第三节 电子邮件证据的构成

电子邮件对案件事实起证明作用的内容总和就是电子邮件证据的构成。一般而言，电子邮件由信头和文体两部分构成。信头部分包含收发信人的名址、日期及主题信息等。信头的作用在于查明信件的来源，对查证信件的真实性有较强的证明意义。典型的信头样式为：

Return Path：ajfan@cs.ecnu.edu.cn

Received：from i575.cs.ecnu.edu.cn by cs.ecnu.edu.cn（4.1/SMI-4.1）

Id AA06115；Mon，17 Aug 01 16：37：11CDT.

Message-id：35D7CEA8.1CBI@cs.ecnu.edu.cn

Date：Mon，17 Aug 01 15：33：12 +0900

From：ajfan@cs.ecnu.edu.cn

X-Mailer：Mozilla 3.0（Win95；I）

Mine-version：1.0

Subject：paper

Content-Type：application/octet-stream；name=Email.doc

Content-Disposition；attachment；filename=Email3.doc

一般而言，信头分析经常使用的字段含义主要包括以下几个方面。

首先是Received字段。该字段表明信件MTA（Mail Transfer Agent）轨迹。MTA为邮件传送代理，从各种来源接收邮件，再确定邮件要路由到哪里及路由的方式。Received字段主要包含From、By、Via、ID、For、Date-time等项内容。From是特定发送信件机器的名字，后面圆括号内的注解是指定的SMTP（Simple Mail Transfer Protocol）连接的另一端机器名称和IP地址，通过获得TCP连接远方机器IP地址及使用DNS可以把地址转换成域名。By是指特定的接收机器的域名。ID字段是指处理信件时用于信件的MTA的唯一标识符，绝大多数MTA都保留处理的信件和日志记录，它允许信件与MTA日志项连接。For字段记录在Rept命令中字段插入的时间。

其次是Message-id字段。该字段用于唯一标识一个电子邮件，由邮件用户代理（Mail User Agent，MUA）或信件通过的第一个MTA产生，使用@把字段分为左右两部分，通常情况下，右边部分以电子邮件形式表示，左边部分以“时间、进程表示符，同一时间邮件顺序号”的形式表示。MUA是指邮件用户代理，负责为用户提供管理邮件的界面，主要有POP与IMPA两种。其中，POP是邮局协议，主要负责将邮件从远程邮件服务器下载到用户的收件箱。IMPA是Internet信件访问协议，用户操作远程服务器的邮件文件夹。

再次是In-Reply-To和Reference字段。In-Reply-To字段是指用于标识当前信件回复的信件信息，通常使用Message-id中的信息。Reference字段用于标识一个信件的所有先驱，用作In-Reply-To字段的一个附属，当一个信件是对一个回复的回复时，前面信件的In-Reply-To则追加到Reference字段。

最后是From、Date和Return-path字段。From字段可由用户自定义或由MUA插入。Date字段通常用MUA自动插入，指示信件何时被发送。Return-path字段由最后一个MTA在信件前面增加。To和Subject字段是指邮件的收件人和邮件题目。^[13]

电子邮件信头作为犯罪证据或犯罪证据线索有着极为重要的意义。电子邮件信头一般包含发件人的地址和日期。但是发件人的地址和日期可以伪造，如利用专门发送电子邮件的炸弹软件自动修改发件人的地址。如某罪犯于1999年3月19日进入波士顿艺术博物馆偷窃。博物馆监视器显示该窃贼于20：00进入博物馆，20：30离开。该罪犯被抓获后自己辩称该案件发生时他在几百英里外的纽约家中，并提供了一封当晚案发时发送给朋友的电子邮件，以证明自己无罪。该电子邮件内容如下：

From：suspect@newyork.net

Date：Fri，19 Mar 1999 20：10：05 EST

Subject：A quick hello

To：witness@miami.net

I am siting innocently at home with nothing to do and I thought I would drop a line say hello.

该邮件信头信息，确实能证明该案发生时，行为人在给自己的朋友发送电子邮件。但本案侦查人员通过技术手段找到了该电子邮件的完整信头信息。

Received：from mail.newyork.net by mail.miami.net（8.8.5/8.8.5）with ESMTP id NAA23950 for witness@miami.net；Sat，20 Mar 1999 13：49：19-0500（EST）

Received：from suspects home.newyork.net by mail.newyork.net（PMDE V5.1-0#20971）with SMPT id<01J9206HG9T400NWE6@newyork.net>for witness@miami.net；sat，20 Mar 1999 13：49：22 EST

From：suspect@newyork.net

Date：Fri，19 Mar 1999 20：10：05 EST

Subject：A quick hello

To：witness@miami.net

Message-id：01J9206HG9T400NWE6@newyork.net

I am siting innocently at home with nothing to do and I thought I would drop a line say hello.

将上述两封邮件对比，根据Message-id不变原则，可知行为人提供的邮件与侦查人员获得的邮件是同一人所撰写发送。但发送时间差别较大，一个是3月20日下午1点49分，另一个是当晚20点30分，很明显，行为人提供的电子邮件证据是伪造的。在本案中，侦查人员随后搜查了犯罪嫌疑人的电子邮箱，进一步获得了其伪造电子邮件的证据。行为人在From字段中，将MUA时间自动插入修改为手动插入，从而达到伪造电子邮件时间的目的。电子邮件头部信息在比对时间查找犯罪线索上有着不可替代的作用。特别是在行为人故意设置错误的计算机系统时间时，行为人发送出去的邮件头信息会显示错误的时间戳。这种情况给查证犯罪带来了很大的困难与迷惑。如果一封电子邮件信息包含曾经访问过的网页，则该网页的浏览历史记录时间会与行为人更改后的计算机系统时间一致。若以此判断电子邮件的发送时间是不准确的，而应该借助电子邮件信息头部中的电子邮件服务器系统时间来确定电子邮件的真实发送时间，因为在此情形下，邮件服务器的日期时间戳才是正确的。

邮件的文体部分是重要证据，一般可以作为案件事实的证据，根据其内容与案件的关联程度，可以认定电子邮件作为证据的证明力大小。电子邮件中还有重要的附件部分。附件部分可以是文本文件、软件，也可以是图片文件、音频及视频文件等。电子邮件的信头和文体部分对案件事实的证明方式有一定的差异。一般来说，电子邮件的信头主要用作间接证据，通过其系统痕迹佐证案件发生的时间、地点及犯罪嫌疑人。电子邮件的文体部分可以作为直接证据，如果其内容涉及犯罪行为则可以直接作为证据使用，即使不能直接作为证明案件事实的证据，也大多可以作为重要的证据线索，其中不乏只在有电子邮件证据或线索的情况下侦破案件的。如1996年发生在马里兰州的谋杀案就是依靠电子邮件证据侦破的。在本案中，一个名叫Sharon Lopatka的马里兰妇女告诉她丈夫说她要去拜访朋友。但在离开之后她留下了一张令人心寒的字条，她丈夫看到后立刻向警察报案，说妻子失踪了。在调查的过程中，警察发现了上百封Lopatka和一个叫Robert Glass的男子之间的电子邮件，其中尽是一些有关折磨和死亡幻想的文字。电子邮件的内容把调查员引到了北卡罗来纳州Glass的房车附近，在那里他们发现了Lopatka的坟墓，她的手和脚被捆绑着。Glass供认了自己的罪行，承认自己在性行为过程中意外地将Lopatka杀死。^[14]又如，侦查人员在一个案件中，通过追踪发送到Berkeley大学图书馆的一台计算机上的Hotmail邮件，锁定了一个名叫Troy A Mayo的在逃犯，他因杀死一名怀孕的少女而被通缉。^[15]