我正在嘗試對交換伺服器進行取證分析,並且我想確定用戶閱讀特定電子郵件的時間。有什麼辦法 - 也許使用 mfcmapi 等工具或其他開源或商業工具可以提供此資訊?
具體來說,一封機密電子郵件意外發送給用戶,隨後立即收到一封電子郵件,通知用戶意外洩露並指示用戶刪除該訊息而不是共享該訊息。該用戶聲稱,他們只將其發送到自己的帳戶,因為洩露事件包含他們自己的個人訊息,直到他們向自己發送了該訊息的副本後,他們才看到後續訊息。我想證明用戶在轉發第一封(即機密)電子郵件之前閱讀了第二封郵件。
在沒有閱讀回執的情況下,有什麼辦法可以證明這一點嗎?
謝謝
答案1
最簡潔的答案是不。
假設您使用具有 MAPI 的 Outlook(使用 IMAP 或某些其他協定只能告訴您該郵件是由郵件用戶端檢索的,其中大多數用戶端無論如何都會按計劃自動同步)。即使有一種方法可以識別電子郵件何時被標記為已讀(我懷疑是否存在,但不能肯定),它仍然不能證明任何事情。例如,我將 Outlook 設定為在五秒鐘後自動將電子郵件標記為已讀。
如果使用者自己沒有確認他們已閱讀電子郵件,則無法「證明」這一點。你能做的最好的事情就是建立一系列似乎表明某種行為的證據。但它在法庭上是站不住腳的。
但最重要的是,用戶在任何情況下都不承擔責任。電子郵件不被視為一種安全的通訊形式,並且不應用於機密資訊。例外情況是,如果您設定了某種加密(有很多可用的加密),但考慮到相關人員能夠讀取電子郵件的內容,則可以安全地假設加密沒有到位。
可能存在一些組織先例來決定使用者轉發電子郵件的行為是否合理或可接受(在閱讀了要求他們刪除或不刪除該郵件的訊息後,一個理性的人可能會認為該內容是機密的和/或不適合轉發)。但這是你的人力資源部門的問題。