Ну вот у меня на отправку - MD-5 CRAM-HMAC Запрос/Подтверждение (RFC- 2095) и на получение RFC- 2554 и всё равно: нет веры бесплатным почтовикам...

Это понятно, поэтому хотелось бы обсудить реальные случаи взлома.

Павлэ, ну давайте тогда классифицируем для целей исследования этот момент. Смотрите.
1) СОРМ - тут всё сложно
2) Реальный взлом - интересно
3) Слив админами - обсуждали выше
4) Ошибка в коде - не аналог реального взлома, а лишь потенциальная уязвимость
Реальный взлом ведь возможен не только технически, но и соц. инженерией. Технический - зависит от навыков/ресурсов.

Меня, если честно, интересуют варианты из серии, кто-то кому-то (в погонах)
позвонил, тот надавил на кого-то, являющегося начальством для админа, ну
а начальство на админа надавило и заказчик в итоге получил доступ к ящику.
Насколько это реально? Были ли прецеденты в вашей юридической практике?

Тут надо уточнить, о каких админах идёт речь? Если это бесплатные рамблер, мэйл и прочие - то там СОРМ (таковы условия получения лицензии) - и там никому звонить никуда не надо: дяди имеют доступ из офиса, попивая чаёк.
Абсолютно реально: изымали сервера, с админов выбивали (в прямом смысле слова) пароли и т.д.

В смысле звонят напрямую админу, и тот сразу сообщает ему пароль по телефону? :)
Ну а бумаги (санкции) какие-то нужны им для этого иметь, или чистый воды гопстоп? :)

Ну, так как я не "техник", а юзер, то опишу своими словами. Это нечто вроде интерфейса удаленного доступа.
И да, и нет. Тут ведь как: пришли, забрали, инфу скопировали и отдали-извинились (или же не отдали). А обосновать - всегда можно

Если речь всё ещё идёт про СОРМ, то там всё предельно просто - это обычный сервак, жрущий дармовое электричество в стойке любого отечественного провайдера. В него включается 2 провода. Первый уходит к фсбшникам, которые и притащили сервак, а по второму провайдер обязан сливать копию всего своего трафика. В случае если у кровавой гэбни пропадает связь с серваком - в офисе провайдера раздаётся звонок и протокольный голос интересуется чего случилось и не надоела ли провайдеру его лицензия.

Во всяком случае именно так это выглядело несколько лет назад :-)

Добавлено через 2 минуты
Из мер защиты использую GPG (Gnu Privacy Guard) для общения с представителями технической интеллигенции.
В остальной переписке остаётся уповать на то, что оператору СОРМ будет не слишком скучно проглядывать мою эпистолярщину за утренним кофе.

К сожалению, в данном случае это не похоже на простую подмену адреса отправителя. Такой заголовок "Received" получается в том случае, если письмо не отправили, а загрузили в почтовый ящик, создав черновик и переместив его в папку "Входящие". При этом в поле "From" автоматически подставляется адрес из настроек учётной записи.

Мне тоже "Давно пытаюсь создать с нуля..." пришло. Пароль был стойкий, доступ к ящику осуществлялся только с одного компьютера, на котором ничего подозрительного не нашлось (проверял с помощью CureIt, AVZ, ClamAV). Пароль знал только я. При аутентификации использовался протокол HTTPS. Если верить полю "Date", компьютер на момент создания письма был выключен. Также я обычно завершаю сессию в веб-интерфейсе и не храню cookie от почты. Похоже, что злоумышленник должен был знать пароль или обойти проверку.

А по ссылкам в этих письмах действительно вирус. Я один файл загрузил — там архив, в архиве файл с расширением scr, а там Trojan.Carberp.10 по классификации DrWeb.

Это опечатанная коробка, внутри которой сервак. Прямой монтаж в стойку запрещен.
В ручную просматривать можно, но этого никто не делает. Всё на технике. В ручную - только по запросу.

Интересно-интересно. Павел Ваш комментарий?

Добавлено через 2 часа 57 минут
Кстати, пара статей в тему Кто из ФСБ работает на форумах и в блогах и Грязные руки