整。隐私可以遮正文,不能遮Received链、Message-ID、DKIM、时间戳。没有这些就无法核对链路。”
梁组长回:“监管也这样要求。”
林昼又补:“同时调取邮件系统的安全审计:是否有人在19:20-20:30之间对收件人邮箱做过规则变更、隔离策略变更、或删除操作。若对方说‘不记录’,那是重大合规问题。”
梁组长回:“明白。”
他知道这一步会非常危险。对方一旦意识到邮件头会暴露链路,就会用尽办法阻断调取:说系统升级、说管理员不在、说只给截图不给文件、说隐私不让看、说日志留存不足、说邮件被清理。
每一个“说”,都要被写进笔录。写进笔录,就会变成下一次升级的理由。
---
上午九点五十,接收医院法务把“邮件调取要点”交给监管随行人员。林昼没有去现场,但他在法务室里准备好所有“下一问”:如果邮件找不到,问为什么;如果邮件找到了,问路径;如果路径异常,问节点;如果节点推给“全球加速”,问加速对象与日志;如果日志不给,问合同与合规。
十点零六,梁组长发来第一条现场消息:“信息科说收件人邮箱是个人邮箱(非公共邮箱),担心隐私不愿提供原始邮件。监管要求现场由管理员登录查看并导出eml,仅用于监管核查,不外传。”
十点十二,梁组长:“管理员说无法导出eml,只能截图。”
林昼看到“只能截图”四个字,心里一沉。截图是最容易被操控的呈现方式:你看不到完整头,你看不到折叠字段,你看不到原始编码,你看不到DKIM签名。截图只能让你看见他们允许你看见的部分。
他立刻回:“要求管理员使用邮件客户端显示‘原始邮件/查看源代码’页面,监管拍照记录(在监管授权下),并在笔录中抄录关键字段:Message-ID、Date、Received链至少三跳、DKIM-Signature。即便不能导出eml,也必须在源代码视图下核对。”
梁组长回:“监管正在要求‘查看源代码’。”
十点二十二,梁组长:“管理员打开了‘查看源代码’,但页面只显示部分头,Received链被折
本章未完,请点击下一页继续阅读!