Come dimostrare che qualcuno ti ha inviato un'email?

Sembra che il tuo messaggio sia firmato usando DKIM che è buono, perché questo fornisce la prova crittografica che il server di posta mittente ha inviato il messaggio e verifica l'integrità di diversi campi chiave come gli indirizzi di andata e ritorno. Supponendo che il server di posta mittente possa essere considerato attendibile per autenticare correttamente l'utente mittente (ad esempio tramite il suo login), questo in sostanza dimostra che l'utente in questione lo ha inviato.

Fornirei l'intera intestazione alle autorità, ma la sezione che assomiglia a questa sarà la più importante:

X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=1e100.net; s=20130820;
h=mime-version:message-id:date:subject:from:to:cc:content-type;
bh=62R0FTDx1ty9lsn/QNK3rrnxESP0zwJj1ca95CbZzxQ=;
b=JAd1gFDtEKmA+KtSYuALKekaVb150ZFfqxluvTb6nc3pi5n2l8EE8BjZFTlyuif+h9
aGk6MyYrsBLFYjAQtweTcBlChVvBTw01mhJKGrKEVAKrnmHNknN9ivoV90/7024UEjGJ
w5VOtjmTC0lBCYIrnuqK13yDbjx2Ra4SzJ62RaUpoM4eECsJbBLK9BK0TULg92ozfwf9
UHF4ozrXIyTgeG87ifDtuz5ddrwFvP47mgoqP7ENaXsxhGFZqHOFJly7jrvNbWEWEfRX
ygY2Miuu/DnB1g1C/ahGq8VtQvb0XmVEK4XESJPBgP3F0wfpT4MrGbJbYiW3Z9SIiA1F
jhXw==

Il tuo server di posta potrebbe automaticamente convalidare la firma DKIM e includere il risultato della convalida in un'intestazione come "dkim = pass", ma non devi fidarti di questo e potresti verificare la firma tu stesso se lo hanno interrogato.

Le intestazioni dell'e-mail conterranno le tracce dei server che sono stati utilizzati e l'account di origine. Ma le autorità lo sanno e si prenderanno cura di esso.

Oltre alla prova tecnica, è anche possibile confrontare parole e frasi per fornire una probabilità che una persona abbia inviato una e-mail. Le e-mail minatorie tendono ad essere creative e forniscono molte caratteristiche uniche. Non è una prova, ma aumenta la probabilità.

Modifica Puoi anche eseguire le stringhe di intestazione tramite un parser . Questo ti dirà (e il tuo pubblico) molto.

What steps do I need to take in order to prove this individual did send these emails?

Non puoi con le sole informazioni che hai sul tuo MX. Non puoi tecnicamente entrambi (le informazioni dell'altra MX non sono accessibili per te) e legalmente (non ti è permesso indagare o perseguire).

Fornisci prove

Questo è il lavoro per le tue autorità, che saranno armate per condurre questa indagine con successo, se e solo se le fornisci:

• il messaggio originale nella sua versione originale, vale a dire one uniq piece of raw text , contenente un lungo elenco di intestazioni e un lungo insieme di contenuti,
• l'estratto corretto dai tuoi registri MX che mostra gli eventi esatti relativi a questo esatto messaggio (identificato dal suo uniq MSGID): ricezione e consegna.

Proteggi le prove

Devi mantenere queste due prove protette da ogni manomissione (interna o esterna). La cosa migliore sarebbe tenerli offline con la loro data originale (qualsiasi passaggio attraverso qualcosa come un editor di testo li corromperà e renderà la tua azione inutile e offensiva.

Sfortunatamente nascondersi dietro una negazione plausibile non è necessariamente un piano irrealistico da parte del mittente dell'e-mail.

Come già discusso, le firme DKIM possono verificare l'autenticità di una e-mail e sono state effettivamente inviate dal provider di posta elettronica da un indirizzo a un altro. Il problema è che questo non dimostra che una particolare persona ha inviato l'email - solo che il suo account è stato utilizzato per inviare l'email. Se è possibile ottenere l'indirizzo IP di origine dal provider di posta elettronica (nelle intestazioni o altrove) e rintracciarlo in una particolare posizione fisica (che può essere difficile dopo il fatto se l'indirizzo IP di casa è cambiato), si potrebbe anche stabilire che il loro account è stato utilizzato per inviare l'e-mail dalla loro casa, MA ...

Qualcuno che la pensa un po 'di più potrebbe comunque avere molte opzioni, soprattutto tenendo presente che con accuse criminali il livello di prova rilevante è "Oltre ogni ragionevole dubbio". Cioè (detto dalla persona che viene accusata di aver inviato le e-mail):

1. Ho avuto molti problemi con virus e malware sul mio computer in quel momento. Scommetto che la mia e-mail è stata violata (e sì, come professionista della sicurezza, alzo gli occhi al cielo, ma non significa che non funzionerà)
2. Il mio figlio adolescente (aka minorenne) mi ha sentito lamentarsi di [COMPANYNAME] e mi ha confessato di aver effettuato l'accesso al mio computer e di aver inviato loro alcune e-mail (probabilmente un sacco di persone là fuori disposte a lanciare i loro bambini sotto l'autobus, soprattutto perché i ragazzini potrebbero non vedere alcuna ripercussione).
3. Ho lasciato il mio computer aperto a starbucks mentre andavo in bagno e quando sono tornato dopo 5 minuti qualcuno era sul mio computer. Sono scappati quando ho urlato contro di loro ma non ho visto niente, quindi mi sono dimenticato di questo fino ad ora ... (ovviamente non funzionerà se hai legato l'email a casa loro)

Certo, a seconda delle circostanze, simili storie potrebbero far ridere qualcuno fuori dalla stanza, ma potrebbero non farlo. Non posso avanzare pretese su questo, perché tutto ciò che so sulle aule di tribunale ho imparato dai programmi televisivi sulla criminalità. Comunque penso che sia importante tenere a mente che tutto quello che puoi davvero provare è che per mandare un'email è stato usato un account di posta elettronica di una determinata persona. Non è nemmeno possibile dimostrare che sia successo da una determinata località - solo che per inviare l'e-mail è stato utilizzato un computer nel luogo indicato. Dopotutto se qualcuno remoto si collegava a un computer a casa di qualcuno e lo usava per inviare una e-mail, il provider di posta elettronica vedrebbe comunque la casa della persona come l'endpoint "originario", anche se non lo è realmente.

Probabilmente il modo migliore per "dimostrare" che una particolare persona ha inviato l'e-mail è guardando le specifiche della lingua (ad esempio la risposta di Schroeder).

La legislazione dell'UE è piuttosto chiara a riguardo. Dice che l'e-mail non è stata inviata fino a quando il destinatario conferma (risposta) per e-mail. L'interpretazione della legislazione è abbastanza ragionevole, mentre finché l'e-mail non si trova in un sistema sotto il controllo del mittente, tutto può accadere. Pertanto, non è possibile dimostrare che l'e-mail sia stata inviata fino a quando il destinatario non risponde a questa particolare e-mail.