Standard IANAL (né sono un investigatore forense da nessuna parte dell'immaginazione). Per costruire su ciò che S.L. Barth aveva detto ma avrei contestato la validità di any "E-mail Evidence" che non è stato stampato con un set completo di intestazioni SMTP.
Quando un'e-mail viene inviata da una persona a un'altra, non ci sono Meta Data che non vengono visualizzati a meno che non si cerchi di cercarla. In Gmail può essere visto facendo clic su "Visualizza originale".
Esempio sotto (offuscato alcuni campi):
Return-Path: <[email protected]>
Received: from [10.30.0.208] ([123.123.123.123])
by smtp.gmail.com with ESMTPSA id n11123asdae.53.2017.03.18.12.34.27
for <[email protected]>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Sat, 18 Mar 2017 12:34:27 -0800 (PST)
From: DKNUCKLES <[email protected]>
Content-Type: multipart/alternative; boundary=Apple-Mail-F6FF500D-9577-4180-8332-FBB2009D1611
Content-Transfer-Encoding: 7bit
Mime-Version: 1.0 (1.0)
Date: Sat, 18 Mar 2017 15:34:27 -0500
Subject: Re: TEST EMAIL
Message-Id: <[email protected]>
References: <YTOPR01MB057036B613C0867C749A60E7D25A0@YTOPR01MB0570.TEST.TEST.TEST.COM>
In-Reply-To: <YTOPR01MB057036B613C0867C749A60E7D25A0@YTOPR01MB0570.TEST.TEST.TEST.COM>
To: Receiver <[email protected]>
X-Mailer: iPhone Mail (14D27)
Ora quanto sopra può apparire incomprensibile per molti, tuttavia ci possono essere informazioni importanti qui che potrebbero provare o confutare (almeno, lanciare un dubbio considerevole) sull'autenticità di un'e-mail. Sì, è possibile che questo possa essere falsificato, ma chiunque abbia fatto dovrebbe sapere cosa stanno facendo.
Campi interessanti
Ricevuto: da : questo è l'indirizzo IP pubblico privato della rete di invio. L'e-mail è stata presumibilmente inviata da casa sua? Avete delle e-mail che avete inviate da casa sua? Lo schema dell'indirizzo IP privato corrisponde? Se non è probabile una potenziale contraffazione.
di smtp.gmail.com con ID ESMTPSA .... : questo ID ESMTPSA è formato sulla base della data e dell'ora inviate. Se c'è un disallineamento con questi numeri e la "Data di invio", allora sai che questo è stato falsificato.
In-Reply-To (se applicabile) - Queste informazioni contengono le informazioni sul server del server a cui questa email è in risposta. Se il mittente ha copiato e incollato le intestazioni da un'altra e-mail a un altro provider (dichiara di essere inviato a Gmail ma in realtà è stato inviato a outlook.com), allora queste informazioni sarebbero incoerenti.
S.L. Barth ha assolutamente ragione nell'affermare che l'unico vero modo per confermare l'autenticità è vedere gli elementi inviati, tuttavia se non riesce a produrre l'email con un set completo di intestazioni accurate allora puoi esprimere un ragionevole dubbio come per l'autenticità di quell'email.