在电子取证及电子发现中，邮件的分析一直占据很大的比重，但大量的邮件是分析中最耗费时间的工作之一。如何更有效、快速且精确的对邮件进行分析和处理是我们一直所关注的重点。根据用户不同的分析需求选择合适的工具，从而获得最需要的功能以及最佳性价比是弘德网的目标。

在选择所需要的工具之前，我们先要确认自己的实际需求及数据环境，从而有针对性的关注对应的邮件分析及取证产品。

（点击图片查看详情）

删除邮件的恢复

删除恢复是电子数据取证中的一个重要步骤，我们需要最大限度获取更多的数据证据和线索，而删除的内容就是重中之重。根据删除方式的不同，我们需要有针对性的进行邮件的恢复操作。

本地邮件删除

在日常工作和生活中，我们常常会用邮件客户端来收发电子邮件，这样在很大程度上就将邮件从服务器中下载至本地邮箱位置并进行存储。通常的电子数据检验也都是针对本地存储进行操作，所以本地的数据恢复就变得更加关键。

根据邮件删除方式的不同和所需数据挖掘程度的不同，我们也为大家推荐不同的工具。如最常见的是在邮件客户端中直接删除某几封邮件，而不涉及其他邮件。有很多专业的数据恢复工具就能以极高性价比帮我们对此类删除邮件进行恢复，如Stellar的Email套件，R-Studio恢复套件，Recover My Emails等。

但如果遇到整体邮件客户端，以及邮件数据包被整体删除的情况，我们可能就需要一些更专业的工具了。虽然数据恢复功能也能在一定程度上对删除的大型文件进行恢复，但是很有可能是无法浏览的状态。而专业工具，如FTK，EnCase，X-Ways及BlackBag等都可以更好的在恢复数据后进行解析，从而让我们能够浏览恢复的数据。

网络邮件删除

如果用户直接将网上服务器端的邮件删除，我们就很难在本地进行恢复了。虽然还可以尝试获取本机的实时内存进行分析，但是几率并不大。

当然，如果我们能够获取服务器的访问权限，那还是有很大几率。在服务器端直接找到我们想要的数据，尤其是使用大型服务器的机构基本都会有定期备份，我们很可能直接在备份内容中找到所需信息。邮件服务器的处理分析一般涉及数据量较大，建议直接使用企业取证/数字发现系统，如Quin-C或AD LAB/Enterprise类分布式取证工具。

邮件无法浏览或损坏

在使用不同的邮件客户端时，我们会发现有大量不同的邮件存储方式和数据格式，这种情况下就可能导致我们无法直接浏览其保存的邮件数据。

此时我们就需要使用邮件格式转换工具来帮助我们将无法读取的格式转化成为常见或直接可浏览格式。同时在取证过程中，我们也时常能够遇到损坏无法查看的邮件数据，这时候除了比较专业的取证工具以外，一些小工具如Aid4Mail，Stellar邮件工具集等工具都可以帮助我们进行转化。

海量邮件筛查

海量邮件的筛查是企业取证和企业数据发现方面遇到的最主要工作之一。从企业服务器中提取的大量邮件内容，可能会耗费工作人员大量的时间。这种情况下，我们就需要找到合适的工具帮助我们进行快速的邮件归类，小体量的工具如Aid4Mail是高性价比的选择，可以快速帮助我们对邮件进行整理。

如果需要整体对海量邮件进行浏览分析，那么一般的取证工具可能已经无法满足我们的处理需求了，这个时候专业的企业取证系统，如Quin-C或AD Enterprise则是最佳选择，其不但具有完整的企业取证，分析和总结流程设计，更能够使用其内包含的AI及辅助分析功能快速对所有邮件及相关文档进行处理，关联分析等操作，尤其是Quin-C其中具有的法律向功能，能够更好的辅助律师行业人士进行辅助审阅。

邮件密码获取

邮件密码是我们在处理分析中经常忽略的一个部分，但是其重要性不可忽视。邮件密码的获取不仅能够帮助我们获得对邮箱的访问权限，更可能因为大部分人经常设置相同或相似的密码，从而帮助我们获得其他难以破解的加密文件或加密权限的访问能力（如加密的文件/文件夹/压缩包，EFS加密，云账户等）。

大体而言，邮件密码主要有两种：

邮件客户端密码恢复

如微软Mail，FoxMail等，其软件中会自动记录邮箱的登录密码。但是正常情况下设置完成后是无法再次明文浏览的。这时候我们就需要辅助工具，如Elcomsoft，Passware邮件系统解密组件来帮助我们对客户端内的密码进行恢复。

网页邮件登录密码恢复

这种网页邮件登录密码虽然在具有企业邮箱管理员的情况下能够进行修改，但是基本也无法直接查看原先的密码。此时我们可能需要对登录此帐户的浏览器进行分析，在默认保存密码的情况下，可能通过较高级的取证工具进行恢复，如FTK，EnCase等。

同时若我们能够获取已经登录邮箱的设备（开机状态），我们也可以通过对电脑的实时内存进行获取并分析，登录邮箱时所使用的密码将可能已明文形式还滞留在实时内存中。这种情况下，同样需要相对专业的实时内存取证工具来帮助我们进行分析，如BlackLight，FTK，EnCaes都有类似功能。