Acquisizione forense di email e PEC

Il modulo Email/PEC di C.E.R.T.O. esegue l'acquisizione forense di email e posta certificata: si collega al server IMAP in sola lettura, conserva l'EML originale con header, corpo e allegati, verifica DKIM/SPF/DMARC e — per le PEC — valida daticert.xml e la firma S/MIME del gestore. Tutto è sigillato come prova digitale con hash, marca temporale RFC 3161 e firma Ed25519. È lo strumento per CTU, CTP, periti, avvocati e forze dell'ordine che devono provare il contenuto, l'origine e la data di un messaggio.

Caratteristiche principali

Cosa fa questo modulo.

Connessione IMAP (password, App Password e OAuth2 per Microsoft).
Verifica delle firme DKIM e dei record SPF/DMARC + analisi degli hop (Received).
Analisi PEC: busta di trasporto, daticert.xml e firma S/MIME del gestore (AgID).
Preservazione del messaggio originale in formato EML.
Fascicolo BagIt 1.0 firmato Ed25519, doppia marca RFC 3161 e CASE/UCO.

Report forense finale: il cruscotto interattivo del fascicolo email — riepilogo, email acquisite, catena di custodia, inventario hash, connessione e protocollo IMAP, certificati SSL/TLS, marca temporale e verifica integrità.

Pipeline forense

Come opera il modulo.

Una procedura ripetibile e non invasiva: la casella viene letta in sola lettura e ogni messaggio è conservato nel formato originale, poi sigillato crittograficamente.

01 · NTP

Tempo sincronizzato

Sincronizzazione NTP multi-sorgente (Google/Cloudflare/pool) con offset e roundtrip documentati: il momento dell'acquisizione è ancorato.

02 · IMAP

Connessione sola lettura

Connessione IMAP su SSL/TLS in modalità EXAMINE (sola lettura), con password o Microsoft OAuth. Si registrano server, porta, IP e capacità del server.

03 · PEEK

Lettura non invasiva

I messaggi sono letti con BODY.PEEK: i flag non vengono modificati, i messaggi non risultano «letti». La casella resta esattamente com'era.

04 · EML

Originale conservato

Salvataggio dell'EML originale completo — header, corpo MIME e allegati — esattamente come ricevuto dal server, senza riformattazioni.

05 · AUTH

Autenticità email

Per le email ordinarie: verifica di DKIM, SPF e DMARC e analisi della catena degli header Received (gli hop di consegna, con IP e server).

06 · PEC

Validazione PEC

Per la posta certificata: validazione della busta di trasporto e di daticert.xml e verifica crittografica della firma S/MIME del gestore (accreditato AgID), con le ricevute.

07 · RENDER

Resa visiva

Ogni messaggio è reso anche in PDF e PNG per una consultazione fedele e immediata, affiancata all'EML autoritativo.

08 · HASH

Impronte

Hash crittografici MD5 + SHA-1 + SHA-256 + SHA-512 (FIPS 180-4) di ogni file: l'inventario che ancora l'integrità di tutto il fascicolo.

09 · SEAL

Firma e doppia marca

manifest.json firmato Ed25519 + doppia marca RFC 3161, confezionamento in fascicolo BagIt 1.0 con descrizione CASE/UCO e verificatori verify.sh / verify.bat.

Contenuto del fascicolo

Tutto ciò che viene generato.

Ogni acquisizione email/PEC produce un insieme coordinato di artefatti, ciascuno con un ruolo forense preciso, organizzati in cartelle dai nomi parlanti dentro data/.

EML originale

Il messaggio nel formato RFC 822/MIME originale — header completi, corpo e allegati — esattamente come consegnato dal server: è il media autoritativo del fascicolo.

evidence/email/…/message.eml

Resa visiva PDF/PNG

La resa fedele del messaggio in PDF e immagine PNG, per consultare il contenuto così come appare, accanto all'EML tecnico.

evidence/email/…/message.pdf · message.png

Allegati estratti

Ogni allegato è estratto e conservato con il proprio hash crittografico, così da poterne provare presenza e integrità nel messaggio.

evidence/email/…/attachments/

DKIM · SPF · DMARC

La verifica delle firme di autenticità del mittente e l'analisi della catena degli header Received (gli hop di consegna), con esito pass/fail.

network/dkim-verification.json · header-analysis.json

IMAP e certificati TLS

Il log della sessione IMAP (server, porta, capacità, modalità sola lettura) e le catene di certificati X.509 del server di posta.

logs/imap-protocol.txt · tls/certificates/

Report forense e hash

Il rapporto in PDF e TXT con la propria marca RFC 3161 e l'inventario completo degli hash (MD5/SHA-1/SHA-256/SHA-512) di tutti gli artefatti.

reports/report.pdf · hashes/file-hashes.json

Posta certificata

La struttura di una PEC, provata.

Quando la casella contiene messaggi PEC, C.E.R.T.O. ne riconosce e valida la struttura legale: busta di trasporto, daticert.xml, firma S/MIME del gestore e ricevute.

La casella PEC connessa in sola lettura: cartelle (INBOX, Inviata, Spam…), conteggio messaggi e selezione per l'acquisizione (intera casella o messaggi singoli). I messaggi PEC sono riconosciuti («Per conto di…», ACCETTAZIONE, CONSEGNA).

Il report forense di un'acquisizione PEC: contatori dedicati (messaggi PEC, ricevute, S/MIME, certificati SSL) e la sezione «Marca PEC» con la validazione di daticert.xml e della firma S/MIME del gestore. SPF/DKIM/DMARC non si applicano alle PEC.

Busta di trasporto + daticert.xml

La busta firmata dal gestore e il file daticert.xml (mittente, destinatari, oggetto, identificativo, data) vengono validati nei campi obbligatori AgID.

Firma S/MIME del gestore

La firma S/MIME del gestore è verificata crittograficamente e si controlla che il certificato sia emesso da una CA accreditata AgID: origine e integrità provate.

Ricevute di accettazione e consegna

Le ricevute PEC (accettazione, consegna, mancata consegna) sono riconosciute e acquisite: documentano il percorso legale del messaggio.

Auto-validazione

Un fascicolo che si verifica da solo.

Il fascicolo non richiede C.E.R.T.O. per essere validato: chiunque, anche fra anni, può verificarne l'autenticità con strumenti standard. La struttura BagIt 1.0 e il cruscotto interattivo lo rendono auto-esplicativo.

interactive.html — il cruscotto offline navigabile: riepilogo, email acquisite, marca PEC, catena di custodia, inventario hash, connessione/protocollo IMAP e verifica integrità lato client.
manifest.json firmato Ed25519 (RFC 8032), legato all'identità del dispositivo registrato al primo avvio.
Doppia marca RFC 3161: ancora interna su data/tsa.tsr e sigillo esterno su tagmanifest-sha256.txt.tsr. Cascata gratuita Sectigo→DigiCert→GlobalSign; InfoCert qualificata eIDAS opzionale.
manifest-sha256.txt e tagmanifest-sha256.txt (RFC 8493): fixity del payload e dei file di controllo; nessun file può essere aggiunto o alterato senza che la verifica fallisca.
metadata/evidence.case.jsonld — descrizione CASE 1.3 / UCO 1.4 della prova, e tsa-ca.pem per la verifica della marca anche offline.
verify.sh / verify.bat — verificatori autonomi: ricalcolano gli hash, controllano la doppia marca e la firma, e dichiarano «BUNDLE VALIDO».

2473d51a-…_bagit/
├─ bagit.txt  ·  bag-info.txt  ·  README.txt
├─ manifest-sha256.txt            fixity del payload
├─ tagmanifest-sha256.txt(.tsr)  fixity tag + sigillo esterno RFC 3161
├─ tsa-ca.pem  ·  verify.sh  ·  verify.bat
├─ metadata/evidence.case.jsonld   CASE/UCO
└─ data/
   ├─ manifest.json  firmato Ed25519  ·  tsa.tsr  ancora interna
   ├─ interactive.html     cruscotto offline
   ├─ evidence/email/   EML · PDF/PNG · allegati · (PEC) daticert + S/MIME
   ├─ reports/    report.pdf · report.txt · report.tsr
   ├─ network/    analisi header · DKIM/SPF/DMARC
   ├─ tls/        certificati X.509 server IMAP
   ├─ hashes/     inventario hash quadruplo
   └─ logs/ · metadata/

FAQ

Domande frequenti

Acquisizione forense di email e PEC, lettura non invasiva, validità della prova e verifica del fascicolo: le domande più comuni.

Cos'è l'acquisizione forense di un'email?

È la cattura di un messaggio email dal server IMAP in modalità di sola lettura, conservando l'EML originale con tutti gli header, il corpo e gli allegati, e sigillandolo crittograficamente così da poterlo usare come prova digitale verificabile da terzi.

In che modo l'acquisizione è "non invasiva"?

La connessione IMAP avviene in modalità EXAMINE (sola lettura) e i messaggi sono letti con BODY.PEEK: i flag non vengono modificati e i messaggi non risultano "letti". La casella resta esattamente com'era, requisito essenziale per la genuinità della prova.

Come si acquisisce una PEC (posta certificata)?

Per le PEC, oltre al messaggio C.E.R.T.O. valida la busta di trasporto e il file daticert.xml e verifica crittograficamente la firma S/MIME del gestore (accreditato AgID): così sono provate l'integrità e l'origine certificata del messaggio, con le relative ricevute di accettazione e consegna.

Vengono verificati DKIM, SPF e DMARC?

Sì, per le email ordinarie C.E.R.T.O. verifica DKIM, SPF e DMARC e analizza la catena degli header Received (gli hop di consegna). Per le PEC questi controlli non si applicano: l'autenticità è garantita da daticert.xml e dalla firma S/MIME del gestore.

L'acquisizione è valida come prova in giudizio?

Il fascicolo segue standard riconosciuti (ISO/IEC 27037, BagIt RFC 8493, RFC 3161, CASE/UCO) con firma Ed25519 e doppia marca temporale; autenticità e integrità sono verificabili da chiunque, anche offline. Per le PEC si aggiunge il valore legale della posta certificata. La valutazione finale spetta all'autorità giudicante.

Si possono acquisire più messaggi o intere cartelle?

Sì. Si può acquisire l'intera casella (tutte le cartelle) oppure selezionare i singoli messaggi da una qualsiasi cartella (INBOX, Inviata, ecc.). Ogni messaggio è salvato come EML originale e reso anche in PDF/PNG per la consultazione.

Email e PEC