Zitat Zitat von noctem Beitrag anzeigen
Wenn er aber über einen SSH-Tunnel seine Mails abruft dann musst du erst ein mal etwas dagegen finden bevor du dich um die eigentlichen pop3-Pakete kümmerst.
Über MITM/ARP-Spoofing die verschlüsselten Datenpakete abfangen ist in der Regel kein Problem, nur kannst du damit nichts anfangen.
Und nochmal: Wenn er über einen SSH-Tunnel geht sind die pop3-Pakete verschlüsselt innerhalb der SSH-Pakete und somit auch gar nicht als solche erkennbar, was auch ein Filtern/Umleiten/whatever unmöglich macht.

Du müsstest also erst mal nach dem SSH-Tunnel schauen oder eben direkt auf dem Rechner des Angegriffenen zu Werke gehen.

~noctem