Non ripudio in Exchange / Outlook senza firme digitali

A meno che non ci sia qualche configurazione speciale che non conosco:

1. utente di Joe. Esiste una funzione Edit , nascosta proprio lì sotto Other Actions (in Outlook 2007, almeno ...). Nota che puoi vederlo solo quando lo apri nella visualizzazione completa dei messaggi, e non nel pannello di anteprima (come di solito lo leggo ...). Nota anche che questo non è disponibile tramite OWA.
   Potrebbe essere possibile configurare le cassette postali di Exchange per impedirlo, ma non ho familiarità con una tale configurazione (e nessun Exchange è a portata di mano adesso per controllare, scusa).
   Modifica: è una buona domanda, quali parti possono essere modificate: soggetto / corpo / allegati sono facili. I destinatari e i timestamp non sono abilitati dall'interfaccia utente di Outlook, quindi almeno JoeUser non sarà così facile con questi campi ... Tuttavia, sono sicuro che è possibile modificarli, usando altri strumenti (o modificando direttamente il file ), ma non mi è familiare. Nota anche l'aggiunta al prossimo punto ...

2. Outlook! :)
   D'altra parte, non ho approfondito i formati di file o la scientifica: è possibile che Outlook tenga traccia delle modifiche ai messaggi ricevuti, all'interno del file.
   Inoltre, si noti che presumo che stiamo parlando di messaggi ricevuti , non inviati - è banale falsificare qualsiasi tipo di messaggio inviato richiesto, senza effettivamente inviarlo.
   Oltre al precedente, tieni presente che se l'email non è firmata è semplice inviarti un falso messaggio e-mail, che dichiara di provenire da qualsiasi altro utente tu voglia. A quel punto, ovviamente, puoi contraffare qualsiasi parte dell'email che desideri. (Ciò dipende, tuttavia, dalla tua configurazione di Exchange - per impostazione predefinita, è possibile inviare messaggi SMTP quasi arbitrari, sebbene questo possa naturalmente essere modificato, come dovrebbe essere).

3. Non può - in nessuna direzione. Tranne, forse, un rigido regime di riserva. 'Ovviamente, sarebbe ancora una pila di lavoro fumante, per estrarre i messaggi esatti, e dimostrare che era il messaggio originariamente ricevuto - questo probabilmente potrebbe essere fatto solo se i backup sono stati impostati correttamente in primo luogo (es. fare il backup del messaggio come ricevuto, e non solo quello che l'utente fa nella sua casella di posta).
   Inoltre, non includo qui alcuna forma di analisi comportamentale ...

Ma c'è un motivo per cui sono richieste le firme digitali.

Questa impostazione non fornisce non ripudio. Il non ripudio è molto difficile da raggiungere e, in base a ciò che sto ascoltando, non sei neanche lontanamente vicino.

In base alla tua descrizione, non sarai in grado di dimostrare la validità delle e-mail solo attraverso argomenti tecnici. Dovrai usare argomenti non tecnici. Potresti trovare altri testimoni per testimoniare ciò che c'è nelle email. Si potrebbe obiettare che ciò che è nelle e-mail è coerente con altre fonti di prova: idealmente si potrebbe mostrare una costellazione di prove interconnesse che è così travolgente, autoconsistente e diversificata che non c'è altra plausibile interpretazione.

Ma la raccolta di e-mail sul server non dimostra nulla. Potrebbe essere stato modificato, per quanto ne sai tu: almeno, non puoi escluderlo ragionevolmente, in base alle informazioni che ci fornisci qui.

In primo luogo, sto interpretando la tua domanda per indicare che gli utenti finali non utilizzeranno le firme digitali. Non possono essere infastiditi, ecc. Rispondo a questo con l'uso di firme non interattive sul server che l'utente finale non vedrebbe mai o sarà interessato da.

Domanda 1: ... quanto è facile per i dipendenti sospetti alterare la prova di e-mail non firmata ... nella loro Posta in arrivo? ... nel loro file PST?

Poiché l'utente ha il controllo per modificare qualsiasi cosa sul proprio computer locale e per eliminare o creare elementi a piacimento sul server, si deve presumere che sia banale.

Domanda 2: Quali tipi di strumenti potrebbero essere utilizzati per modificare questa prova di e-mail non firmata? (Oppure, può essere fatto facilmente senza strumenti specializzati?)

Un editor di testo, un editor esadecimale o persino Outlook stesso possono essere opzioni.

Domanda 3: In che modo Acme Corp. può difendere (o smentire) la validità delle e-mail non firmate?

Qualsiasi cosa inviata tramite Exchange deve essere inviata da un client autenticato o da SMTP. I tuoi utenti interni non dovrebbero usare SMTP. Non consentirei che nulla affermi che uno dei tuoi utenti possa essere ricevuto o inoltrato sul tuo server Exchange tramite SMTP. Registrerei tutte le email che sono state inviate dalla tua azienda. Se si firmano le e-mail in sequenza con la firma dell'ultima e-mail inclusa nel testo firmato per la successiva e-mail, è possibile creare una catena che provi almeno l'ordine di invio delle e-mail. Questo può aiutare a mostrare in modo affidabile il tempo di invio di una e-mail e impedirà a chiunque di modificare o rimuovere qualcosa in passato senza che venga rilevato nella catena.

Se si fa il passo di salvare e firmare ogni e-mail e si consente solo l'invio di e-mail attraverso il server con mezzi autenticati, allora qualsiasi e-mail inviata attraverso il server dovrebbe essere verificabile. Puoi anche verificare che nessuna email sia stata successivamente rimossa. Attacchi probabili rimanenti:

• Le credenziali di un utente sono compromesse. L'e-mail sembra essere legittimamente da loro.
• Qualcuno invia email attraverso un altro server. Il tuo cliente / cliente / ecc. Non se ne rende conto.
• Qualcuno con il controllo del server invia un'email e in qualche modo la rimuove dalla coda di firma.

Domanda 3 (parte 1):

Se il messaggio è stato inviato tra due società o tra due relay SMTP che utilizzano DKIM (uno strumento anti-spam) potrebbe esserci una firma digitale segreta di cui potrebbero non essere a conoscenza.

Si può dimostrare che un messaggio non è stato modificato se il messaggio ha una firma DKIM e passa. Questa è una firma nascosta che la maggior parte delle persone non pensa che non sia correlata a SMIME e che sia spesso inclusa segretamente nei messaggi. Ad esempio, Yahoo e GMail DKIM firmano tutti i messaggi in uscita all'insaputa di mittenti o destinatari. A seconda del tuo scenario, è possibile che i messaggi che ti preoccupano siano firmati da DKIM, ma la presenza di questa firma è sconosciuta a te o al tuo cliente.

Basta sapere che una firma DKIM

• ... non è SMIME (spesso chiamato firma digitale)
• ... non verrà visualizzato nei browser Web / Outlook anche se esiste
• ... è uno strumento utilizzato nelle tecnologie anti-spam
• ... non può firmare l'intero messaggio, o una parte in esso (tramite il parametro -l, o omettendo le intestazioni chiave del messaggio)
• ... Può fallire se un server SMTP intermedio modifica il messaggio (mailing list, homebrew SMTP forwarder, ecc.)

In generale, un messaggio DKIM firmato passerà se non viene modificato. Se un messaggio DKIM fallisce, c'è una piccola possibilità che un ingegnere / sviluppatore di email esperto possa fare "passare" la crittografia se l'errore è dovuto esclusivamente ai problemi dell'infrastruttura.

TL; DR - Un messaggio DKIM firmato che passa AND firma da, a, oggetto e corpo indica che il messaggio non è stato modificato. Un fallimento di DKIM non significa nulla (malinteso o altro).

(Parte 2)

Al di fuori di un passaggio DKIM, non è possibile dimostrare che i messaggi non sono stati manomessi in questa situazione. Tuttavia potrebbe esserci un modo per rilevare la manomissione guardando le proprietà MAPI del messaggio. Per i principianti la proprietà "Intestazione" conterrà il soggetto originale se la riga dell'oggetto è stata modificata.

Se il messaggio è stato modificato ci sono vari timbri Data / Ora interni che possono essere aggiornati e, a seconda della versione di Outlook, anche il nome utente che ha modificato il messaggio è memorizzato nel messaggio. Quando l'ho esaminato per ultimo, c'era una differenza tra i campi che sono stati aggiornati durante lo spostamento di un messaggio (da una cartella all'altra), facendo clic con il pulsante destro del mouse e modificando il messaggio (o contrassegnandolo come letto).

Il corpo del messaggio è memorizzato in almeno due posizioni in un messaggio MAPI: la versione in testo normale, una versione rich text e l'originale. È possibile che una versione modificata del messaggio aggiorni una (ma non tutte) le istanze del messaggio.

Se il messaggio risiede sul database del server Exchange, il messaggio può risiedere in uno o più "flussi". Questi flussi di messaggi esistono per l'utilizzo esclusivo di MAPI o OWA e talvolta non sono sincronizzati. Ciò può accadere se un messaggio viene modificato e "promozione proprietà" potrebbe essere in grado di far luce su un messaggio modificato.

Detto questo, al di fuori di DKIM o SMIME non c'è nulla che provi che un messaggio non sia modificato, tuttavia potrebbe esserci un modo per dimostrare che è stato alterato.

Lo strumento che devi studiare su queste proprietà di basso livello è chiamato MFCMapi .