GMAIL

вариант с подделкой хедера письма с вашим IP для заведомой провокации?

через наш корпоративный прокси-сервер и почтовую службу Gmail, наш работник отправил "плохое" письмо в такое-то время на такой-то адрес.

Админ должен был в первую очередь проверить логи прокси в такой ситуации, и сразу исключить вариант спуфинга.

ордер в россии имеет отношение к рынку ценных бумаг, а не к орд.

осуществлять орд обязаны органы осуществляющие орд, а не какая-либо иная организация. все отношения с такими органами строятся на основе повесток и запросов, а не телефонных звонков. Вы даже не знаете с кем говорили, не говоря о том, какой орган интересовался вашим работником.
Федеральный закон от 12 августа 1995 г. N 144-ФЗ "Об оперативно-розыскной деятельности" (с изменениями от 18 июля 1997 г., 21 июля 1998 г., 5 января, 30 декабря 1999 г., 20 марта 2001 г.)
Статья 13. Органы, осуществляющие оперативно-розыскную деятельность

На территории Российской Федерации право осуществлять оперативно-розыскную деятельность предоставляется оперативным подразделениям:

1. Органов внутренних дел Российской Федерации.

2. Органов федеральной службы безопасности.

3. Федеральных органов налоговой полиции.

4. Федеральных органов государственной охраны.

5. Органов пограничной службы Российской Федерации.

6. Таможенных органов Российской Федерации.

7. Службы внешней разведки Российской Федерации.

8. Министерства юстиции Российской Федерации.
***

Через web-интерфейс да. Возможно работник исользовал для отправки mail-клиент? Если так, то в заголовках могли присутствовать, и IP, и hostname в Message-ID, и клиент мог быть не настроен на использование ssl .

В случае с веб интерфейсом, генерация Меssage-ID тоже происходит, гуглом. Можно поизучать что там содержится.

@*google.com , @gmail.com или что-то подобное, ничего выдающегося )
В случае с почтовым клиентом (с настройки по дефолту ) – реальное имя хоста .

Раскодируйте base64 часть, и глядите что там помимо времени и неизвестного числа случайных байт.

Вообще гмыл имеет заголовок:
Received: from.... – и дальше идет айпишник откудо оно received. Можете сами посмотреть.

Заголовки Received отражают путь между MTA (почтовыми серверами), так что сами по себе несут угрозу для анонимности, только если отправитель не держит почтовый сервер на собственной машине.

Там точно есть поле, что-то типа Originating IP — это внешний IP отправителя письма. Гмейл раньше его не проставлял, так что откуда физически было отправлено письмо, узнать получателю было нельзя. А вот mail.ru его проставлял, например. Как сейчас, не знаю.

Попробуйте отправить через gmail зашифрованное gpg письмо. Реакция будет мгновенной: блокировка аккаунта с просьбой реактивации через мобильник, само письмо отправлено не будет. Ранее блокировали и Tor, но потом блок по каким-то причинам сняли. Вот такое вот гугломыло.

https://safe-mail.net
https://www.netaddress.com
https://xmail.net

Реакция будет мгновенной: блокировка аккаунта с просьбой реактивации через мобильник

неправда ваша.
периодично отправляем (с пользованием почт клиента)

Они бы могли так с вирусами бороться. Вообще, у гмыла много заморочек. Там запрещено было прикреплять исполнимые файлы и, кажется, даже какие-то архивы к письму.

блокировали и Tor, но потом блок по каким-то причинам сняли

Потому что чем больше ваших узлов в Tor, тем вам легче его контролировать. Больше всего узлов – у США...

неправда ваша. периодично отправляем (с пользованием почт клиента)

правда наша. попробуйте через web-интерфейс это проделать.

попробуйте через web-интерфейс

коли так (проверять не очень хочется) решение напрашивается само собой – почтовый клиент