3 鉴定步骤

3.1 了解相关情况

3.1.1 了解检材邮件形成过程的陈述。

3.1.2 了解检材邮件提交方的电子邮件收发情况，如接收和发送方式、使用的电子邮件客户端等。

3.1.3 当检材邮件位于网络电子邮箱中时，了解电子邮箱地址及其口令信息，并获得其使用授权。

3.1.4 如检材邮件有抄送方和密送方时，尽可能获取抄送方和密送方的相关电子邮件，拓展信息来源。

3.2 固定保全

3.2.1 计算机等硬件设备当检材为计算机等硬件设备时： a) 对检材进行惟一性标识; b) 对检材进行拍照或录像，记录其特征; c) 对具备条件的检材进行保全备份，并进行完整性校验，之后使用备份数据进行检验; d) 搜寻、提取检材邮件及相关邮件，计算检材邮件或包含检材邮件的数据文件的哈希值。

3.2.2 网络电子邮箱当检材为网络电子邮箱时： a) 通过电子邮件客户端或网页方式搜寻、提取检材邮件及相关邮件; b) 对登录网络电子邮箱及提取邮件过程进行截图或录像，并记录登录时间、地点、人员、环境等信息; c) 计算提取的检材邮件的哈希值。注：提取时不得删除保存在邮件服务器上的电子邮件。

3.3 搜索和恢复 按照相关技术方法，搜索、恢复保存在硬件设备上的电子邮件及其它相关文件和数据。

3.4 真实性检验和分析

3.4.1 检验和分析内容根据检材邮件具体情况，视需要对下列全部或部分内容进行检验和分析： a) 邮件基本信息检验：查看检材邮件及其所在电子邮箱中其它邮件的结构、格式、内容、收件人、发件人、抄送人、密送人、时间、数字签名等情况; b) 邮件结构和格式分析：根据电子邮件服务和电子邮件客户端的特点，分析检材邮件的结构、格式、属性信息等是否存在异常; c) 邮件头分析：分析检材邮件的邮件头信息是否存在异常。重点关注邮件头格式、时间信息、路由信息、客户端信息、邮件 ID 信息等内容; d) 邮件正文分析：分析检材邮件的正文信息是否存在异常。重点关注正文的结构及内容的合理性和逻辑性等情况; e) 邮件附件分析：通过附件元数据等信息，分析检材邮件的附件是否存在异常。重点关注附件的时间属性等情况; f) 往来邮件分析：搜索相同发件人/收件人/抄送人/密送人之间对同主题邮件(检材邮件)的往来邮件，分析相互之间的逻辑关系是否存在矛盾; g) 其它相关信息分析：在检材中搜索检材邮件及其附件中出现的关键词和文件，分析搜索到的内容与检材邮件是否存在关联，相互之间的逻辑关系是否存在矛盾; h) 邮件服务器分析：如条件允许，对收发检材邮件的服务器进行检验，分析其中的相关信息与检材邮件是否存在矛盾。包括保存在服务器上的电子邮件、服务器日志及数据备份等。

3.4.2 综合评断根据上述检验结果，对检材邮件的真实性进行综合分析，注意把握以下原则： a) 检材邮件与其他邮件之间的相互印证关系对于证实其真实性具有较高的价值; b) 检材邮件与邮件服务器中信息之间的相互印证关系对于证实其真实性具有较高的价值; c) 对于带有数字签名、邮件客户端结构严密等类型的电子邮件，应考虑进行伪造篡改的技术可行性; d) 有些异常现象，特别是时间异常，有可能是邮件服务器或用户终端的系统设置所致，应通过对其他邮件的比较，判断其性质; e) 对于检验中发现的一些存疑现象，应通过实验分析，判断其性质; f) 注意分析检验结果与检材邮件的形成过程陈述是否存在矛盾。