Acquisizione forense di email

Download IMAP diretto dal server con verifica DKIM/SPF/DMARC, analisi header e marca temporale RFC 3161

Perche non basta stampare un'email

Stampare un'email o farne uno screenshot non ha valore probatorio: chiunque puo modificare il contenuto visualizzato nel browser o nel client di posta prima di catturare l'immagine. Un'email alterata e indistinguibile da una autentica se si guarda solo al testo visualizzato.

Un'acquisizione forense risolve il problema scaricando il messaggio originale direttamente dal server IMAP in formato EML (RFC 2822), preservando gli header tecnici che documentano il percorso del messaggio attraverso i server di posta e le firme crittografiche DKIM che ne attestano l'autenticita. C.E.R.T.O. verifica automaticamente DKIM, SPF e DMARC per ogni messaggio acquisito.

In questa guida mostriamo come acquisire un'email con C.E.R.T.O. 3.0, utilizzando come esempio un messaggio di test inviato alla casella email@acquisizioniforensi.it.

L'interfaccia di acquisizione email

L'acquisizione di email avviene in tre passaggi: connessione al server, esplorazione della casella e acquisizione.

1

Configura la connessione IMAP

Inserisci i parametri di connessione: provider (con configurazione automatica per i principali servizi), server IMAP, porta, indirizzo email e password. C.E.R.T.O. si connette tramite SSL/TLS e registra i certificati del server.

Sul lato destro puoi salvare gli account per accessi futuri e consultare le informazioni sulla modalita di acquisizione: ogni messaggio viene scaricato in formato EML con rendering PDF/PNG, verifica DKIM/SPF/DMARC e analisi header.

C.E.R.T.O. 3.0 - Configurazione connessione IMAP: server, porta, email, password e account salvati
2

Esplora la casella e seleziona i messaggi

Una volta connesso, C.E.R.T.O. mostra la struttura delle cartelle IMAP sulla sinistra e l'elenco dei messaggi sulla destra. Puoi cercare per mittente, destinatario, oggetto o contenuto.

Seleziona la modalita di acquisizione: Mailbox completa (tutte le cartelle) o Selettiva (singoli messaggi o cartelle). Puoi anche attivare la Marca Temporale InfoCert eIDAS per una marca temporale qualificata.

C.E.R.T.O. 3.0 - Esplorazione casella email IMAP: cartelle, elenco messaggi, ricerca e modalita acquisizione
3

Anteprima e acquisizione

Cliccando su un messaggio si apre il visualizzatore email che mostra mittente, destinatario, oggetto, data e corpo del messaggio. Da qui puoi acquisire la singola email cliccando Acquisisci questa email. C.E.R.T.O. scarica il messaggio dal server, verifica DKIM/SPF/DMARC, analizza gli header, genera il PDF e lo screenshot, e applica la marca temporale.

C.E.R.T.O. 3.0 - Visualizzatore email con anteprima messaggio e pulsante acquisizione

Esempio reale: acquisizione di un'email di test

Abbiamo acquisito un messaggio di test inviato da gc@giovannicarrieri.it a email@acquisizioniforensi.it:

Oggetto:

Questa e un email di test!

Da / A:

gc@giovannicarrieri.it → email@acquisizioniforensi.it

Server IMAP:

imap.hostinger.com:993 (SSL/TLS, TLSv1.3)

Codice acquisizione:

187873f0-5f95-4ec7-9489-cec8a99a701a

Data acquisizione:

19 marzo 2026, ore 16:39:33 (Europe/Rome)

Autenticazione:

DKIM=pass, SPF=none, DMARC=fail

Percorso (2 hop):

smtpclient.apple → smtp.hostinger.com → fr-int-smtpin38.hostinger.io

I file generati dall'acquisizione

C.E.R.T.O. genera file a livello di acquisizione (rapporto, log, certificati SSL) e file per ogni singolo messaggio (EML, PDF, screenshot, verifica DKIM, analisi header). Sfoglia il contenuto — clicca su un file per visualizzarlo.

📁 187873f0-5f95-4ec7-9489-cec8a99a701a

1 messaggio acquisito
Rapporto e log
PDF
rapporto-acquisizione.pdf 390 KB Apri →
TXT
rapporto-acquisizione.txt 16.67 KB Visualizza →
LOG
acquisizione-log.txt 586 B Visualizza →
CONN
connessione-info.txt 3.56 KB Visualizza →
TSR
rapporto-acquisizione.tsr 4.56 KB Apri →
JSON
timestamp-info.json 1.89 KB Visualizza →
JSON
187873f0-5f95-4ec7-9489-cec8a99a701a-hashes.json 6.50 KB Visualizza →
IMAP
imap-protocol-log.json 29.45 KB Visualizza →
SH
verifica-integrita.sh 4.58 KB Visualizza →
Certificati SSL server email
CRT
ssl-server.crt 3.29 KB Visualizza →
DIR
ssl-certificates/ dir Sfoglia →
Messaggio: "Questa e un email di test!"
EML
INBOX/00001_uid2789/messaggio.eml 10.58 KB Visualizza →
PDF
INBOX/00001_uid2789/messaggio.pdf 100.29 KB Apri →
PNG
INBOX/00001_uid2789/messaggio.png 48.35 KB Apri →
JSON
INBOX/00001_uid2789/metadata.json 5.47 KB Visualizza →
HDR
INBOX/00001_uid2789/report-headers.txt 9.72 KB Visualizza →
DKIM
INBOX/00001_uid2789/dkim-verifica.json 1.91 KB Visualizza →
HOP
INBOX/00001_uid2789/header-analysis.json 1.08 KB Visualizza →
Metadati cartelle IMAP
JSON
INBOX/cartella-sommario.json 441 KB Visualizza →

Scarica l'intero pacchetto forense
Contiene tutti i file dell'acquisizione in un archivio ZIP (602 KB)

⬇ Scarica pacchetto forense (602 KB)

Cosa rende completa un'acquisizione email

L'acquisizione forense di un'email va ben oltre il semplice download del messaggio. Ecco cosa documenta C.E.R.T.O. per ogni email acquisita.

File EML originale

Il messaggio viene scaricato direttamente dal server IMAP in formato RFC 2822, preservando header completi, corpo, allegati e firma DKIM originale.

Verifica DKIM/SPF/DMARC

Per ogni messaggio vengono verificate le firme DKIM (autenticita), SPF (autorizzazione IP) e DMARC (policy dominio). I risultati sono salvati in un file JSON strutturato.

Analisi percorso

Gli header Received vengono analizzati per ricostruire il percorso del messaggio: ogni hop con server mittente, server destinatario, IP, protocollo e timestamp.

SSL server email

I certificati SSL del server IMAP vengono salvati: protocollo TLS (TLSv1.3), cipher suite, catena completa dei certificati con fingerprint SHA-256.

Log protocollo IMAP

Ogni comando IMAP inviato e ogni risposta del server vengono registrati: FETCH, FLAGS, ENVELOPE, RFC822. Prova che il messaggio proviene dal server.

PDF e screenshot

Ogni messaggio viene renderizzato in PDF e PNG per una visualizzazione immediata del contenuto, complementare al file EML tecnico.

Verifica questa acquisizione

Ogni acquisizione eseguita con C.E.R.T.O. e verificabile online tramite un URL univoco. Puoi controllare i dettagli, gli hash e lo stato della marca temporale di questa acquisizione.

Verifica acquisizione

Domande frequenti

Come si acquisisce un'email con valore legale?

Per acquisire un'email con valore legale serve scaricarla direttamente dal server IMAP in formato EML originale (RFC 2822), verificare le firme digitali DKIM/SPF/DMARC, analizzare gli header per tracciare il percorso del messaggio, documentare i certificati SSL del server e sigillare il tutto con hash crittografici e marca temporale. C.E.R.T.O. automatizza l'intero processo.

Cos'e la verifica DKIM e perche e importante?

DKIM (DomainKeys Identified Mail) e una firma digitale apposta dal server del mittente sull'email. Verificare il DKIM permette di confermare che il contenuto dell'email non e stato alterato dopo l'invio e che proviene effettivamente dal dominio dichiarato. C.E.R.T.O. verifica automaticamente DKIM, SPF e DMARC per ogni messaggio acquisito.

Perche non basta stampare un'email o fare uno screenshot?

Uno screenshot o una stampa di un'email sono facilmente falsificabili: chiunque puo modificare il contenuto visualizzato nel browser o nel client di posta. Un'acquisizione forense scarica il file EML originale dal server, preservando gli header tecnici che documentano il percorso del messaggio e le firme crittografiche. Questo rende la prova opponibile in giudizio.

C.E.R.T.O. supporta l'acquisizione di email PEC?

Si, C.E.R.T.O. supporta l'acquisizione di email PEC (Posta Elettronica Certificata) tramite protocollo IMAP. Vengono acquisiti sia il messaggio PEC con le buste di trasporto sia gli header specifici della PEC, documentando l'intero ciclo di certificazione.

Prova C.E.R.T.O. 3.0

Acquisisci email, pagine web, file e screenshot con valore legale. Verifica DKIM, marca temporale e verifica online.

Vedi prezzi Registrati gratis