销售客服
售前客服
售后维护
电子邮件调查和证据收集是每个 eDiscovery 和数字取证案件不可或缺的一部分。但是,在取证收集电子邮件时,必须从一开始就非常谨慎小心。电子邮件调查过程中,收集电子邮件的方式可能会影响后续调查步骤(例如电子邮件验证、搜索、报告等)。
一旦确定了需要收集其邮件的人员列表,您的第一个计划可能是获取他们的实时或当前邮箱数据。但是,取证收集电子邮件需要的不仅仅是下载实时邮箱,因为一些相关电子邮件可能存在于不同的位置,包括辅助设备。因此,必须采取多管齐下的方法来涵盖所有可能的来源。
您需要寻找的一个领域是电子邮件备份和存档文件。这是因为公司会定期备份他们的电子邮件作为一种安全措施,并将电子邮件存档在云服务器上。
如果保管人已从其邮箱中删除了某些电子邮件,您可能会在备份或存档文件中找到它们。如果是 POP 帐户,您可能还需要在托管人的移动或个人计算机上访问下载的电子邮件。这可以帮助您收集 Office 桌面上不可用的电子邮件。
全球大多数公司都使用 Microsoft Exchange 和 Outlook 进行电子邮件通信。如果您的客户/公司使用配置了 Exchange 的 Outlook,您还应该分析以下内容:
从保管人的邮箱收集电子邮件时,必须确保原始文件不会受到任何影响。如果电子邮件收集处理不当,可能会更改其哈希值,甚至损坏重要的元数据详细信息,例如时间、状态等。
假设,您需要直接从 Outlook 等电子邮件客户端收集电子邮件。此时,您可以执行用于处理电子邮件或在电子邮件服务器上执行不同操作的 IMAP 命令。当选择所需的 IMAP 文件夹(如收件箱、已发送邮件、草稿等)进行数据收集时,程序将使用 SELECT IMAP 命令。它使用 FETCH IMAP 命令下载邮件。这可能会更新电子邮件的消息标志,主要是 \Lasty(将电子邮件标记为“最近”到达邮箱)和 \Seen(将电子邮件标记为已读)标志。考虑到在电子邮件取证中以未更改的形式收集电子邮件的重要性,您根本无法承受干扰消息标志的后果。
要在不干扰邮件标志的情况下收集电子邮件,必须使用 EXAMINE IMAP 命令选择适当的文件夹,并使用 IMAP 中的 PEEK 选项 (BODY.PEEK[]) 以原始形式下载消息。
对于大多数 eDiscovery 和电子邮件取证专业人员来说,PST 是他们喜欢使用的典型文件格式。这是因为它很容易得到各种电子邮件分析软件的支持。因此,假设您正在从托管人的邮箱中收集电子邮件,并且有一定数量的其他格式(如 MSG)的电子邮件。在这种情况下,您可能希望将这些电子邮件转换为 PST 格式。但是,您还应该以本机文件格式保留电子邮件。
本机文件格式是最初创建文档时所采用的格式。例如,大多数云电子邮件服务通过 IMAP 以 MIME 格式传输电子邮件。
您可以自由地将电子邮件数据库转换为您熟悉的格式。但是,还应该以数据库的本机格式收集和保留数据库,因为:
文档是电子邮件收集的重要组成部分。您应该记录的一些重要详细信息包括案例信息、发件人和收件人的电子邮件地址、电子邮件传输的日期和时间、使用的软件和服务器、通信日志等。最重要的是,应该计算并记录所有电子邮件的哈希值,例如 SHA1 和 MD5,因为这些唯一代码有助于验证每封电子邮件的完整性。
电子邮件取证是一个耗时且费力的过程。由于案件中涉及的每封电子邮件都很重要,因此不能承受差异或不完整的信息。通过使用值得信赖且功能强大的 eDiscovery 电子邮件取证软件,可以负责任地履行职责并获得快速可靠的解决方案。
天津鸿萌科贸发展有限公司是众多国际主流取证软件代理商,可以为用户提供适合的取证工具及解决方案。
