¿Es posible probar que un determinado correo electrónico ha sido enviado usando una computadora determinada?

Los expertos son expertos. Lo que dice un experto permanece en la corte siempre y cuando:

• Él es un experto.
• La otra parte no puede proporcionar otro experto, quien dice que el primer experto está equivocado y lo dice de una manera más convincentemente experta.

En la práctica, se considerará que un correo electrónico ha sido enviado desde una PC determinada si el contexto hace que sea mucho más plausible que cualquier otra explicación alternativa. Los elementos de contexto incluyen direcciones IP registradas desde el lado del servidor SMTP, facilidad (o falta de ellas) para asumir esa dirección IP en el lado del cliente (WiFi o no WiFi, cables accesibles ...), presencia o ausencia de archivos de registro en la PC. .. y, la mayoría de las veces, si el supuesto remitente admite la escritura o no.

Tome nota de que el perjurio es un delito grave, por lo que las personas tienden a no negar el envío de correos electrónicos cuando lo que está en juego (por ejemplo, una disputa comercial) es "menos grave" que las consecuencias de ser atrapado en el acto de mentirle al juez . El punto crucial es que probar si un correo electrónico fue realmente enviado por alguna persona específica es un asunto complejo en ambos sentidos : es difícil identificar de manera convincente al perpetrador, pero es igualmente difícil asegurarse de que nunca será probado de manera decisiva.

Esto reproduce el modelo de seguridad de firmas manuscritas . De hecho, no es muy difícil imitar la firma de otra persona; También es bastante difícil verificar que una firma sea correcta o no. Pero las firmas manuscritas ocurren en el mundo físico, con bolígrafos y manos humanas, por lo que tienden a dejar rastros, lo que yo llamo elementos contextuales. Puede repudiar su propia firma, pero es arriesgado, porque no puede estar seguro de que nadie lo haya visto, o no dejó una huella digital en el bolígrafo, o cualquier otro de un millón de detalles incriminatorios posibles. Y tratar de repudiar su propia firma es severamente castigado. Por lo tanto, a menudo es preferible reconocer la firma como propia y asumir las consecuencias.

En el caso de los correos electrónicos, el mismo mecanismo funciona. Aunque las pruebas reales a menudo son elementos frágiles (entradas de registro, etc.), negar haber enviado un correo electrónico que usted envió es arriesgado y se siente como un riesgo, especialmente porque involucra computadoras (las computadoras están más allá del "horizonte mágico" de la mayoría de las personas) . Así que la mayoría de los casos que involucran correos electrónicos terminan produciendo algunas entradas de archivos de registro (que podrían, de hecho, ser falsificadas de muchas maneras), y el remitente se desmorona bajo la mirada fija del juez.

Básicamente, casi todos los métodos para descubrir el remitente son considerablemente poco confiables.

Por lo general, no envías el correo electrónico "directamente" desde tu PC. Por lo general, utiliza un servidor SMTP de su proveedor de Internet o su proveedor de servicios de correo electrónico. Este servidor SMTP se encarga de su correo electrónico. Por ejemplo, si el servidor SMTP de destino final no estaba disponible, demora la entrega hasta que el destino vuelva a estar activo y, por lo tanto, no necesita tener su PC en línea todo el tiempo solo para garantizar la entrega del correo electrónico. El correo electrónico suele pasar varios SMTP antes de llegar a su destino.

Primero, debes saber que solo hay unos pocos encabezados de correo electrónico obligatorios. Incluso el encabezado "De" es opcional. Es solo la buena voluntad de un SMTP poner su firma en cualquier forma (como su IP) en el correo electrónico y es solo la buena voluntad del SMTP mantener a los demás encabezados en el correo electrónico.

¿Qué tan confiable puede encontrar el remitente? Depende de los SMTP en la forma en que se envíen los correos electrónicos y de cómo puedes confiar en ellos. Y casi siempre no puedes.

Puede preguntar a los administradores de SMTP si el correo electrónico observado pasó por su servidor, pero estoy seguro de que no se lo dirán. Puedes revisar los encabezados de los correos electrónicos, pero no puedes confiar completamente en ellos ya que todos podrían haberlos cambiado.

La firma DKIM podría dar cierto nivel de certeza (si el correo electrónico está firmado). Por ejemplo, si el correo electrónico fue enviado desde gmail.com, entonces puede verificar su firma DKIM y si era válido, puede estar seguro, realmente fue enviado desde los servidores SMTP de gmail y ya que creo que Google no enviaría ningún correo electrónico con falso de (debes confiar en google al respecto) recibiste el remitente o, mejor dicho, tienes a la persona que tiene acceso a la cuenta de gmail :-).

La respuesta corta es no, nada se interpondrá en el tribunal, todas las técnicas de rastreo posibles pueden ser derrotadas en el tribunal por un abogado inteligente y un experto en tecnología.

Sin embargo, otra forma de pensar en el problema es agregar pruebas adicionales a la información de seguimiento sobre la fuente del correo electrónico que tiene. Por ejemplo, si puede rastrear la dirección IP y vincularla al sospechoso.

A continuación, utiliza pruebas adicionales, como el análisis estilométrico y autoritario forense. Algunos países aceptan el análisis estilométrico como evidencia (por ejemplo, Gran Bretaña y los Estados Unidos) Puede consultar esta fuente para obtener más información sobre estilometría en el tribunal de justicia

Desde un punto de vista técnico, es posible demostrar que se ha enviado un correo electrónico desde una cuenta de correo específica, si el servidor SMTP original aplica dicha política y todos los servidores intermedios autentican el origen de los mensajes de paso, e . sol. con DKIM (y suponiendo que los servidores no hayan sido manipulados).

Desde un punto de vista legal, debe convencer al juez o al jurado de su argumento de que el correo electrónico bajo escrutinio está falsificado. Muchos sistemas legales requieren certeza más allá de una "cantidad razonable de duda" para un veredicto de culpabilidad en juicios penales. En juicios civiles el bar suele ser mucho menor. No voy a entrar en eso porque es un InfoSec y no un foro legal.

Debe preguntar al proveedor de servicios de la cuenta de correo desde la cual se envió el correo electrónico. Es probable que la mayoría de ellos tengan que registrar la dirección IP de los clientes que se conectan a su servidor web, y algunos de ellos pueden hacer huellas digitales del navegador para verificar que una conexión corresponde al dispositivo conocido de un usuario. Por lo tanto, existe la posibilidad de que puedan proporcionar información que identifique claramente al menos un par de navegador de IP.

Sin embargo, tenga en cuenta que si la discusión involucra adversarios motivados y competentes, no puede hacer suposiciones. Alguien podría falsificar una IP y encontrar la huella digital de un navegador específico y reutilizarla.

Como ya se dijo, probar quién envió el correo electrónico será complicado, pero ¿qué hay de probar que tu vecino hackeó tu wifi? No sé qué tiene instalado, pero normalmente incluso el enrutador básico puede rastrear los dispositivos conectados y, a veces, enumerar las direcciones MAC. El MAC que podrías comparar con el MAC de tu esposa. Si tiene un enrutador más avanzado en su lugar y tiene registros o información mucho más detallada, es posible que los registros coincidan con la hora en que se envió el correo electrónico. Eso permitiría un seguimiento más confiable. O si no tiene este nivel de seguimiento, puede configurarlo.

Resumen: Es difícil demostrar que una computadora específica ha enviado un correo electrónico. Si todos los participantes actúan de buena fe, se puede deducir, pero esto requiere un alto nivel de participación.

Detalles: Si bien la identificación positiva de la fuente de un correo electrónico no es posible de forma automática, según los siguientes supuestos, puede ser posible deducirlo, juntando la siguiente información.

• Si el remitente firmó el correo electrónico con SMIME firmado por una CA de confianza (o una clave PGP que se conoce y está avalada), puede asumir la no repudiación de la persona que lo envía, a menos que y hasta que la persona que se envía pueda demostrar que el la mitad privada de esa clave era un compromiso antes del envío del correo electrónico
• Si el dominio del cual se pretende que se originó el correo electrónico proporciona SPF y DKIM, puede determinar si el correo se retransmitió a través de una de sus puertas de enlace de correo aprobadas (SPF le permite publicar una lista de números de IP permitidos para el correo saliente, DKIM le permite publicar la mitad de una clave que le permite a un destinatario validar una firma criptográfica en una nota de correo electrónico recibida y obtener la confianza de que solo pudo haber sido firmada por alguien con la otra mitad de la clave)
• En función de SPF y DKIM, puede identificar positivamente la puerta de enlace del correo saliente que retransmitió el memorando a su organización, compañía o agencia
• En este punto, puede tener la opción de citar los registros al operador de la puerta de enlace del correo, que puede contener el número de IP de origen (o al menos el relé de salto anterior)
  • Nota, esto puede no ser confiable por dos razones:
    • La persona que envía puede haber enviado la nota ofensiva desde una red compartida o pública, como una cafetería o una biblioteca
    • Si tiene motivos para creer que la organización de retransmisión está en connivencia con la persona que lo envía, es posible que tenga que determinar y probar si los registros de correo se han alterado (si no se han eliminado antes del descubrimiento, como cuestión de política organizativa). )
  • También entienda la carga de obtener una citación para estos registros; no todos los jueces emitirán uno sin un esfuerzo significativo por adelantado
• Si el relé-salto anterior es la puerta de enlace de correo de otra organización, repita el proceso
• Incluso si se identifica la IP del dispositivo remitente, es probable que haya sido un dispositivo transitorio y, como tal, es posible que deba citar los registros DHCP de la organización que opera la red en la que residía el dispositivo emisor, para que puede coincidir con el nombre de host anunciado cuando el dispositivo de envío solicite e IP

Si todos actúan de buena fe, es posible que pueda determinar la persona que envía y el dispositivo que lo envía.

La mejor de las suertes.

Oh, muchas respuestas. Sí, es posible si su dirección IP no está protegida. Su dirección IP es como un número de teléfono. Su servidor de correo conoce su dirección IP y se puede obtener mediante una orden judicial si su ISP es confiable.

Hay varias formas de configurar una dirección IP con mayor o menor éxito.