it-swarm.com.de

Ist es möglich zu beweisen, dass eine bestimmte E-Mail mit einem bestimmten Computer gesendet wurde?

Ich kann verstehen, dass ein SMS] auf das Mobiltelefon zurückgeführt werden kann, von dem es stammt, und der Telefonbesitzer vor Gericht keine andere Chance hat, als zu behaupten, dass jemand anderes sein Telefon benutzt hat, aber was ist mit einem E-Mail von einem PC?

Die meisten E-Mails werden über einen Browser und eine Weboberfläche gesendet, geschweige denn, dass Sie kaum einen PC außerhalb eines NAT finden. Hinzu kommt, dass die meisten Laptops über WLAN verbunden sind.

Es scheint sehr einfach zu behaupten, dass ich keine E-Mail gesendet habe X und E-Mail-Adresse Y = gehört nicht mir. IP Adresse? es bedeutet nichts, ich teile es mit vielen Leuten, es könnte meine Frau sein, die diese E-Mail von ihrem Laptop gesendet hat, oder es könnten meine Nachbarn sein, die mein WiFi gehackt haben.

Wie kann ein Experte solche Ansprüche vor Gericht vor einem Richter besiegen?

6
Ulkoma

Experten sind Experten. Was ein Experte sagt, steht vor Gericht, solange:

  • Er ist ein Experte.
  • Die andere Partei kann keinen anderen Experten zur Verfügung stellen, der sagt, dass der erste Experte falsch ist, und dies auf eine überzeugendere Art und Weise.

In der Praxis wird behauptet, dass eine E-Mail von einem bestimmten PC gesendet wurde, wenn der Kontext dies viel plausibler macht als jede alternative Erklärung. Zu den Kontextelementen gehören von der SMTP-Serverseite registrierte IP-Adressen, die einfache (oder fehlende) Annahme dieser IP-Adresse auf der Clientseite (WLAN oder nicht WLAN, zugängliche Kabel ...), das Vorhandensein oder Fehlen von Protokolldateien auf dem PC. .. und meistens, ob der angebliche Absender die Tat zugibt oder nicht.

Beachten Sie, dass Meineid eine schwerwiegende Straftat ist, sodass die Leute das Versenden von E-Mails nicht ablehnen, wenn das, was auf dem Spiel steht (z. B. ein Handelsstreit), "weniger schwerwiegend" ist als die Folgen einer Lüge gegenüber dem Richter. Der entscheidende Punkt ist, dass der Nachweis, ob eine E-Mail wirklich von einer bestimmten Person gesendet wurde, in beiden Punkten eine komplexe Angelegenheit ist : Es ist schwierig, die E-Mail überzeugend zu bestimmen Täter, aber es ist ebenso schwer sicherzustellen, dass es nie entscheidend bewiesen wird.

Dies gibt das Sicherheitsmodell von handschriftliche Signaturen wieder. Es ist in der Tat nicht sehr schwierig, die Unterschrift eines anderen nachzuahmen; Es ist auch ziemlich schwierig, tatsächlich zu überprüfen, ob eine Signatur korrekt ist oder nicht. Aber handschriftliche Signaturen passieren in der physischen Welt mit Stiften und menschlichen Händen, so dass sie dazu neigen, Spuren zu hinterlassen - was ich Kontextelemente nenne. Sie können Ihre eigene Unterschrift ablehnen, dies ist jedoch riskant, da Sie nicht sicher sein können, dass Sie niemand gesehen hat oder keinen Fingerabdruck auf dem Stift oder eine andere von einer Million möglichen belastenden Details hinterlassen hat. Und der Versuch, Ihre eigene Unterschrift abzulehnen, wird streng bestraft. Daher ist es oft vorzuziehen, die Signatur als Ihre eigene zu erkennen und die Konsequenzen zu übernehmen.

Bei E-Mails funktioniert der gleiche Mechanismus. Obwohl tatsächliche Beweise oft nur schwache Elemente sind (Protokolleinträge usw.), ist es riskant, das Senden einer von Ihnen gesendeten E-Mail zu leugnen, und wird als riskant empfunden, insbesondere da es sich um Computer handelt (Computer sind jenseits des "magischen Horizonts" der meisten Menschen). . In den meisten Fällen, in denen es um E-Mails geht, werden einige Protokolldateieinträge erstellt (die in der Tat auf vielfältige Weise gefälscht werden können), und der Absender bröckelt unter dem ständigen Blick des Richters.

14
Thomas Pornin

Grundsätzlich ist fast jede Methode zur Ermittlung des Absenders erheblich unzuverlässig.

Normalerweise senden Sie die E-Mail nicht "direkt" von Ihrem PC. Normalerweise verwenden Sie einen SMTP-Server Ihres Internetproviders oder Ihres E-Mail-Dienstanbieters. Dieser SMTP-Server kümmert sich um Ihre E-Mail. Wenn beispielsweise der SMTP-Server für das Endziel nicht verfügbar war, wird die Zustellung verzögert, bis das Ziel wieder verfügbar ist. Sie müssen Ihren PC also nicht immer online haben, um die E-Mail-Zustellung sicherzustellen. E-Mails passieren normalerweise mehrere SMTP, bevor sie ihr Ziel erreichen.

Zunächst sollten Sie wissen, dass es nur wenige obligatorische E-Mail-Header gibt. Sogar der "Von" -Header ist nur optional. Es ist nur der gute Wille eines SMTP, seine Signatur in irgendeiner Form (wie seine IP) in die E-Mail einzufügen, und es ist nur der gute Wille des SMTP, andere Header in der E-Mail zu behalten.

Wie zuverlässig können Sie den Absender finden? Dies hängt von den SMTPs auf dem E-Mail-Weg ab und davon, wie Sie ihnen vertrauen können. Und das kann man fast immer nicht.

Sie können die SMTP-Administratoren fragen, ob die beobachtete E-Mail ihren Server passiert hat, aber ich bin sicher, sie sagen es Ihnen nicht. Sie können die E-Mail-Header überprüfen, aber Sie können ihnen nicht voll vertrauen, da jeder sie hätte ändern können.

Ein gewisses Maß an Sicherheit könnte durch die DKIM-Signatur gegeben sein (wenn die E-Mail signiert ist). Wenn die E-Mail beispielsweise von gmail.com gesendet wurde, können Sie die DKIM-Signatur überprüfen. Wenn sie gültig war, können Sie sicher sein, dass sie wirklich von Google Mail-SMTP-Servern gesendet wurde. Da Google meiner Meinung nach keine E-Mails senden würde Mit gefälschten von (Sie müssen Google vertrauen) haben Sie den Absender oder besser, Sie haben die Person, die Zugriff auf das Google Mail-Konto hat :-).

10
smrt28

Aus technischer Sicht kann nachgewiesen werden, dass eine E-Mail von einem bestimmten E-Mail-Konto gesendet wurde, wenn der ursprüngliche SMTP-Server eine solche Richtlinie erzwingt und alle Zwischenserver den Ursprung von Pass-Through-Nachrichten authentifizieren, z. G. mit DKIM (und vorausgesetzt, die Server selbst wurden nicht manipuliert).

Aus rechtlicher Sicht müssen Sie den Richter oder die Jury von Ihrem Argument überzeugen, dass die untersuchte E-Mail gefälscht ist. Viele Rechtssysteme erfordern für ein Schuldspruch in Strafverfahren zweifelsfreie Gewissheit. In Zivilklagen ist die Messlatte normalerweise viel niedriger. Ich werde nicht darauf eingehen, da dies eine InfoSec und kein rechtliches Forum ist.

5
David Foerster

Die kurze Antwort lautet: Nein, nichts wird vor Gericht stehen. Alle möglichen Rückverfolgungstechniken können vor Gericht von einem klugen Anwalt und einem technisch versierten Spieler besiegt werden.

Eine andere Möglichkeit, sich das Problem vorzustellen, besteht darin, zusätzliche Beweise zu den Tracking-Informationen über die Quelle Ihrer E-Mail hinzuzufügen. Zum Beispiel, wenn Sie die IP-Adresse verfolgen und mit dem Verdächtigen verknüpfen können.

Dann verwenden Sie zusätzliche Beweise wie Forensic Stylometric und Authorship Analysis. Einige Länder akzeptieren die stilometrische Analyse als Beweismittel (z. B. Großbritannien und die Vereinigten Staaten) Weitere Informationen zur stilometrischen Analyse finden Sie in dieser Quelle vor Gericht

5
Ubaidah

Wie bereits erwähnt, ist es schwierig zu beweisen, wer die E-Mail gesendet hat, aber wie wäre es, wenn Sie beweisen, dass Ihr Nachbar Ihr WLAN gehackt hat? Ich weiß nicht, was Sie installiert haben, aber normalerweise kann sogar ein einfacher Router verbundene Geräte verfolgen und manchmal MAC-Adressen auflisten. Den MAC können Sie mit dem MAC Ihrer Frau vergleichen. Wenn Sie über einen erweiterten Router verfügen und über Protokolle oder detailliertere Informationen verfügen, können Sie die Protokolle möglicherweise mit dem Zeitpunkt abgleichen, zu dem die E-Mail gesendet wurde. Dies würde eine zuverlässigere Verfolgung ermöglichen. Wenn Sie diese Tracking-Ebene nicht haben, können Sie sie einrichten.

2
Paraplastic2

Zusammenfassung: Es ist schwer zu beweisen, dass ein bestimmter Computer eine E-Mail gesendet hat. Wenn alle Teilnehmer in gutem Glauben handeln, kann daraus abgeleitet werden, dies erfordert jedoch ein hohes Maß an Beteiligung.

Details: Obwohl eine positive Identifizierung der Quelle einer E-Mail aufgrund der folgenden Annahmen nicht automatisch möglich ist, kann sie möglicherweise durch Zusammensetzen der folgenden Informationen abgeleitet werden.

  • Wenn der Absender die E-Mail mit SMIME signiert hat, das von einer vertrauenswürdigen Zertifizierungsstelle (oder einem bekannten und verbürgten PGP-Schlüssel) signiert wurde, können Sie davon ausgehen, dass die sendende Person nicht zurückgewiesen wird, es sei denn und bis die angebliche sendende Person nachweisen kann, dass die private Hälfte von Dieser Schlüssel war ein Kompromiss vor dem Senden der E-Mail
  • Wenn die Domain, von der die E-Mail stammen soll, SPF und DKIM bereitstellt, können Sie bestimmen, ob die Mail über eines der genehmigten Mail-Gateways weitergeleitet wurde (mit SPF können Sie eine Liste der zulässigen IP-Nummern für ausgehende Mail veröffentlichen, DKIM ermöglicht dies Ihnen) Veröffentlichen Sie die Hälfte eines Schlüssels, mit dem ein Empfänger eine kryptografische Signatur in einem empfangenen E-Mail-Memo validieren und das Vertrauen gewinnen kann, dass sie nur von jemandem mit der anderen Hälfte des Schlüssels signiert werden konnte.
  • Basierend auf SPF und DKIM können Sie das Gateway für ausgehende E-Mails, das das Memorandum an Ihre Organisation, Ihr Unternehmen oder Ihre Agentur weitergeleitet hat, eindeutig identifizieren
  • Zu diesem Zeitpunkt haben Sie möglicherweise die Möglichkeit, die Protokolle vom Betreiber des Mail-Gateways vorzuladen, die möglicherweise die Ursprungs-IP-Nummer (oder zumindest die IP-Nummer des vorherigen Hop-Relays) enthalten .
    • Beachten Sie, dass dies aus zwei Gründen unzuverlässig sein kann:
      • Die sendende Person hat das betreffende Memo möglicherweise von einem gemeinsam genutzten oder öffentlichen Netzwerk wie einem Café oder einer Bibliothek gesendet
      • Wenn Sie Grund zu der Annahme haben, dass die weiterleitende Organisation mit der sendenden Person zusammenarbeitet, müssen Sie möglicherweise feststellen und nachweisen, ob die E-Mail-Protokolle manipuliert wurden (sofern sie aus organisatorischen Gründen nicht vor der Ermittlung gelöscht wurden).
    • Verstehen Sie auch die Belastung, eine Vorladung für diese Protokolle zu erhalten; Nicht alle Richter werden einen ohne nennenswerten Aufwand im Voraus ausstellen
  • Wenn das vorherige Hop-Relay das Mail-Gateway einer anderen Organisation ist, wiederholen Sie den Vorgang
  • Selbst wenn die IP-Adresse des sendenden Geräts identifiziert wird, handelt es sich wahrscheinlich um ein vorübergehendes Gerät. Daher müssen Sie möglicherweise die DHCP-Protokolle der Organisation vorladen, die das Netzwerk betreibt, in dem sich das sendende Gerät befindet, damit Sie sie abgleichen können auf den angekündigten Hostnamen, wenn das sendende Gerät angefordert hat, und IP

Wenn alle nach Treu und Glauben handeln, können Sie möglicherweise die sendende Person und das sendende Gerät bestimmen.

Viel Glück.

2
DTK

Sie müssen den Dienstanbieter nach dem E-Mail-Konto fragen, von dem aus die E-Mail gesendet wurde. Die meisten von ihnen müssen wahrscheinlich die IP-Adresse von Clients protokollieren, die eine Verbindung zu ihrem Webserver herstellen, und einige von ihnen tun möglicherweise Browser-Fingerabdruck , um zu überprüfen, ob eine Verbindung dem bekannten Gerät eines Benutzers entspricht. Es besteht also die Möglichkeit, dass sie Informationen bereitstellen können, die mindestens ein IP-Browser-Paar eindeutig identifizieren.

Beachten Sie jedoch, dass Sie keine Annahmen treffen können, wenn an der Diskussion potenzielle motivierte und kompetente Gegner beteiligt sind. Jemand könnte eine IP fälschen und den Fingerabdruck eines bestimmten Browsers finden und wiederverwenden.

2