如何证明有人给你发了邮件?

信息安全 电子邮件
2021-09-08 16:38:11

关于如何证明您发送了电子邮件也有类似的问题,但我想知道是否可以证明第三方向我发送了电子邮件。

一个人向我的公司发送了一些非常具有威胁性的电子邮件,足以保证向当局提供电子邮件副本。现在,这个人声称他没有发送电子邮件,而且它们是假的。他甚至在最后一封电子邮件中说他会侥幸成功,因为电子邮件很容易伪造,所以没有人会相信是他发送的。

我有电子邮件、标题等,但我不知道我能提供什么来显示特定邮件服务器发送了电子邮件或 IP 地址或任何东西。

我需要采取哪些步骤来证明此人确实发送了这些电子邮件?

4个回答

听起来您的邮件是使用 DKIM 签名的,这很好,因为这提供了发送邮件服务器发送邮件的加密证明,并验证了几个关键字段的完整性,例如收件人地址。假设可以信任发送邮件服务器以正确验证发送用户的身份(例如,通过他们的登录名),那么这基本上证明了有问题的用户发送了它。

我会将整个标题提供给当局,但看起来像这样的部分将是最重要的:

X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=1e100.net; s=20130820;
h=mime-version:message-id:date:subject:from:to:cc:content-type;
bh=62R0FTDx1ty9lsn/QNK3rrnxESP0zwJj1ca95CbZzxQ=;
b=JAd1gFDtEKmA+KtSYuALKekaVb150ZFfqxluvTb6nc3pi5n2l8EE8BjZFTlyuif+h9
aGk6MyYrsBLFYjAQtweTcBlChVvBTw01mhJKGrKEVAKrnmHNknN9ivoV90/7024UEjGJ
w5VOtjmTC0lBCYIrnuqK13yDbjx2Ra4SzJ62RaUpoM4eECsJbBLK9BK0TULg92ozfwf9
UHF4ozrXIyTgeG87ifDtuz5ddrwFvP47mgoqP7ENaXsxhGFZqHOFJly7jrvNbWEWEfRX
ygY2Miuu/DnB1g1C/ahGq8VtQvb0XmVEK4XESJPBgP3F0wfpT4MrGbJbYiW3Z9SIiA1F
jhXw==

您的邮件服务器可能会自动验证 DKIM 签名并将验证结果包含在诸如“dkim=pass”之类的标头中,但您不必相信这一点,如果他们质疑签名,您可以自己验证签名。

电子邮件的标题将包含所使用的服务器和原始帐户的跟踪。但当局知道这一点,并将处理它。

除了技术证明之外,还可以比较措辞和措辞,以提供个人发送电子邮件的可能性。威胁性电子邮件往往具有创造性并提供许多独特的特征。这不是证据,但它增加了可能性。

编辑 您还可以通过解析器运行标题字符串。这会告诉你(和你的观众)很多。

我需要采取哪些步骤来证明此人确实发送了这些电子邮件?

您不能仅使用 MX 上的信息。您不能同时在技术上(您无法访问来自其他 MX 的信息)和法律上(您不得调查或起诉)。

提供证据

这是您的当局的工作,当且仅当您向他们提供:

  • 原始版本中的原始消息,即一个 uniq 原始文本,包含一长串标题和一长串内容,
  • 从您的 MX 日志中正确提取显示与此确切消息相关的确切事件(由其 uniq MSGID 标识):接收和传递。

保护证据

您必须保护这两个证据免受任何篡改(内部或外部)。最好的办法是让它们在原始日期下保持离线(任何通过文本编辑器之类的东西都会破坏它们并使您的操作无用和滥用)。

不幸的是,隐藏在看似合理的否认背后并不一定是电子邮件发件人的不切实际的计划。

如前所述,DKIM 签名可以验证电子邮件的真实性,以及它确实是由电子邮件提供商从一个地址发送到另一个地址的。问题在于,这并不能证明是某个特定的发送了电子邮件——只能证明他们的帐户被用来发送电子邮件。如果您可以从电子邮件提供商处获取原始 IP 地址(在标头中或其他地方)并将其追踪到特定的物理位置(如果家庭 IP 地址已更改,这在事后可能很难),那么您可以甚至确定他们的帐户被用来从他们家发送电子邮件,但是......

稍微考虑一下这一点的人可能仍然有很多选择,特别是请记住,对于刑事指控,相关的证据水平是“排除合理怀疑”。即(由被指控发送电子邮件的人说):

  1. 那时,我的计算机上的病毒和恶意软件遇到了很多麻烦。我敢打赌我的电子邮件被黑了(是的,作为一名安全专家,我对此翻了个白眼,但这并不意味着它不起作用)
  2. 我十几岁的(又名未成年)儿子听到我抱怨 [COMPANYNAME],他向我承认他登录了我的电脑并向他们发送了一些电子邮件(可能有很多人愿意把他们的孩子扔到公共汽车下,尤其是从小孩子们可能根本看不到任何影响)。
  3. 当我去洗手间时,我在星巴克开着电脑,5分钟后我回来时,有人在我的电脑上。当我对他们大喊大叫时,他们逃跑了,但我没有看到任何遗漏,所以我直到现在才忘记这件事……(如果您已将发送到他们家的电子邮件绑定,显然将无法正常工作)

当然,根据具体情况,这样的故事可能会让某人笑出房间,但他们可能不会。我不能对此发表任何声明,因为我所知道的关于法庭的一切都是从电视犯罪节目中学到的。但是,我认为重要的是要记住,您真正能证明的只是某个人的电子邮件帐户被用来发送电子邮件。您甚至无法证明它是从给定位置发生的——只能证明给定位置的计算机用于发送电子邮件。毕竟,如果有人远程连接到某人家中的计算机并使用该计算机发送电子邮件,电子邮件提供商仍会将此人的家视为“始发”端点,即使它不是真的。

可能“证明”特定发送电子邮件的最佳方式是查看语言的细节(即 schroeder 的回答)。

其它你可能感兴趣的问题
上一篇使用密码管理器与手动 下一篇如何有效地工作以赢得漏洞赏金?