电子邮件检验(e-mail examination),工学-公安技术-网络安全与执法-电子数据取证,依据行业标准和技术规范对电子邮件的内容、属性、结构及相关信息进行综合分析,判断检材邮件的真实性,形成检验结论和意见的活动。检验实施前应准备好检验环境,对检材进行获取和保全备份。当检材为数字化设备时,应记录检材的类别、型号、唯一性标识、照片或录像,对具备保全条件的检材进行保全备份和完整性校验,在副本检材中获取检材邮件并计算哈希值。当检材为独立于数字化设备的文件时,应记录文件的名称和哈希值。邮件获取通常分为3种情况:①检材为电子邮件时,将电子邮件导出至检验环境中;②检材为电子邮箱地址时,需连接网络查找目标邮件,并下载至检验环境中;③检材为第三方邮件服务器日志时,将服务器日志导出至检验环境中。对于电子邮件真实性的检验和分析,通常包含以下一项或多项内容:邮件基本信息检验;邮件结构、属性分析;邮件协议分析;邮件头分析;邮件正文分析;邮件附件分析;邮件行为分析;邮件服务器分析。此外,对于使用数字签名的电子邮件可以直接判断其真实性。