Acquisizione forense di caselle email con certificazione

Acquisisci email da caselle IMAP con certificazione forense. Verifica DKIM/SPF/DMARC, preservazione EML, hash crittografici, marca temporale RFC 3161.

Il modulo di acquisizione forense email di C.E.R.T.O. si collega direttamente alla casella di posta via protocollo IMAP, scarica i messaggi in formato EML originale (RFC 5322) e ne verifica l'autenticità tramite DKIM, SPF e DMARC. Il processo include la preservazione dei record DNS DKIM, l'analisi degli hop di transito e la generazione di un fascicolo forense con marca temporale RFC 3161.

Perché un'email va acquisita con metodo forense

Un'email è una delle prove digitali più utilizzate in ambito legale, ma anche una delle più fragili. Il semplice inoltro, la stampa o lo screenshot di un messaggio non hanno valore probatorio perché:

  • Il contenuto può essere alterato prima dell'inoltro o della stampa
  • Gli header tecnici (che provano l'origine e il percorso del messaggio) vengono persi
  • Non è possibile verificare l'autenticità della firma DKIM dopo l'inoltro
  • Non esiste una prova certa della data e dell'ora di acquisizione

L'acquisizione forense di C.E.R.T.O. risolve tutti questi problemi scaricando l'email direttamente dal server di posta, preservando ogni byte del messaggio originale e certificando l'intero processo con hash crittografici e marca temporale.

Come funziona l'acquisizione email di C.E.R.T.O.

Il processo è guidato e sicuro. L'utente inserisce le credenziali IMAP della casella di posta e C.E.R.T.O. esegue automaticamente i seguenti passaggi:

  1. Connessione IMAP sicura — Collegamento al server con SSL/TLS, verifica e documentazione del fingerprint SHA-256 del certificato
  2. Sincronizzazione NTP — Acquisizione data e ora certa conforme a RFC 4330
  3. Navigazione cartelle — Esplorazione della struttura della mailbox (Inbox, Sent, Drafts, ecc.)
  4. Selezione messaggi — L'utente seleziona i messaggi da acquisire
  5. Download EML — Scaricamento del messaggio completo in formato EML originale (RFC 5322), comprensivo di tutti gli header
  6. Estrazione allegati — Separazione e catalogazione di ogni allegato con hash individuale
  7. Verifica DKIM/SPF/DMARC — Analisi automatica dell'autenticità del messaggio tramite la libreria mailauth
  8. Preservazione DNS DKIM — Query e salvataggio del record DNS del selettore DKIM (protezione contro la rotazione delle chiavi)
  9. Analisi hop — Tracciamento del percorso del messaggio attraverso tutti i server di transito (header Received)
  10. Hash crittografici — Calcolo MD5, SHA-1, SHA-256, SHA-512 dell'EML e di ogni allegato
  11. Generazione report — Report forense dettagliato con tutti i dati raccolti
  12. Marca temporale RFC 3161 — Certificazione temporale del report
  13. Creazione archivio ZIP — Fascicolo completo con EML, allegati, report, marca temporale
  14. Upload e archiviazione — Trasmissione al server con archiviazione per 5 anni

Sicurezza delle credenziali: Le credenziali IMAP vengono utilizzate esclusivamente per la connessione durante l'acquisizione e non vengono mai salvate né trasmesse al server di AcquisizioniForensi.it. La connessione è sempre cifrata con SSL/TLS.

Verifica dell'autenticità: DKIM, SPF e DMARC

C.E.R.T.O. verifica automaticamente l'autenticità di ogni email acquisita attraverso tre protocolli standard:

DKIM (DomainKeys Identified Mail)

Verifica la firma crittografica apposta dal server di invio. Se la firma DKIM è valida, si ha la certezza che il contenuto del messaggio non è stato alterato dopo l'invio e che il dominio mittente è autentico.

SPF (Sender Policy Framework)

Verifica che il server che ha inviato l'email sia autorizzato dal dominio mittente. Previene lo spoofing dell'indirizzo del mittente.

DMARC (Domain-based Message Authentication)

Valida la coerenza tra i risultati DKIM e SPF, verificando l'allineamento con il dominio visibile nell'header From. Fornisce il verdetto finale sull'autenticità del messaggio.

I risultati di ogni verifica (pass, fail, none) sono documentati nel report forense, fornendo una prova oggettiva dell'autenticità — o della non autenticità — del messaggio.

Preservazione dei record DNS DKIM

Le chiavi DKIM pubblicate nei record DNS dei domini possono essere ruotate o rimosse in qualsiasi momento dal proprietario del dominio. Se la chiave viene rimossa, non sarà più possibile verificare la firma DKIM del messaggio in futuro.

C.E.R.T.O. previene questo rischio salvando il record DNS del selettore DKIM al momento dell'acquisizione. In questo modo, anche se il dominio mittente dovesse ruotare le proprie chiavi dopo l'acquisizione, il record originale resta disponibile nel fascicolo forense per una futura riverifica.

Analisi completa degli header e degli hop

Ogni email attraversa uno o più server prima di raggiungere la casella del destinatario. C.E.R.T.O. analizza gli header Received del messaggio per ricostruire l'intero percorso:

  • Indirizzo IP e hostname di ogni server di transito
  • Timestamp di ricezione a ogni hop
  • Protocollo utilizzato (SMTP, ESMTP, ESMTPS)
  • Tempo di transito tra un hop e il successivo
  • Eventuali anomalie (hop mancanti, timestamp incoerenti, server sconosciuti)

Questa analisi è fondamentale per dimostrare il percorso effettivo del messaggio e identificare eventuali manipolazioni o anomalie nella catena di consegna.

Provider compatibili

C.E.R.T.O. è compatibile con qualsiasi casella di posta che supporti il protocollo IMAP:

Provider Server IMAP Note
Gmailimap.gmail.com:993Richiede App Password se 2FA attivo
Outlook / Microsoft 365outlook.office365.com:993Supporto IMAP standard
Yahoo Mailimap.mail.yahoo.com:993Richiede App Password
PEC (Aruba, Legalmail, ecc.)Variabile per providerSupporto completo IMAP
Server aziendaliConfigurabileQualsiasi server IMAP con SSL/TLS

Marca temporale e archiviazione

Il report forense dell'acquisizione email riceve una marca temporale RFC 3161. La marca è applicata al report che contiene tutti gli hash crittografici del fascicolo (EML, allegati, archivio ZIP), certificando l'intera catena in un unico timestamp. Il file TSR della marca temporale è custodito all'interno dell'archivio ZIP.

È disponibile la marca temporale qualificata InfoCert eIDAS per le acquisizioni con valore legale UE.

Disponibile in C.E.R.T.O. Desktop

L'acquisizione forense di email è disponibile nell'applicazione C.E.R.T.O. Desktop per Windows e macOS. L'interfaccia consente di navigare le cartelle della casella di posta, visualizzare l'anteprima dei messaggi e selezionare quelli da acquisire.

Acquisisci le tue email con C.E.R.T.O.

Registrazione gratuita. Compatibile con Gmail, Outlook, PEC e qualsiasi server IMAP.

Registrati e scarica Scopri C.E.R.T.O. Desktop

Ultima revisione

il 16/03/2026 alle 08:16:31

Argomenti

acquisizione forense, email, IMAP, DKIM, certificazione digitale, C.E.R.T.O., prova legale