青华文学

繁体版 简体版
青华文学 > 负债清算我用系统追回全城 > 第三十八章:19:20通知邮件

第三十八章:19:20通知邮件

清晨五点五十五,接收医院的行政楼还在半睡半醒的灰光里。

楼道尽头的自动门轻轻开合,发出细微的吸气声。林昼站在门边,手里攥着一份新打印出来的“邮件调取要点”。纸上没有煽动性的字,只有一串串技术字段:message-id、received链、dkim签名、时间戳、出站网关标识、mtahost、投递状态、延迟原因、附带的日志索引号。

他盯着“1920通知邮件”四个字,像盯着一扇门的门牌。门牌已经挂在那儿了,门里有没有人、有什么人,必须打开才知道。

供应商在盖章摘要里写得很清楚:1920,邮件通知医院信息科联系人。

如果这封邮件真的发送并投递成功,那么医院“未提出禁变窗口”的辩解就站不稳――医院至少应知晓变更窗口与风险;如果邮件发送但未投递成功,就意味着供应商通知机制失效或被网关阻断;如果邮件投递成功却被系统篡改、或邮件头显示经由某个不该出现的中继节点,那么东京回路将不再是猜测,而会变成“关键通知链路的真实路径”。

通知邮件不是普通邮件。它是变更控制的“告知义务”与“风险管理”落地的唯一凭据之一。它也是对方最可能做手脚的地方:你看不见的地方最容易断尾。

林昼把纸按在掌心里,走向法务室。

---

早上七点二十,监管发起正式调取申请:要求原医院提供该通知邮件的原始eml文件(含完整邮件头与附件)、以及原医院邮件系统关于该邮件的投递日志(收件人邮箱投递状态、延迟、退信、隔离等记录)。同时,监管要求供应商提供其发件侧的出站日志(smtp投递记录)与对应工单引用。

这是一个标准动作:双向核对。

单方提供的邮件容易作假,双向的投递链条更难伪造。发件侧说发了,收件侧说没收,日志就会讲真话;发件侧说发了而收件侧也说收了,但邮件头显示中间多走了一段路,路径就会讲真话。

梁组长把调取行动安排发给林昼:“今天上午十点,监管到原医院信息科邮件系统管理员处现场调取。供应商派人远程协助。可能会以‘涉及隐私’拒绝提供eml。”

林昼回:“eml可脱敏,但邮件头必须完整。隐私可以遮正文,不能遮received链、message-id、dkim、时间戳。没有这些就无法核对链路。”

梁组长回:“监管也这样要求。”

林昼又补:“同时调取邮件系统的安全审计:是否有人在1920-2030之间对收件人邮箱做过规则变更、隔离策略变更、或删除操作。若对方说‘不记录’,那是重大合规问题。”

梁组长回:“明白。”

他知道这一步会非常危险。对方一旦意识到邮件头会暴露链路,就会用尽办法阻断调取:说系统升级、说管理员不在、说只给截图不给文件、说隐私不让看、说日志留存不足、说邮件被清理。

每一个“说”,都要被写进笔录。写进笔录,就会变成下一次升级的理由。

---

上午九点五十,接收医院法务把“邮件调取要点”交给监管随行人员。林昼没有去现场,但他在法务室里准备好所有“下一问”:如果邮件找不到,问为什么;如果邮件找到了,问路径;如果路径异常,问节点;如果节点推给“全球加速”,问加速对象与日志;如果日志不给,问合同与合规。

十点零六,梁组长发来第一条现场消息:“信息科说收件人邮箱是个人邮箱(非公共邮箱),担心隐私不愿提供原始邮件。监管要求现场由管理员登录查看并导出eml,仅用于监管核查,不外传。”

十点十二,梁组长:“管理员说无法导出eml,只能截图。”

林昼看到“只能截图”四个字,心里一沉。截图是最容易被操控的呈现方式:你看不到完整头,你看不到折叠字段,你看不到原始编码,你看不到dkim签名。截图只能让你看见他们允许你看见的部分。

他立刻回:“要求管理员使用邮件客户端显示‘原始邮件查看源代码’页面,监管拍照记录(在监管授权下),并在笔录中抄录关键字段:message-id、date、received链至少三跳、dkim-signature。即便不能导出eml,也必须在源代码视图下核对。”

梁组长回:“监管正在要求‘查看源代码’。”

十点二十二,梁组长:“管理员打开了‘查看源代码’,但页面只显示部分头,received链被折叠,需要滚动。监管要求全程拍照记录。采购处人员在旁边很紧张。”

十点二十九,梁组长发来一条更关键的信息:“我们在源代码里看到了mgw标识。邮件头有‘x-mgw-policym-supv3.1-hotfix’字段。”

林昼的呼吸一瞬间变得更浅。通知邮件的头里出现“x-mgw-policym-supv3.1-hotfix”。这意味着在1920时刻,邮件安全网关确实运行在热修复策略上。它把v3.1-hotfix从“发布记录”拉到了“真实运行证据”。同时,它也给了一个对照点:既然1920运行的是hotfix,0218回滚到v2.9之后邮件头应当显示不同策略字段。只要对比转运当夜前后两封邮件头,就能验证回滚是否影响了邮件策略运行。

林昼回:“这是关键字段。务必抄录并拍照,写入笔录。接下来要看received链里是否出现境外中继或异常时区跳转。尤其注意‘by’后的主机名与时间戳。”

梁组长回:“正在看。”

十点三十八,梁组长:“received链有四跳。第一跳是供应商出站服务器,第二跳显示一个‘edgerelay’节点,主机名包含‘tok’字样(类似tok-xxx),时间戳显示+0900。第三跳进入原医院mgw,第四跳投递到收件人邮箱。采购处解释‘tok是token缩写’,但节点时区确实是+0900。”

+0900。tok。edgerelay。

东京回路的影子一下变得清晰:不是传,不是推断,是received链里写着+0900的边缘中继节点。主机名包含tok――他们可以说是token缩写,但在这种语境下,它更像tokyo的缩写。更重要的是时区:+0900不是中国常用时区。received链里出现+0900意味着邮件经过了位于日本时区的服务器或使用日本时区配置的中继。

这不是“全球加速”四个字能轻易抹掉的,因为它出现在关键通知邮件的链路里。通知邮件属于变更控制,如果变更控制通知都要绕到+0900的中继,那么数据流向与合规边界就必须被解释。

林昼没有让自己兴奋。他知道对方下一步会怎么做:

*说+0900是服务器配置错误;

*说tok只是字符串;

*说edgerelay是cdn;

*说邮件内容不含敏感数据;

*说这不代表医疗数据跨境。

这些话都可能成立一部分。但它们都需要证据。证据就是:中继节点用途说明、日志留存、加速对象、以及是否存在跳板机日志。没有证据,解释就只是烟雾。

他立刻回梁组长:“必须把第二跳的完整主机名、时间戳、‘by’字段抄录进笔录,并拍照。然后要求原医院与供应商解释:该edgerelay节点属于什么设施(cdn邮件中继跳板机),用途是什么,是否在合同等保测评中披露。并要求提供该节点的日志留存机制摘要。不能只说‘配置错误’。”

梁组长回:“监管已经问了。供应商远程人员说这是‘全球邮件加速网络’的边缘节点,不存储邮件内容,只做转发。日志属于第三方平台,无法提供。”

“第三方平台无法提供”――又是把责任推给外部。推给外部是可以的,但外部必须可核对:第三方是谁?服务协议是什么?数据处理条款是什么?有没有跨境评估?有没有等保披露?没有这些,所谓第三方只是黑箱。

林昼回:“让他们至少提供:第三方平台名称(可脱敏到类型也行)、数据处理条款摘要、以及是否进行跨境评估或备案的说明。再退一步,至少提供内部合规评估结论编号。否则‘无法提供’会被记录为拒绝配合。”

『加入书签,方便阅读』