Я пытаюсь провести криминалистический анализ на сервере обмена и хочу определить, в какое время пользователь читает конкретное электронное письмо. Есть ли какой-нибудь способ - возможно, с помощью такого инструмента, как mfcmapi, или другого открытого или коммерческого инструмента, который может предоставить эту информацию?
В частности, пользователю было случайно отправлено конфиденциальное электронное письмо, за которым сразу последовало электронное письмо, информирующее пользователя о случайном нарушении и предлагающее пользователю удалить сообщение, а не делиться им. Пользователь утверждает, что он отправил его только на свою учетную запись, поскольку нарушение содержало его личную информацию, и что они не видели последующее сообщение до тех пор, пока не отправили себе копию этого сообщения. Я хочу доказать, что пользователь прочитал второе сообщение перед пересылкой первого (т. Е. Конфиденциального) электронного письма.
Есть ли способ доказать это при отсутствии квитанций о прочтении?
Спасибо
Краткий ответ: нет.
Предполагая, что вы используете Outlook с MAPI (использование IMAP или какого-либо другого протокола может только сказать вам, что сообщение было получено почтовым клиентом, большая часть которого в любом случае синхронизируется автоматически по расписанию). Даже если бы существовал способ определить, когда письмо было помечено как прочитанное (а я сомневаюсь, что есть, но не могу сказать наверняка), он все равно ничего не доказывает. У меня, например, есть настройка Outlook, чтобы автоматически отмечать электронные письма как прочитанные через пять секунд.
Без подтверждения от самого пользователя, что он прочитал письмо, невозможно «доказать» это. Лучшее, что вы можете сделать, - это собрать совокупность доказательств, которые, кажется, указывают на определенное поведение. Но в суде это не пройдет.
Однако, что наиболее важно, пользователь ни в коем случае не несет ответственности. Электронная почта не считается безопасной формой связи и не должна использоваться для передачи конфиденциальной информации. Исключением является то, что вы настроили какое-то шифрование (доступно множество), но, учитывая, что этот человек смог прочитать содержимое электронного письма, можно с уверенностью предположить, что этого не было.
Может существовать некоторый организационный прецедент, который определяет, были ли действия пользователя при пересылке электронной почты разумными или приемлемыми (прочитав сообщение с просьбой удалить его или нет, можно утверждать, что разумный человек сочтет содержимое конфиденциальным и / или или не подходит для пересылки). Но это вопрос к вашему отделу кадров.