本站小編為你精心準備了電子郵件真實性技術探討參考范文，愿這些范文能點燃您思維的火花，激發您的寫作靈感。歡迎深入閱讀并收藏。

《計算機與網絡雜志》2015年第二期

1電子郵件結構分析

1.1郵件正文在郵件中第一個空行后，可以看到通過“Content-Type”中“boundary”相應字段，這就是郵件正文的開始，如郵件存在附件，在該字段“Content-Type”中會出現一個新的“boundary”所指引的邊界信息。該邊界信息所內的內容為郵件正文，如郵件不存在附件，郵件正文的邊界信息則以郵件頭中的“Content-Type”所提示的邊界信息為準。郵件的正文存在2種形式，一種為“text/plain”是無格式正文，一種為“text/html”是html格式的正文，在網頁及客戶端中看的到郵件正文都是以“text/html”的格式所顯示。

1.2郵件附件在郵件正文邊界后的，會出現一個郵件頭中“Content-Type”所提示的邊界信息，這個邊界信息后的內容為郵件附件，如存在多個附件，每個附件之間都會存在一條該邊界信息。在附件的“Content-Type”信息中包括類型標識和子類型標識，前者類型標識聲明了數據的類型，后者子類型標識為這種數據類型指定了特定的格式。附件類型分為7種，分別是:文本(Text)、多文檔(mulipart)、消息(Message)、圖像(Image)、音頻(audio)、視頻(Video)和應用(Application)。當遇到未知的類型如壓縮文件時，將會把未知類型當作“application/octet-stream”對待。

2郵件真實性分析

電子郵件真實性分析主要從以下幾個方面進行分析。

2.1電子郵件客戶端分析電子郵件客戶端是日常辦公中經常使用的郵件發送及接收所使用軟件，在使用方便快捷的同時也會在操作時產生相應的記錄。打開電子郵件客戶端，查看客戶端收件箱、發件箱和回收站是否存在與需要分析真實性的郵件相關的原郵件、轉發郵件、回復郵件和刪除郵件等內容。在對LiveMail客戶端中的郵件真實性進行分析時，應查看郵件的流文件，在流文件中會記錄郵件的相關事件及大小屬性，該屬性不會因修改郵件而改變，在流文件中郵件的發送時間為0時區時間[2]。

2.2郵件內容分析[3]⑴郵件關聯性分析查看客戶端中相關郵件：①發件箱：查看發件箱內是否存在對懷疑修改的郵件的回復，如存在回復郵件，可以查看回復的郵件中的原郵件內容與懷疑修改的郵件是否相同；②垃圾箱：查看垃圾箱內是否存在被刪除的懷疑修改的郵件，如存在相關郵件，可以查看垃圾箱內的相關郵件與懷疑修改的郵件是否相同。⑵郵件編碼分析郵件內容的修改方式為將郵件的正文部分的編碼進行解碼后修改，修改完成后將修改過的郵件內容轉換為郵件原編碼格式后，對原編碼進行替換。郵件內容分為“Content-Type:text/plain”、“Content-Type:text/html”，郵件內容的修改只有對郵件內容的“text/html”編碼進行修改后才可以在正常打開郵件時顯示為已修改內容，所以在對郵件內容真實性進行判別時可以對“Content-Type:text/plain”的內容進行解碼后查看內容與郵件內容是否一致[4,5]，如不一致則可以判斷郵件內容經過了修改。⑶郵件與硬盤關聯性分析查看郵件所在硬盤的是否安裝了360殺毒軟件，如安裝360殺毒軟件，首先查看懷疑修改的郵件的文件屬性，根據文件屬性所顯示的修改時間，查看相關硬盤中360殺毒軟件日志文件所記錄的修改時間當天的計算機操作記錄日志[2]。根據屬性顯示的修改時間打開相應日志文件，點擊查找，輸入需要分析的郵件名稱，進行查找。在該日志中主要查看與需要分析真實性的郵件的文件屬性中修改時間相近的日志記錄中如否存在“記事本（notepad.exe）”調用了要查找的文件。⑷附件分析對郵件存在附件的郵件，可對附件主題和內容進行關鍵字設定，在郵件所在硬盤中對關鍵字進行搜索。查找硬盤中是否存在與附件相同個文件。如郵件發送的方式為通過“foxmail客戶端”發送，在郵件頭的信息中也可對是否存在附件進行鑒定，使用“foxmail客戶端”發送的郵件，在郵件頭“X-Has-Attach”中會存在不同的表現。如存在附件，顯示為“X-Has-Attach：yes”，如發送時不存在附件顯示為“X-Has-Attach：no”。根據郵件頭中“Content-Type”項中“boundary”中的Part內容對郵件內容進行查找。根據上面的內容可以對郵件中附件的名稱及附件的類型進行分析，從而查看郵件中所包含的附件是否經過修改。如郵件中“Content-Type”中所顯示的文件類型為“image/jpeg”，但郵件附件名后綴為文檔文件，同時附件“filename”與“name”處文件名不符，由此可以判斷這個郵件的附件是經過修改的。如附件內容為文檔文件，可對郵件所在硬盤進行關鍵字搜索，設置郵件附件內容所包含的關鍵字，對郵件所在硬盤進行檢索，查看是否存在相關的文檔。對搜索到的相關文檔與附件文檔進行比對，查看是否存在差異。

2.3郵件頭分析⑴發件人真實性分析通過郵件頭的特征，對郵件發件人真實性的進行分析。正常的郵件的發件人應與第一項Received信息中的地址相符。通過對“網易”“、新浪”“、搜狐”、“QQ”和“foxmail客戶端”等目前較為常用的郵件服務器所發郵件的郵件頭進行比對后發現，由于郵箱服務器不同，一些郵箱發出的郵件不會存在第一項Received信息，如“QQ”和“foxmail客戶端”發出的郵件就不存在第一項Received信息[6]，同時對發件人真實性的分析可以根據一些郵件服務器的Message-ID中的信息來進行判斷，如“網易”和“搜狐”等郵箱服務器的Message-ID信息中會出現發件人地址。⑵發件時間真實性分析通過對郵件頭的分析，可以看到在Received信息中會存在時間信息，所以在對時間真實性的分析上應注意郵件的發送時間，是否與Received信息中的時間相符。在關注發件時間是，也應注意發件時間中的星期與發件日期是否相符[7]。在對發件人真實性分析時，提到過的Message-ID信息，在對時間真實性進行分析時，也可以得到應用，如“新浪”和“foxmail客戶端”所發郵件的Message-ID信息中會出現時間信息[8-10]，在這應注意到新浪Message-ID的時間為0時區和我們相差8小時，所以時間加8h。

3結束語

電子郵件真實性的分析，不是對一個郵件個體的分析，是一個需要通過對郵件客戶端、郵件頭中Message-ID信息、Received信息、郵件正文編碼特征、郵件附件編碼特征及相關硬盤的檢驗等多種方式相互結合從而得出結論的過程，同時在分析過程中要注意郵件特征的每一個細節及郵件特征的前后關聯性。在實際應用過程中，對使用客戶端收發的電子郵件的修改，通過上述分析方法基本可以做到準確的判斷。但目前在對使用網頁收發的電子郵件的真實性鑒定上還存在一定的難題，需要進行深入的研究。

作者：劉奇偉單位：河北遠東通信系統工程有限公司