我正在尝试对 Exchange 服务器进行取证分析,我想确定用户阅读特定电子邮件的时间。有没有办法 - 也许使用 mfcmapi 之类的工具或其他可以提供此信息的开源或商业工具?
具体来说,一封机密电子邮件被意外发送给用户,随后立即发送了一封电子邮件,通知用户意外泄露信息,并指示用户删除该邮件,不要共享该邮件。用户声称,他们只是将其发送到自己的帐户,因为泄露的信息包含他们自己的个人信息,并且直到他们已经向自己发送了该邮件的副本后才看到后续消息。我想证明用户在转发第一封(即机密)电子邮件之前阅读了第二封邮件。
在没有已读回执的情况下,有什么方法可以证明这一点?
谢谢
答案1
最简洁的答案是不。
假设您使用的是带 MAPI 的 Outlook(使用 IMAP 或其他协议只能告诉您邮件是由邮件客户端检索的,大多数邮件客户端都会按计划自动同步)。即使有办法识别电子邮件何时被标记为已读(我怀疑有没有,但不能肯定),它仍然不能证明任何事情。例如,我将 Outlook 设置为在五秒后自动将电子邮件标记为已读。
如果用户本人未确认他们已阅读该电子邮件,则无法“证明”这一点。你能做的最好的事情就是建立一系列似乎表明某种行为的证据。但这在法庭上站不住脚。
但最重要的是,用户在任何情况下都不承担责任。电子邮件不被视为安全的通信方式,不应用于机密信息。除非您设置了某种加密(有很多可用的加密),但考虑到相关人员能够阅读电子邮件的内容,可以安全地假设没有设置加密。
可能存在一些组织先例来决定用户转发电子邮件的行为是否合理或可接受(阅读要求他们删除或不删除的消息后,可以说,一个理性的人会认为内容是机密的和/或不适合转发)。但这是人力资源部门的问题。