電子郵件調(diào)查和證據(jù)收集是每個(gè) eDiscovery 和數(shù)字取證案件不可或缺的一部分。但是，在取證收集電子郵件時(shí)，必須從一開始就非常謹(jǐn)慎小心。電子郵件調(diào)查過(guò)程中，收集電子郵件的方式可能會(huì)影響后續(xù)調(diào)查步驟（例如電子郵件驗(yàn)證、搜索、報(bào)告等）。

1.從所有來(lái)源收集電子郵件

一旦確定了需要收集其郵件的人員列表，您的第一個(gè)計(jì)劃可能是獲取他們的實(shí)時(shí)或當(dāng)前郵箱數(shù)據(jù)。但是，取證收集電子郵件需要的不僅僅是下載實(shí)時(shí)郵箱，因?yàn)橐恍┫嚓P(guān)電子郵件可能存在于不同的位置，包括輔助設(shè)備。因此，必須采取多管齊下的方法來(lái)涵蓋所有可能的來(lái)源。

您需要尋找的一個(gè)領(lǐng)域是電子郵件備份和存檔文件。這是因?yàn)楣緯?huì)定期備份他們的電子郵件作為一種安全措施，并將電子郵件存檔在云服務(wù)器上。

如果保管人已從其郵箱中刪除了某些電子郵件，您可能會(huì)在備份或存檔文件中找到它們。如果是 POP 帳戶，您可能還需要在托管人的移動(dòng)或個(gè)人計(jì)算機(jī)上訪問(wèn)下載的電子郵件。這可以幫助您收集 Office 桌面上不可用的電子郵件。

全球大多數(shù)公司都使用 Microsoft Exchange 和 Outlook 進(jìn)行電子郵件通信。如果您的客戶/公司使用配置了 Exchange 的 Outlook，您還應(yīng)該分析以下內(nèi)容：

• Exchange 數(shù)據(jù)庫(kù) （EDB）： 在組織中工作的每個(gè)人都在 Exchange Server 上創(chuàng)建了一個(gè)用戶帳戶。您可以在 EDB 郵箱中找到每個(gè)員工的電子郵件的詳細(xì)信息。
• Outlook 脫機(jī)存儲(chǔ)表 （OST）： OST 是一個(gè)脫機(jī) Outlook 數(shù)據(jù)文件，它將郵箱數(shù)據(jù)的同步副本存儲(chǔ)在本地存儲(chǔ)上。由于 Internet 連接丟失、從 Exchange 中刪除用戶郵件帳戶等原因，存儲(chǔ)在 OST 中的電子郵件可能無(wú)法與 Exchange Server 上的郵箱同步。因此，有時(shí)您可能需要從無(wú)法訪問(wèn)或孤立的 OST 文件中提取這些未同步的郵箱數(shù)據(jù)。
• Outlook 個(gè)人存儲(chǔ)表 （PST）： Outlook 數(shù)據(jù)文件 （PST） 將電子郵件和其他文件存儲(chǔ)在本地計(jì)算機(jī)上。它通常用于 ISP 提供的 POP 帳戶。Outlook 2013 及更早版本中的 IMAP 帳戶也使用 PST 文件從 EDB 存檔郵箱。掃描 PST 文件很重要，因?yàn)槟赡軙?huì)在其中找到一些 EDB 或 OST 文件中不存在的電子郵件。
• Outlook MSG 文件：MSG 是 Microsoft Outlook 和 Exchange 使用的郵件消息文件。MSG 文件包含在 Outlook 中創(chuàng)建的電子郵件、聯(lián)系人或任務(wù)。此類文件可以直接保存在計(jì)算機(jī)上，即與主電子郵件數(shù)據(jù)庫(kù)分開。您可以掃描 MSG 文件以查看它是否包含任何相關(guān)信息。

2. 確保郵箱完整性不受損害

從保管人的郵箱收集電子郵件時(shí)，必須確保原始文件不會(huì)受到任何影響。如果電子郵件收集處理不當(dāng)，可能會(huì)更改其哈希值，甚至損壞重要的元數(shù)據(jù)詳細(xì)信息，例如時(shí)間、狀態(tài)等。

假設(shè)，您需要直接從 Outlook 等電子郵件客戶端收集電子郵件。此時(shí)，您可以執(zhí)行用于處理電子郵件或在電子郵件服務(wù)器上執(zhí)行不同操作的 IMAP 命令。當(dāng)選擇所需的 IMAP 文件夾（如收件箱、已發(fā)送郵件、草稿等）進(jìn)行數(shù)據(jù)收集時(shí)，程序?qū)⑹褂?nbsp;SELECT IMAP 命令。它使用 FETCH IMAP 命令下載郵件。這可能會(huì)更新電子郵件的消息標(biāo)志，主要是 \Lasty（將電子郵件標(biāo)記為“最近”到達(dá)郵箱）和 \Seen（將電子郵件標(biāo)記為已讀）標(biāo)志?？紤]到在電子郵件取證中以未更改的形式收集電子郵件的重要性，您根本無(wú)法承受干擾消息標(biāo)志的后果。

要在不干擾郵件標(biāo)志的情況下收集電子郵件，必須使用 EXAMINE IMAP 命令選擇適當(dāng)?shù)奈募A，并使用 IMAP 中的 PEEK 選項(xiàng) （BODY.PEEK[]） 以原始形式下載消息。

3. 選擇正確的電子郵件文件格式

對(duì)于大多數(shù) eDiscovery 和電子郵件取證專業(yè)人員來(lái)說(shuō)，PST 是他們喜歡使用的典型文件格式。這是因?yàn)樗苋菀椎玫礁鞣N電子郵件分析軟件的支持。因此，假設(shè)您正在從托管人的郵箱中收集電子郵件，并且有一定數(shù)量的其他格式（如 MSG）的電子郵件。在這種情況下，您可能希望將這些電子郵件轉(zhuǎn)換為 PST 格式。但是，您還應(yīng)該以本機(jī)文件格式保留電子郵件。

本機(jī)文件格式是最初創(chuàng)建文檔時(shí)所采用的格式。例如，大多數(shù)云電子郵件服務(wù)通過(guò) IMAP 以 MIME 格式傳輸電子郵件。

您可以自由地將電子郵件數(shù)據(jù)庫(kù)轉(zhuǎn)換為您熟悉的格式。但是，還應(yīng)該以數(shù)據(jù)庫(kù)的本機(jī)格式收集和保留數(shù)據(jù)庫(kù)，因?yàn)椋?/span>

• 原生文件是取證證據(jù)的“原始”文件。
• 將電子郵件文件轉(zhuǎn)換為其他格式時(shí)，可能會(huì)在此過(guò)程中丟失一些文件詳細(xì)信息。

4. 維護(hù)適當(dāng)?shù)奈臋n

文檔是電子郵件收集的重要組成部分。您應(yīng)該記錄的一些重要詳細(xì)信息包括案例信息、發(fā)件人和收件人的電子郵件地址、電子郵件傳輸?shù)娜掌诤蜁r(shí)間、使用的軟件和服務(wù)器、通信日志等。最重要的是，應(yīng)該計(jì)算并記錄所有電子郵件的哈希值，例如 SHA1 和 MD5，因?yàn)檫@些唯一代碼有助于驗(yàn)證每封電子郵件的完整性。

結(jié)論

電子郵件取證是一個(gè)耗時(shí)且費(fèi)力的過(guò)程。由于案件中涉及的每封電子郵件都很重要，因此不能承受差異或不完整的信息。通過(guò)使用值得信賴且功能強(qiáng)大的 eDiscovery 電子郵件取證軟件，可以負(fù)責(zé)任地履行職責(zé)并獲得快速可靠的解決方案。

天津鴻萌科貿(mào)發(fā)展有限公司是眾多國(guó)際主流取證軟件代理商，可以為用戶提供適合的取證工具及解決方案。