ICS 07.140 CCS A92 SF 中 华 人 民 共 和 国 司 法 行 政 行 业 标 准 SF/T 0156—2023 代替 SF/Z JD0402001 —2014 电子邮件鉴定技术规范 Technical specification for e -mail forensics 2023 - 10 - 07发布 2023 - 12 - 01实施 中华人民共和国司法部 发布 SF/T 0156 —2023 I 目次 前言 ................................ ................................ ................. II 1 范围 ................................ ................................ ............... 1 2 规范性引用文件 ................................ ................................ ..... 1 3 术语和定义 ................................ ................................ ......... 1 4 设备和工具 ................................ ................................ ......... 2 5 鉴定分析 ................................ ................................ ........... 2 6 检验记录 ................................ ................................ ........... 4 7 鉴定意见 ................................ ................................ ........... 5 参考文献 ................................ ................................ .............. 6 SF/T 0156 —2023 II 前言 本文件按照 GB/T 1.1 —2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件代替 SF/Z JD0402001 —2014《电子邮件鉴定实施规范》，与 SF/Z JD0402001 —2014相比，除 结构调整和编辑性改动外，主要技术变化如下： a) 文件名称 更改为“电子邮件鉴定技术规范” ，英文名称 更改为“Technical specification for e-mail forensic s”（见封面，2014年版的封面）； b) 增加了规范性引用文件 （见第2章）； c) 删除了术语 “电子邮件” “邮件内容”“网页电子邮件服务”“检材” （见2014年版的2.1、 2.3、2.5、2.6）； d) 增加了术语“电子邮箱文件” “电子邮件复本 ”“样本电子邮件 ”“电子邮件真实性鉴定” “电 子邮件服务器”（见 3.4、3.5、3.7、3.8、3.9）； e) 增加了第 4章“设备和工具”（见第 4章）； f) 将“鉴定步骤”更改为“鉴定分析”， 并更改了内容 （见第5章，2014年版的第3章）； g) 更改了检验记录要求 （见第6章，2014年版的第 4章）； h) 将鉴定意见分类更改为按照存在性和真实性分类（见 7.1和7.2，2014年版的5.1和5.2）， 并更改了每类鉴定 意见的要求。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由司法鉴定科学研究院提出。 本文件由司法部信息中心归口。 本文件起草单位： 司法鉴定科学研究院、最高人民检察院检察技术信息研究中心、华东政法大学、 上海市人民检察院、广西 壮族自治区 公安厅、广东安证计算机司法鉴定所 。 本文件主要起草人： 施少培、李岩、郭弘、李佳、王永全、高峰、陈兴文、魏智煌、卢启萌、耿浦 洋、杨恺、李致君、田野、曾锦华、毛晓、凌嵘 。 本文件及其所代替文件的历次版本发布情况为： —— 2014年首次发布为 SF/Z JD0402001 —2014； —— 本次为第一次修订 ，标准编号调整 为SF/T 0156 —2023。 SF/T 0156 —2023 1 电子邮件鉴定技术规范 1 范围 本文件规定了 电子邮件鉴定的 设备和工具、鉴定 分析过程 、检验记录 以及鉴定意见的判断依据和推 荐表述等内容 的要求。 本文件适用于司法鉴定领域中对电子邮件的鉴定。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 29360 法庭科学 电子数据恢复检验规程 GB/T 29362 法庭科学 电子数据搜索检验规程 GB/T 37002 —2018 信息安全技术 电子邮件系统安全技术要求 SF/T 0105 存储介质数据镜像技术规程 SF/T 0157 移动终端电子数据鉴定技术规范 3 术语和定义 GB/T 37002 —2018界定的以及下列术语和定义适用于本文件。 邮件客户端 e-mail client 电子邮件客户端 用户终端中安装的发送、接收与管理电子邮件的软件。 邮件头 e-mail header；message header 位于电子邮件数据的头部，反映电子邮件的基本信息和传送、投递等情况的数据。 注： 通常包含电子邮件的接收人、发送人、发送时间、主题、 Message-ID和路由过程等信息。 电子邮件文件 e-mail file 存储单封电子邮件的文件。 示例：RFC 2822邮件文件（扩展名为 .eml）、Microsoft Outlook导出邮件文件（扩展名为 .msg）。 电子邮箱文件 mailbox file 存储多封电子邮件 及其关联关系 的数据文件。 示例：Microsoft Outlook客户端的 PST（Personal Storage Table）文件。 电子邮件复本 e-mail duplicate 同一封电子邮件客体的不同表现形式或复制件。 示例1：电子邮件在其收发关系的各方均存在至少一个复本。 示例2：备份或归档形成的多个电子邮箱文件中包含同一电子邮件的多个复本。 检材邮件 questioned e -mail 检材电子邮件 需要鉴定的电子邮件。 注： 包含检材邮件的检材一般是电子设备、存储介质或特定邮件地址对应的网络电子邮箱。 SF/T 0156 —2023 2 样本邮件 known e-mail 样本电子邮件 用于比较和对照的电子邮件。 注： 通常为自然 情况下形成或通过模拟实验形成。 电子邮件真实性鉴定 genuine identification of e -mail 对电子邮件是否经过伪造 /篡改进行检验和鉴别的专门技术。 邮件服务器 e-mail server 电子邮件服务器 为客户端提供邮件应用服务的计算机系统。 注： 由服务器硬件、操作系统、支撑系统（ Web服务，中间件和数据库）和邮件应用系统组成。 [来源：GB/T 37002 —2018，3.2，有修改] 4 设备和工具 电子邮件鉴定使用的设备和工具 应具备的功能包括： a) 使用邮局协议第 3版（POP3）/使用安全套接层的 POP3（POP3S）/互联网邮件访问协议 （ IMAP） /使用安全套接层的 IMAP（IMAPS）等协议 从电子邮件应用系统获取电子邮件； b) 将邮件客户端数据或 电子邮箱文件解析为 单封电子邮件； c) 从电子邮件中提取 和分析邮件头； d) 存储介质镜像制作和数据提取； e) 网页数据 固定； f) 域名和IP地址分析； g) 解码及编码转换； h) 元数据分析。 电子邮件鉴定使用的设备和工具宜具备的功能包括但不限于： a) 利用邮件头中的特定字段 建立电子邮件间的关联关系； b) 时间线建立和分析； c) 操作系统仿真； d) 移动终端数据提取； e) 网络数据包获取及分析 ； f) 系统和应用软件日志分析 。 5 鉴定分析 鉴定准备 5.1.1 了解检材邮件 /样本邮件 形成过程的陈述 ， 包括收发 方式、 使用的邮件客户端 和密送/抄送人等。 5.1.2 若检材为网络电子邮箱，了解 登录网址 及身份认证信息，并获得其使用授权。 5.1.3 适用时， 宜从检材邮件收发关系（如发送、接收、抄送 和密送等）中的其他方获取电子邮件复 本。 5.1.4 为检材及 检材邮件 /