Ich versuche, eine forensische Analyse auf einem Exchange-Server durchzuführen, und möchte feststellen, wann ein Benutzer eine bestimmte E-Mail gelesen hat. Gibt es eine Möglichkeit – vielleicht mit einem Tool wie mfcmapi oder einem anderen Open-Source- oder kommerziellen Tool, das diese Informationen bereitstellen kann?
Konkret wurde einem Benutzer versehentlich eine vertrauliche E-Mail gesendet, unmittelbar gefolgt von einer E-Mail, die den Benutzer über den versehentlichen Verstoß informierte und ihn anwies, die Nachricht zu löschen und nicht weiterzugeben. Der Benutzer behauptet, dass er sie nur an sein eigenes Konto gesendet habe, da der Verstoß seine eigenen persönlichen Daten enthielt, und dass er die Folgenachricht erst gesehen habe, nachdem er sich bereits selbst eine Kopie dieser Nachricht gesendet hatte. Ich möchte beweisen, dass der Benutzer die zweite Nachricht gelesen hat, bevor er die erste (also vertrauliche) E-Mail weitergeleitet hat.
Gibt es eine Möglichkeit, dies nachzuweisen, wenn keine Lesebestätigungen vorliegen?
Danke
Antwort1
Die kurze Antwort lautet: Nein.
Angenommen, Sie verwenden Outlook mit MAPI (die Verwendung von IMAP oder eines anderen Protokolls könnte Ihnen nur sagen, dass die Nachricht von einem E-Mail-Client abgerufen wurde, von denen die meisten ohnehin automatisch nach einem Zeitplan synchronisiert werden). Selbst wenn es eine Möglichkeit gäbe, festzustellen, wann die E-Mail als gelesen markiert wurde (und ich bezweifle, dass es eine gibt, kann es aber nicht mit Sicherheit sagen), beweist dies immer noch nichts. Ich habe Outlook beispielsweise so eingerichtet, dass E-Mails nach fünf Sekunden automatisch als gelesen markiert werden.
Ohne die Bestätigung des Benutzers selbst, dass er die E-Mail gelesen hat, gibt es keine Möglichkeit, dies zu „beweisen“. Das Beste, was Sie tun können, ist, Beweise zusammenzutragen, die auf ein bestimmtes Verhalten hindeuten. Aber vor Gericht wäre das nicht haltbar.
Am wichtigsten ist jedoch, dass der Benutzer in keinem Fall zur Verantwortung gezogen werden kann. E-Mail gilt nicht als sichere Kommunikationsform und sollte nicht für vertrauliche Informationen verwendet werden. Eine Ausnahme besteht, wenn Sie eine Art Verschlüsselung eingerichtet haben (davon gibt es viele), aber da die betreffende Person den Inhalt der E-Mail lesen konnte, kann man davon ausgehen, dass dies nicht der Fall war.
Möglicherweise gibt es einen organisatorischen Präzedenzfall, der bestimmt, ob die Aktionen des Benutzers beim Weiterleiten der E-Mail angemessen oder akzeptabel waren (nachdem er die Nachricht mit der Aufforderung zum Löschen gelesen hat oder nicht, könnte man argumentieren, dass eine vernünftige Person den Inhalt als vertraulich und/oder nicht zur Weiterleitung geeignet erachten würde). Aber das ist eine Frage für Ihre Personalabteilung.