Estoy intentando hacer un análisis forense en un servidor Exchange y me gustaría determinar a qué hora un usuario lee un correo electrónico en particular. ¿Hay alguna manera, tal vez con una herramienta como mfcmapi u otra herramienta comercial o de código abierto que pueda proporcionar esta información?
Específicamente, se envió accidentalmente un correo electrónico confidencial a un usuario, seguido inmediatamente de un correo electrónico informándole de la infracción accidental y ordenándole que eliminara el mensaje y no lo compartiera. El usuario afirma que solo lo envió a su propia cuenta ya que la infracción contenía su propia información personal, y que no vio el mensaje de seguimiento hasta que ya se había enviado una copia de ese mensaje. Me gustaría demostrar que el usuario leyó el segundo mensaje antes de reenviar el primer correo electrónico (es decir, confidencial).
En ausencia de recibos de lectura, ¿hay alguna forma de demostrarlo?
Gracias
Respuesta1
La respuesta corta es no.
Suponiendo que está usando Outlook con MAPI (usar IMAP o algún otro protocolo solo podría indicarle que el mensaje fue recuperado por un cliente de correo, la mayoría de los cuales se sincroniza automáticamente según un cronograma de todos modos). Incluso si hubiera una manera de identificar cuándo el correo electrónico se marcó como leído (y dudo que la haya, pero no puedo asegurarlo), todavía no prueba nada. Yo, por ejemplo, tengo configurado Outlook para marcar automáticamente los correos electrónicos como leídos después de cinco segundos.
Sin la confirmación por parte del propio usuario de que leyó el correo electrónico, no hay forma de "probarlo". Lo mejor que puede hacer es acumular un conjunto de pruebas que parezcan indicativas de un determinado comportamiento. Pero no se sostendría ante un tribunal de justicia.
Pero lo más importante es que el usuario no es responsable en ningún caso. El correo electrónico no se considera una forma segura de comunicación y no debe utilizarse para obtener información confidencial. La excepción a esto es si ha configurado algún tipo de cifrado (hay muchos disponibles), pero dado que la persona en cuestión pudo leer el contenido del correo electrónico, es seguro asumir que esto no estaba implementado.
Puede haber algún precedente organizacional que determine si las acciones del usuario al reenviar el correo electrónico fueron razonables o aceptables (después de haber leído el mensaje pidiéndole que lo elimine o no, se podría argumentar que una persona razonable consideraría que el contenido es confidencial y/o o no apropiado para ser reenviado). Pero esa es una pregunta para su departamento de recursos humanos.