可控的前提下，可以对相关邮箱进行远程勘验或利用客户端工具同步服务器邮件，对同步下来的本地文件进行固证，对于电子邮件数据本身并不会产生影响，其主要不足在于邮箱管理员无法在不修改密码的前提下获取用户数据，难以开展秘密调查。

1、Outlook 数据文件pst和ost

使用 Microsoft Outlook 作为电子邮件、日历、任务和其他项目的客户端软件时，用户数据会保存在邮件服务器或个人计算机，或者同时保存在这两个位置。

在客户端的个人计算机中，Outlook用户数据以.pst和.ost这两种数据文件的形式进行保存，.pst文件用于大多数帐户，.ost文件则是在使用Microsoft Exchange帐户时，为让用户在无法连接服务器时使用邮件而生成的，被称为脱机数据文件 。两者的主要区别在于：

.pst文件用于POP3、IMAP协议、基于HTTP和Web的邮件帐户，是普通用户保存Outlook信息最常见的文件，可以为Outlook文件夹和项目创建存档或备份。由于.pst文件保存在客户端个人计算机上，不受邮件服务器邮箱大小的限制，服务器上内容移到本地计算机的.pst文件后，即可释放服务器上邮箱空间，对于容量较小的邮箱，用户数据容量的大小仅受到本地计算机硬盘的限制，相当于极大地扩容了邮箱空间，且.pst文件可以简单的复制备份，便于用户保存和迁移。

.ost文件是在脱机情况下使用Microsoft Exchange时用到的outlook数据文件。联网时，.ost文件与Exchange计算机进行同步，电子邮件、日历和其他项目会同步存储在服务器上。断网时，用户使用“缓存 Exchange 模式”或“脱机模式”工作。简而言之，.ost文件就是Exchange计算机邮箱中文件夹的副本，通过它可以将文件夹与服务器位置分离，在断网时使用文件夹的内容，联网后进行同步，保证服务器与本地计算机上内容更新一致。

在电子数据调查中，若用户习惯于使用outlook作为邮件客户端，则.pst和.ost中将极大可能包含了服务器上已被删除的内容，可能是证据的一个“孤本”，应该引起调查人员足够的重视，采取包括数据恢复在内的多种方法，从中挖掘有价值的重要信息。

服务器端和网页版邮箱的电子邮件数据，往往也是通过导出.pst文件作为分析目标，利用专门的取证分析软件进行解析查看。

2、foxmail客户端的mail目录

使用腾讯企业邮箱的用户可能在网页版邮箱的设置界面中，见过foxmail推广的图文，那是因为自从foxmail被腾讯收购后，正式成为其“官推”的邮件客户端软件。

Foxmail经过十几年的磨砺打造，完全可以与outlook媲美，在轻量化、易迁移、个性化等方面甚至有所超越，在对电子邮件系统不太依赖的中小型企业和个人用户中，foxmail拥有庞大的客户群体，在电子数据调查中，foxmail数据也是调查人员极为关注的调查重点。

Foxmail本地数据保存在软件的安装路径下的mail目录，以邮箱账户名为子目录名称：比如

D:\Foxmail 7.2\mail\example@qq.com

该目录存放了邮箱账户的所有相关信息，包括账户配置，收件箱、发件箱、草稿箱、回收站等等。其目录结构也非常简单直观，账户内的邮件夹分别对应了该目录下对应一个后缀名为.idx和一个后缀为.box的文件，如“收件箱”对应的是in.idx和in.box，备份这两个文件，就意味着得到了收件箱中的所有邮件信息，对foxmail本地数据的调查也就是对这些文件进行解析。

3、单封邮件的eml文件

eml格式是微软公司在Outlook中所使用的一种遵循RFC822及其后续扩展的文件格式，现已成为各类电子邮件软件的通用格式，RFC中定义的邮件结构包括邮件头和邮件体两部分，由一个空行隔开。邮件头包括主题、创建者、收信人以及邮件创建日期，邮件体内容类型、邮件体内容传输编码方式等。邮件体包括正文和附件。

4、单封邮件的msg文件

msg文件是Microsoft Outlook创建或保存的电子邮件、联系人、约会或任务，它可能包含一个或多个电子邮件字段，其中包括日期，发件人，收件人，主题和邮件正文，或联系信息，约会详细信息以及一个或多个任务说明。

其优点在于和windows系统充分融合对接，消息、约会、联系人或任务项从Outlook 文件夹可以拖放到Windows资源管理器，即时创建msg文件，邮件主题则用作msg文件的名称，且该操作可逆，即可以将msg文件拖放回Outlook，并自动格式化为邮件导出前相同的方式显示。

此种格式在针对计算机设备的完整数据调查中，提供了将邮件系统和操作系统一体化分析的可能，对于经验丰富的调查人员，提供了更多针对涉案人员行为分析的信息。

因为msg格式的邮件只能由outlook客户端打开，foxmail等其他客户端无法打开，第三方工具的支持性稍显不足，而eml格式是电子邮件标准格式，多数邮件客户端均能支持，第三方工具的支持度更好，调查手段相对更为丰富。

5、网页版邮箱和其他邮件客户端

除了使用客户端软件来使用电子邮箱，普通的个人用户会经常使用邮件服务商提供的网页应用程序，这意味着在任何可以进行网页交互访问的终端上，用户都可以编辑和收发邮件，其便捷易用的优势也显而易见。但对电子数据调查而言，网页访问电子邮箱的痕迹存留于浏览器的缓存目录中，且包含的邮件头、邮件体等信息均不作记录，同时由于浏览器的安全风险，邮件内容被扫描、截取的风险也远高于客户端。因此，虽然普通用户倾向于网页应用程序带来的易用性，但企业用户仍更喜欢使用客户端软件来控制风险，保护敏感信息。

目前，常用的邮件客户端还包括：

即时通信发达的今天，电子邮件非但不过时，反而因其类似书面确认系统的功能，完整地记录了业务往来中的节点和事项，在商用领域更加受到重视。

在案件调查实践中，大量的实例也证明了电子邮件调查在发现线索、还原事件真相、固定证据中的重要作用。虽然针对不同的电子邮件载体、文件、不同操作系统平台，电子邮件的调查分析方法、步骤和技巧大相径庭，但万变不离其宗，电子邮件普遍遵循MIME技术规范，其完整内容由RFC2045-2049定义,即邮件由邮件头和邮件体两部分组成，其中包括了信息格式、媒体类型、编码方式等各方面的内容，了解和掌握关键的格式和规范，有助于调查人员对电子邮件的深度解析，更能发现隐藏在邮件内容背后的蛛丝马迹。

作者：周晓鸣

编辑：蘑菇菇

文章来源：内控和反舞弊研究，如有侵权，联系后台删除