Я пытаюсь провести криминалистический анализ на сервере обмена и хотел бы определить, в какое время пользователь прочитал конкретное письмо. Есть ли способ — возможно, с помощью инструмента типа mfcmapi или другого инструмента с открытым исходным кодом или коммерческого инструмента, который может предоставить эту информацию?
В частности, конфиденциальное письмо было случайно отправлено пользователю, за которым немедленно последовало письмо, информирующее пользователя о случайном нарушении и требующее удалить сообщение и не делиться им. Пользователь утверждает, что он отправил его только на свой собственный аккаунт, поскольку нарушение содержало его личную информацию, и что он не видел последующего сообщения, пока не отправил себе копию этого сообщения. Я хотел бы доказать, что пользователь прочитал второе сообщение, прежде чем переслать первое (т. е. конфиденциальное) письмо.
Если нет уведомлений о прочтении, есть ли способ это доказать?
Спасибо
решение1
Короткий ответ - нет.
Предположим, что вы используете Outlook с MAPI (использование IMAP или какого-либо другого протокола может сказать вам только то, что сообщение было получено почтовым клиентом, большинство из которых в любом случае автоматически синхронизируются по расписанию). Даже если бы был способ определить, когда письмо было отмечено как прочитанное (а я сомневаюсь, что он есть, но не могу сказать наверняка), это все равно ничего не доказывает. Например, у меня Outlook настроен на автоматическую пометку писем как прочитанных через пять секунд.
Без подтверждения от самого пользователя, что он прочитал письмо, нет способа "доказать" это. Лучшее, что вы можете сделать, это собрать доказательства, которые кажутся указывающими на определенное поведение. Но это не выдержит суда.
Но самое главное, что пользователь ни в коем случае не несет ответственности. Электронная почта не считается безопасной формой общения и не должна использоваться для конфиденциальной информации. Исключением является случай, когда вы установили какое-то шифрование (доступно множество), но, учитывая, что указанное лицо смогло прочитать содержимое письма, можно с уверенностью предположить, что этого не было.
Может существовать некий организационный прецедент, который определяет, были ли действия пользователя по пересылке электронного письма разумными или приемлемыми (прочитав сообщение с просьбой удалить его или нет, можно утверждать, что разумный человек посчитает содержимое конфиденциальным и/или нецелесообразным для пересылки). Но это вопрос к вашему отделу кадров.