Encontrando tempos de leitura de e-mail no servidor Exchange

Encontrando tempos de leitura de e-mail no servidor Exchange

Estou tentando fazer uma análise forense em um servidor Exchange e gostaria de determinar a que horas um usuário leu um determinado e-mail. Existe alguma maneira - talvez com uma ferramenta como o mfcmapi ou outra ferramenta comercial ou de código aberto que possa fornecer essas informações?

Especificamente, um e-mail confidencial foi enviado acidentalmente a um usuário, seguido imediatamente por um e-mail informando o usuário sobre a violação acidental e orientando-o a excluir a mensagem e não compartilhá-la. O usuário afirma que a enviou apenas para sua própria conta, uma vez que a violação continha suas próprias informações pessoais, e que não viu a mensagem de acompanhamento até já ter enviado para si mesmo uma cópia dessa mensagem. Gostaria de provar que o usuário leu a segunda mensagem antes de encaminhar o primeiro email (ou seja, confidencial).

Na ausência de recibos de leitura, há alguma forma de provar isso?

Obrigado

Responder1

A resposta curta é não.

Supondo que você esteja usando o Outlook com MAPI (o uso de IMAP ou algum outro protocolo só pode informar que a mensagem foi recuperada por um cliente de e-mail, a maioria dos quais é sincronizada automaticamente de acordo com uma programação). Mesmo que houvesse uma forma de identificar quando o e-mail foi marcado como lido (e duvido que exista, mas não posso dizer com certeza), isso ainda não prova nada. Eu, por exemplo, tenho o Outlook configurado para marcar automaticamente e-mails como lidos após cinco segundos.

Sem a confirmação do próprio usuário de que leu o e-mail, não há como “provar” isso. O melhor que você pode fazer é construir um conjunto de evidências que pareça indicativo de um determinado comportamento. Mas isso não se sustentaria em um tribunal.

O mais importante, porém, é que o usuário não é responsável em nenhum caso. O e-mail não é considerado uma forma segura de comunicação e não deve ser usado para informações confidenciais. A exceção a isso é se você configurou algum tipo de criptografia (há muitas disponíveis), mas como a pessoa em questão conseguiu ler o conteúdo do e-mail, é seguro presumir que isso não estava em vigor.

Pode haver algum precedente organizacional que rege se as ações do usuário ao encaminhar o e-mail foram razoáveis ​​ou aceitáveis ​​(depois de ler a mensagem pedindo para excluí-lo ou não, pode ser discutível que uma pessoa razoável consideraria o conteúdo confidencial e/ ou não apropriado para ser encaminhado). Mas essa é uma questão para o seu departamento de RH.

informação relacionada