Pregunta 3 (Parte 1):
Si el mensaje fue enviado entre dos compañías, o entre dos relés SMTP que usan DKIM (una herramienta antispam), puede haber una firma digital secreta de la que no estén al tanto.
Es decir, se puede probar que un mensaje no se modificó si el mensaje tiene una firma DKIM y se pasa. Esta es una firma oculta que la mayoría de las personas no piensa que no está relacionada con SMIME y que a menudo se incluye en secreto en los mensajes. Por ejemplo, Yahoo y GMail DKIM firman todos los mensajes salientes sin el conocimiento de los remitentes o destinatarios. Dependiendo de su situación, es posible que los mensajes que le preocupan estén firmados por DKIM, pero usted o su cliente desconocen la presencia de esta firma.
Solo debes saber que una firma DKIM
- ... no es SMIME (a menudo llamada firma digital)
- ... no se mostrará en los navegadores web / Outlook incluso si existe
- ... es una herramienta utilizada en tecnologías antispam
- ... no puede firmar todo el mensaje, o una parte del mismo (a través del parámetro -l, u omitiendo los encabezados clave del mensaje)
- ... Puede fallar si un servidor SMTP intermedio modifica el mensaje (listas de correo, reenviadores SMTP, etc.)
En general, un mensaje DKIM firmado pasará si no se modifica. Si falla un mensaje DKIM, existe una pequeña posibilidad de que un ingeniero / desarrollador de correo electrónico capacitado pueda hacer que la encriptación se "pase" si la falla se debe únicamente a problemas de infraestructura.
TL; DR : un mensaje DKIM firmado que pasa Y firma el de, el, el asunto y el cuerpo significa que el mensaje no se modificó. Un fallo de DKIM no significa nada (mal intento o de otra manera).
(Parte 2)
Fuera de un pase DKIM, no es posible probar que los mensajes no fueron manipulados en esta situación. Sin embargo, puede haber una manera de detectar alteraciones observando las propiedades MAPI del mensaje. Para empezar, la propiedad "Encabezado" contendrá el asunto original si la línea del asunto fue editada.
Si se modificó el mensaje, hay varias marcas de Fecha / Hora internas que pueden actualizarse y, según la versión de Outlook, el nombre de usuario que modificó el mensaje también se almacena en el mensaje. La última vez que investigué esto, hubo una diferencia entre los campos que se actualizaron durante un movimiento de mensaje (de una carpeta a otra) en comparación con hacer clic con el botón derecho y editar el mensaje (o marcarlo como leído).
El cuerpo del mensaje se almacena en al menos dos ubicaciones en un mensaje MAPI: la versión de texto sin formato, una versión de texto enriquecido y el original. Es posible que una versión editada del mensaje actualice una (pero no todas) las instancias del mensaje.
Si el mensaje reside en la base de datos del servidor de Exchange, el mensaje puede residir en una o más "secuencias". Estos flujos de mensajes existen para el uso exclusivo de MAPI u OWA y, a veces, no están sincronizados. Esto puede suceder si se modifica un mensaje y "promoción de propiedad" podría arrojar luz sobre un mensaje modificado.
Habiendo dicho eso, fuera de DKIM o SMIME no hay nada que pruebe que un mensaje no fue modificado , sin embargo, podría haber una manera de probar que fue modificado.
La herramienta que necesita para investigar estas propiedades de bajo nivel se llama MFCMapi .