Поиск времени чтения электронной почты на сервере обмена

Question

Поиск времени чтения электронной почты на сервере обмена

Я пытаюсь провести судебный анализ на сервере обмена, и я хотел бы определить, в какое время пользователь читает конкретное письмо. Есть ли способ - возможно, с помощью инструмента, такого как mfcmapi или другого открытого или коммерческого инструмента, который может предоставить эту информацию?

В частности, конфиденциальное электронное письмо было случайно отправлено пользователю, за которым сразу же последовало электронное письмо, информирующее пользователя о случайном нарушении и предписывающее пользователю удалить сообщение, а не делиться им. Пользователь утверждает, что он отправил его только в свою учетную запись, поскольку взлом содержал его личную информацию, и что он не видел последующее сообщение до тех пор, пока не отправил себе копию этого сообщения. Я хотел бы доказать, что пользователь прочитал второе сообщение перед пересылкой первого (т.е. конфиденциального) электронного письма.

При отсутствии прочитанных квитанций, есть ли способ доказать это?

Спасибо

1

email exchange forensics forensic-analysis

Источник

Shmuel Levine 17 июн '15 в 23:27

1 ответ

Решение

Другие вопросы по тегам email exchange forensics forensic-analysis

Matt 18 июн '15 в 00:23 2015-06-18 00:23 · Accepted Answer · 2015-06-18 00:23

Краткий ответ: нет.

Предполагая, что вы используете Outlook с MAPI (использование IMAP или какого-либо другого протокола может только сказать вам, что сообщение было получено почтовым клиентом, большинство из которых в любом случае автоматически синхронизируются по расписанию). Даже если бы был способ определить, когда письмо было помечено как прочитанное (и я сомневаюсь, что оно есть, но не могу сказать наверняка), оно все равно ничего не доказывает. У меня, например, есть настройка Outlook для автоматической пометки электронных писем как прочитанных через пять секунд.

Без подтверждения самих пользователей о том, что они прочли письмо, невозможно "доказать" его. Лучшее, что вы можете сделать, это собрать доказательства, которые кажутся показательными для определенного поведения. Но это не сработает в суде.

Самое главное, однако, что пользователь не несет ответственности в любом случае. Электронная почта не считается безопасной формой общения и не должна использоваться для конфиденциальной информации. Исключением является то, что если вы настроили какое-то шифрование (доступно множество), но, учитывая, что данный человек смог прочитать содержимое письма, можно с уверенностью предположить, что этого не произошло.

Может существовать некоторый организационный прецедент, который определяет, были ли действия пользователя при пересылке электронного письма обоснованными или приемлемыми (прочитав сообщение с просьбой удалить его или нет, можно утверждать, что разумный человек посчитает содержимое конфиденциальным и / или или не подходит для пересылки). Но это вопрос для вашего отдела кадров.