電子郵件調(diào)查和證據(jù)收集是每個 eDiscovery 和數(shù)字取證案件不可或缺的一部分。但是，在取證收集電子郵件時，必須從一開始就非常謹慎小心。電子郵件調(diào)查過程中，收集電子郵件的方式可能會影響后續(xù)調(diào)查步驟（例如電子郵件驗證、搜索、報告等）。

1.從所有來源收集電子郵件

一旦確定了需要收集其郵件的人員列表，您的第一個計劃可能是獲取他們的實時或當前郵箱數(shù)據(jù)。但是，取證收集電子郵件需要的不僅僅是下載實時郵箱，因為一些相關電子郵件可能存在于不同的位置，包括輔助設備。因此，必須采取多管齊下的方法來涵蓋所有可能的來源。

您需要尋找的一個領域是電子郵件備份和存檔文件。這是因為公司會定期備份他們的電子郵件作為一種安全措施，并將電子郵件存檔在云服務器上。

如果保管人已從其郵箱中刪除了某些電子郵件，您可能會在備份或存檔文件中找到它們。如果是 POP 帳戶，您可能還需要在托管人的移動或個人計算機上訪問下載的電子郵件。這可以幫助您收集 Office 桌面上不可用的電子郵件。

全球大多數(shù)公司都使用 Microsoft Exchange 和 Outlook 進行電子郵件通信。如果您的客戶/公司使用配置了 Exchange 的 Outlook，您還應該分析以下內(nèi)容：

• Exchange 數(shù)據(jù)庫 （EDB）： 在組織中工作的每個人都在 Exchange Server 上創(chuàng)建了一個用戶帳戶。您可以在 EDB 郵箱中找到每個員工的電子郵件的詳細信息。
• Outlook 脫機存儲表 （OST）： OST 是一個脫機 Outlook 數(shù)據(jù)文件，它將郵箱數(shù)據(jù)的同步副本存儲在本地存儲上。由于 Internet 連接丟失、從 Exchange 中刪除用戶郵件帳戶等原因，存儲在 OST 中的電子郵件可能無法與 Exchange Server 上的郵箱同步。因此，有時您可能需要從無法訪問或孤立的 OST 文件中提取這些未同步的郵箱數(shù)據(jù)。
• Outlook 個人存儲表 （PST）： Outlook 數(shù)據(jù)文件 （PST） 將電子郵件和其他文件存儲在本地計算機上。它通常用于 ISP 提供的 POP 帳戶。Outlook 2013 及更早版本中的 IMAP 帳戶也使用 PST 文件從 EDB 存檔郵箱。掃描 PST 文件很重要，因為您可能會在其中找到一些 EDB 或 OST 文件中不存在的電子郵件。
• Outlook MSG 文件：MSG 是 Microsoft Outlook 和 Exchange 使用的郵件消息文件。MSG 文件包含在 Outlook 中創(chuàng)建的電子郵件、聯(lián)系人或任務。此類文件可以直接保存在計算機上，即與主電子郵件數(shù)據(jù)庫分開。您可以掃描 MSG 文件以查看它是否包含任何相關信息。

2. 確保郵箱完整性不受損害

從保管人的郵箱收集電子郵件時，必須確保原始文件不會受到任何影響。如果電子郵件收集處理不當，可能會更改其哈希值，甚至損壞重要的元數(shù)據(jù)詳細信息，例如時間、狀態(tài)等。

假設，您需要直接從 Outlook 等電子郵件客戶端收集電子郵件。此時，您可以執(zhí)行用于處理電子郵件或在電子郵件服務器上執(zhí)行不同操作的 IMAP 命令。當選擇所需的 IMAP 文件夾（如收件箱、已發(fā)送郵件、草稿等）進行數(shù)據(jù)收集時，程序將使用 SELECT IMAP 命令。它使用 FETCH IMAP 命令下載郵件。這可能會更新電子郵件的消息標志，主要是 \Lasty（將電子郵件標記為“最近”到達郵箱）和 \Seen（將電子郵件標記為已讀）標志?？紤]到在電子郵件取證中以未更改的形式收集電子郵件的重要性，您根本無法承受干擾消息標志的后果。

要在不干擾郵件標志的情況下收集電子郵件，必須使用 EXAMINE IMAP 命令選擇適當?shù)奈募A，并使用 IMAP 中的 PEEK 選項 （BODY.PEEK[]） 以原始形式下載消息。

3. 選擇正確的電子郵件文件格式

對于大多數(shù) eDiscovery 和電子郵件取證專業(yè)人員來說，PST 是他們喜歡使用的典型文件格式。這是因為它很容易得到各種電子郵件分析軟件的支持。因此，假設您正在從托管人的郵箱中收集電子郵件，并且有一定數(shù)量的其他格式（如 MSG）的電子郵件。在這種情況下，您可能希望將這些電子郵件轉換為 PST 格式。但是，您還應該以本機文件格式保留電子郵件。

本機文件格式是最初創(chuàng)建文檔時所采用的格式。例如，大多數(shù)云電子郵件服務通過 IMAP 以 MIME 格式傳輸電子郵件。

您可以自由地將電子郵件數(shù)據(jù)庫轉換為您熟悉的格式。但是，還應該以數(shù)據(jù)庫的本機格式收集和保留數(shù)據(jù)庫，因為：

• 原生文件是取證證據(jù)的“原始”文件。
• 將電子郵件文件轉換為其他格式時，可能會在此過程中丟失一些文件詳細信息。

4. 維護適當?shù)奈臋n

文檔是電子郵件收集的重要組成部分。您應該記錄的一些重要詳細信息包括案例信息、發(fā)件人和收件人的電子郵件地址、電子郵件傳輸?shù)娜掌诤蜁r間、使用的軟件和服務器、通信日志等。最重要的是，應該計算并記錄所有電子郵件的哈希值，例如 SHA1 和 MD5，因為這些唯一代碼有助于驗證每封電子郵件的完整性。

結論

電子郵件取證是一個耗時且費力的過程。由于案件中涉及的每封電子郵件都很重要，因此不能承受差異或不完整的信息。通過使用值得信賴且功能強大的 eDiscovery 電子郵件取證軟件，可以負責任地履行職責并獲得快速可靠的解決方案。

天津鴻萌科貿(mào)發(fā)展有限公司是眾多國際主流取證軟件代理商，可以為用戶提供適合的取證工具及解決方案。