La posta elettronica è oggi uno dei principali veicoli di comunicazione, ma anche uno dei documenti più facilmente falsificabili ai fini di produrre in Giudizio prove digitali false o manipolate.

Semplici modifiche tramite editor di testo o immagini possono infatti generare copie apparentemente autentiche, si possono persino stampare in Pdf email mai esistite, ma che appaiono originali.

La domanda che in tanti si pongono quindi è se si può accertare se una email è originale oppure falsificata, manipolata o creata dal nulla senza essere mai esistita.

La risposta è che molto spesso – anche se purtroppo non sempre – è possibile
verificare se una email è stata creata artificiosamente o è originale ma servono
metodo, competenza e strumenti adeguati.

Le parti nascoste dei messaggi di posta elettronica

Ogni messaggio di posta elettronica non è solo ciò che si legge aprendo un’email, cioè mittente, destinatario, data e oggetto oltre ovviamente al testo: contiene anche un’intestazione (chiamata “header RFC822”) che racchiude informazioni tecniche cruciali come server attraversati, timestamp, identificativi univoci, firme digitali, campi di testo aggiuntivi.

Proprio da qui parte l’analisi forense, che quindi richiede di poter avere a disposizione non soltanto una semplice stampa Pdf o peggio ancora cartacea, ma l’intero contenuto del messaggio di posta elettronica inclusa anche l’intestazione tecnica che spesso viene ignorata dagli utenti.

Parametri per riconoscere se un’email è falsa

Questa parte nascosta contiene, tra le altre informazioni, la firma DKIM/ARC che – se presente e valida – garantisce che il contenuto non sia stato alterato dopo l’invio, i parametri SPF e DMARC, che verificano che il server mittente sia autorizzato a inviare per quel dominio e indicano cosa debba fare il server ricevente in caso di anomalie, il Message-ID, che spesso include timestamp o codifiche che devono essere coerenti con altri elementi della mail, la catena dei “Received by/from” che permette di ricostruire il percorso SMTP, verificando coerenza tra IP, reverse DNS e fusi orari.

Il formato EML/Msg/Txt

La stessa necessità di poter avere a disposizione il messaggio integrale in formato EML/MSG/TXT emerge anche per i messaggi di posta elettronica certificata o Pec, per i quali la mera stampa Pdf o cartacea non è sufficiente a garantire la verifica della firma digitale apposta dal certificatore.

Quindi è evidente che per poter realizzare una perizia informatica forense sui messaggi di posta elettronica è necessario avere a disposizione il messaggio originale e completo dell’intestazioni o, meglio ancora, poter accedere direttamente alla mailbox online sulla quale il messaggio deve essere ancora presente.

Capire se una mail è originale o falsa

Nel primo caso avremo comunque a disposizione un buon numero di informazioni che possono permetterci di capire se una mail è originale oppure è stata alterata, a partire da ciò che a breve vedremo essere le firme digitali apposte dal server mittente sui messaggi inviati, nel secondo caso potremmo avvalerci anche di ulteriori metadati presenti sui server di posta elettronica e non visibili direttamente dall’utente a meno di non utilizzare strumentazioni specifiche o comandi tecnici complessi.

L’accesso al contenuto integrale dei messaggi

Ogni webmail o programma di posta permette di estrarre i messaggi in formato EML, Msg o Txt, ma le modalità pratiche differiscono.

L’ideale ovviamente sarebbe quello di utilizzare software d’informatica forense come Forensic Email Collector di Metaspike, Magnet AXIOM, Oxygen Forensics Detective, Paraben Email Examiner o Aid4Mail Forensic per acquisire sia le email in formato integrale sia i loro metadati, ovviamente l’utente comune avrà difficoltà a reperire tali software mentre sarà sempre possibile esportare i messaggi in formato EML o MSG analizzabile anche mediate strumenti non forensi.

Gmail

Per Gmail il modo più semplice per scaricare un messaggio in formato EML è aprirlo dalla webmail, cliccare sui tre puntini verticali vicino ai pulsanti di risposta e scegliere la voce “Download message”: verrà così salvato sul computer un file con estensione .eml che contiene testo e intestazioni complete.

In alternativa, è possibile usare l’opzione “Mostra originale”, che apre il messaggio con tutti i campi dell’header: a quel punto basta copiare in clipboard il testo integrale o meglio ancora salvare il contenuto come file di testo o con estensione “.eml”.

Chi desidera invece scaricare grandi quantità di messaggi può utilizzare Google Takeout, il servizio ufficiale di Google che consente di esportare l’intera casella in formato MBOX, utile per successive conversioni, oppure esportare i messaggi su di un client di posta tipo Thunderbird e poi da lì salvarli tutti in formato EML.

Per Outlook.com, Hotmail o la webmail di Microsoft 365

Nel caso di Outlook.com, Hotmail o della webmail di Microsoft 365, il procedimento è simile.

Una volta aperto il messaggio, si clicca sull’icona con i tre puntini o su “Altre opzioni” e, quando disponibile, si sceglie “Salva come” per salvare il messaggio in formato .eml.

Se l’opzione non appare, si può ricorrere alla funzione “Visualizza origine” per copiare e salvare il messaggio raw, oppure inoltrarlo a se stessi come allegato, così da ottenere un file .eml.

I portali italiani

Per i servizi italiani come Libero, Tiscali, Alice o Virgilio la situazione è più
rammentata. Alcune versioni della webmail offrono il pulsante “Scarica” o “Salva come” accanto al messaggio, altre solo l’opzione “Visualizza originale” che mostra il contenuto grezzo con le intestazioni.

In questo secondo caso è sufficiente aprire la visualizzazione raw e salvare manualmente il file in formato testo con estensione .eml. Quando nessuna di queste funzioni è disponibile, l’alternativa è configurare l’account su un client di posta tramite IMAP e da lì esportare i messaggi.

Mozilla Thunderbird e la nuova versione di Outlook

Con i programmi desktop, le procedure sono più dirette. In Mozilla Thunderbird, per esempio, è possibile selezionare un messaggio, fare clic con il tasto destro e scegliere “Salva come” per ottenere un file .eml. Outlook, il client per Windows, salva i messaggi nel suo formato nativo .msg.

Una volta aperto il messaggio basta selezionare “File” e poi “Salva con nome”, scegliendo “Messaggio di Outlook (*.msg)” come estensione. In alternativa è possibile salvare anche come file di testo (.txt) o come HTML.

La nuova versione di Outlook permette persino di scegliere se
esportare in formato EML o MSG. Apple Mail, su macOS, permette di aprire un
messaggio e salvarlo scegliendo dal menu “File” la voce “Salva come” o “Esporta come”: è possibile decidere se conservare il messaggio nel formato raw, che include le intestazioni complete, oppure in .eml o .mbox, se si vuole salvare più messaggi contemporaneamente.

Su smartphone

Su smartphone è evidentemente più difficile scaricare un messaggio di posta elettronica in formato sorgente nativo RFC822 e quindi si raccomanda di utilizzare webmail in modalità desktop (con le istruzioni di cui sopra) oppure fare uso di un Pc.

In generale, ogni volta che si scarica una email per scopi probatori o forensi, è importante accertarsi che siano inclusi non solo corpo e allegati, ma anche l’header completo, ovvero l’intestazione RFC822.

Il formato più indicato per conservare l’integrità del messaggio è l’EML, perché è standard, leggibile da molti software e preserva campi e metadati.

Il formato MSG rimane valido ma più legato a Outlook, mentre il salvataggio in Pdf o Html è utile per la consultazione ma non conserva i dati tecnici necessari a un’analisi forense.

L’analisi forense dei messaggi di posta elettronica

Sempre più spesso vengono richieste a CTP informatici o CTU del Tribunale perizie informatiche di valutazione dell’originalità dei messaggi di posta elettronica o delle PEC.

Le analisi forensi di email e mailbox procedono utilizzando diversi passi successivi, talvolta paralleli, che vanno dall’esame del contenuto del codice sorgente del messaggio alla verifica dei metadati presenti sul server di posta elettronica.

Premettendo che le valutazioni sono spesso complesse e vanno fatte in un’ottica d’insieme, vediamo i 10 controlli tecnici che permettono di verificare se una email è originale oppure è stata manipolata ed è quindi falsa.

Controllo della firma DKIM o ARC

Un primo passo consiste nel verificare la presenza e la validità di firme crittografiche apposte dai server di posta, come DKIM (DomainKeys Identified Mail) o, nei casi di inoltri e mailing list, ARC (Authenticated Received Chain).

Queste firme attestano che alcuni campi della mail – per esempio mittente, destinatario, oggetto, data di invio e corpo del messaggio – non hanno subito modifiche dopo la trasmissione dal server legittimo.

Se la firma risulta valida, si può escludere con buona sicurezza che quei campi siano stati alterati in un secondo momento e soprattutto si ha la conferma che la mail sia stata effettivamente inviata, in caso di messaggio artefatto è impossibile ricostruire una firma che permette una completa validazione, non avendo ovviamente a disposizione la chiave privata con la quale il server mittente firma il messaggio.

Le chiavi private di firma sono ovviamente custodite gelosamente dai provider di posta, mentre le chiavi pubbliche necessarie per la verifica vengono divulgate tramite protocollo di DNS che permette a coloro che ricevono i messaggi di avere la certezza che tali chiavi siano connesse al server mittente e di verificare che le firme siano validate.

Riscontro tra Inap InternalDate e Uid

Quando un messaggio è conservato in una casella IMAP, ogni mail ha un UID
univoco e un campo InternalDate, che indica il momento in cui il server ha
effettivamente memorizzato il messaggio. L’analisi forense confronta questi valori per evidenziare anomalie: ad esempio, un InternalDate incoerente con la sequenza degli UID potrebbe indicare manipolazioni, importazioni manuali o inserimenti non lineari di messaggi.

Si consideri che i metadati IMAP di InternalDate e UID possono non essere sempre attendibili per diverse motivazioni: le email possono essere spostate da una casella ad un’altra modificando gli UID, possono intervenire sistemi antispam e antivirus che rimuovono temporaneamente i messaggi e li riposizionano nella casella, possono avvenire migrazioni di mailbox o il campo InternalDate può essere gestito in modo arbitrario dai server così da non poter garantire che sia effettivamente la data nella quale il sistema ha ricevuto il messaggio o lo hai inviato archiviandolo nel proprio folder di posta inviata.

Per questo motivo, gli elementi derivati dal server devono essere valutati in maniera comparativa e analitica, evidenziando eventuali incoerenze tra più messaggi e non utilizzando il singolo dato a meno che non si abbia la certezza che sia oggettivamente valido.

Coerenza del Message-ID

Ogni messaggio dovrebbe avere un Message-ID univoco, generato automaticamente dal client o dal server.

Spesso questo campo contiene codifiche legate al timestamp o al dominio di origine. Analizzarne la struttura e confrontarla con altri messaggi della stessa catena – per esempio quelli richiamati in “In-Reply-To” – consente di capire se il messaggio si inserisce in modo genuino nel thread o se è stato costruito artificialmente.

Spesso, quando si operano alterazioni nei messaggi di posta elettronica è possibile grazie a una perizia informatica forense rilevare tale manipolazione tramite la presenza di diverse email contenenti lo stesso identico MessageID: questo è in chiaro indice del fatto che l’attaccante ha clonato un singolo messaggio per produrne divers senza preoccuparsi di alterare anche l’identificativo univoco del messaggio.

Verifica del rispetto del protocollo DMARC

Il protocollo Dmarc (Domain-based Message Authentication, Reporting and
Conformance) stabilisce regole di coerenza tra SPF, DKIM e il dominio del mittente visibile.

Controllare se un messaggio ha superato il test DMARC aiuta a capire se il server mittente era autorizzato e se l’e-mail rispetta le policy dichiarate dal dominio.
Un fallimento DMARC non implica sempre falsificazione, ma è un forte indizio che merita approfondimento.

Accertamento della configurazione SPF

All’interno della zona DNS del dominio mittente è possibile verificare la configurazione SPF (Sender Policy Framework), che elenca gli indirizzi IP autorizzati a spedire e-mail per quel dominio.

Se il server che ha inviato la mail non compare tra quelli previsti, il messaggio potrebbe aver subito una falsificazione o la spedizione potrebbe essere avvenuta da un server non legittimo.

Riscontro comparativo nei vari messaggi del thread

Un’analisi completa non si limita al singolo messaggio, ma considera l’intera conversazione.

Confrontare più messaggi di un thread permette di scoprire incoerenze: differenze nei Message-ID o Message ID identici tra messaggi diversi, formattazioni anomale, mancanza di firme su alcune mail che invece dovrebbero averle: spesso, è proprio la visione d’insieme a rivelare la falsificazione di uno solo dei messaggi.

Verifica dei timestamp in EpochTime

Nell’header RFC822, nei campi del protocollo DKIM così come nei separatori dei campi MIME possono trovarsi timestamp in formato EpochTime o in altre codifiche numeriche: confrontare questi valori con le date d’invio e ricezione consente di verificare coerenza temporale e individuare eventuali discrepanze che potrebbero indicare una manipolazione.

Ricostruzione del percorso SMTP

La catena di campi “Received” nell’header documenta il percorso del messaggio da server a server.

Analizzando IP, reverse DNS, fusi orari e ritardi tra i passaggi è possibile capire se il flusso è coerente o se ci sono anomalie, come un server inatteso o un salto temporale impossibile. È una delle verifiche più importanti per stabilire la genuinità di una trasmissione.

Analisi dei separatori MIME boundaries

Le e-mail moderne sono spesso multipart: contengono testo semplice, HTML, allegati e immagini inline.

Ogni sezione è delimitata da un separatore, detto “boundary”, di tipo MIME. Analizzare la struttura interna, verificare che i separatori siano consistenti e che la codifica corrisponda al contenuto atteso permette di rilevare manipolazioni, allegati inseriti manualmente o parti corrotte.

Analisi forense dei metadati degli allegati

Gli allegati non si devono trascurare. File come PDF o Word possono contenere metadati EXIF o proprietari con informazioni su autore, data di creazione o software utilizzato.

Questi dati spesso non sono visibili all’utente, ma possono contraddire quanto riportato nel corpo del messaggio, fornendo indizi preziosi su manipolazioni o provenienza reale.

L’importanza della cristallizzazione forense dei messaggi di posta

Ricordiamo che – se le mail oggetto di analisi possono diventare una prova digitale per un processo civile o penale – è opportuno dedicare particolare attenzione anche alla fase di acquisizione forense, finalizzata a cristallizzare la prova digitale sia essa una mail o un’intera mailbox.

Per poter consolidare la prova informatica tramite una copia forense è possibile ad esempio software come Forensic Email Collector di Metaspike, Magnet AXIOM, Oxygen Forensics Detective, Paraben Email Examiner o Aid4Mail Forensic, oppure sincronizzare un client di posta come Thunderbird in un ambiente predisposto per documentare le attività svolte o ancora l’accesso alla webmail tramite tecniche di web forensics.

Ogni tipo di acquisizione avrà valenza probatoria o “forensicità” variabile in base al dettaglio al quale sarà in grado di restringere l’obiettivo, l’ideale è sempre avere la possibilità di acquisire contenuto, dati tecnici e metadati, considerando preferibile acquisire qualcosa in più del dato oggetto di analisi, in modo da permettere a posteriori una verifica più robusta dell’integrità.

Le risultanze di una analisi forense riportate in una perizia informatica possono infatti perdere di valore se fondate su dati non cristallizzati in modo oggettivo ed
eventualmente ripetibile.

Possono verificarsi eccezioni, come le analisi di file EML nei quali la firma DKIM garantisce l’integrità del messaggio in modo autoconsistente, non necessitando di altro che del file stesso, a patto che si verifichi che i selettori della chiave pubblica DKIM siano effettivamente quelli del dominio mittente.