Misschien gewoon iemand die de credentials heeft en dus (il)legaal toegang tot de mail? Als forensisch expert moet je toch weten waar je naar moet kijken. Begin eens door te kijken op welke manieren de mail opgehaalt kan worden, kijk vanaf waar er is ingelogt etc. etc.

Een [url=http://en.wikipedia.org/wiki/Man-in-the-middle_attack]MitM-aanval[/url] is niet zoeer een derde persoon die ergens bij komt waar dat niet toegestaan is, maar een aanval waarbij er in de communicatie tussen twee partijen een afluisterende partij zich invoegt.
Deze Man-in-the-Middle houdt de communicatie in beide richtingen instand, zodat geen van de andere partijen hier iets van merkt.

In dit geval zou het van alles kunnen zijn:
- Een [url=http://en.wikipedia.org/wiki/Cross-site_scripting]Cross Site Scripting (XSS)-aanval[/url], waarbij er een mailtje geopend is die code in de browser injecteert en daarmee de sessie hijackt.
- Een [url=http://en.wikipedia.org/wiki/Csrf]Cross Site Request Forgery (CSRF)-aanval[/url], waarbij de mailserver verzoeken accepteert van de aanvaller, waar dit niet zou mogen.
- Een [url=http://en.wikipedia.org/wiki/Brute_force_attack]brute-forceaanval[/url], waarbij alle wachtwoordcombinaties worden uitgeprobeerd.
- Misschien heeft je collega Post-its laten slingeren.
- Misschien heeft je collega malware op z'n Pc staan.
- Misschien heeft je collega een zwakke vraag ingesteld, die geraden is.

En zo zijn er vast nog wel meer dingen te bedenken.

Is het bedrijfsmail, webmail, gratis of niet?
Misschien als je wat meer info geeft, dat we specifieker kunnen raden :P

Bedankt voor julie reacties.

Mijn kennis heeft geen post-its late slingeren. Zijn virus scanner is up to date evenals zijn firewall. Het kan zijn dat het wachtwoord geraden is. Ik zal kijken wat er gebeurt als het wachtwoord veranderd is. Wat zal ik kunnen doen om een XSS of CSRF aanval te detecteren en "op te heffen"?

Zijn mail adres is van zijn provider. Naar mijn weten gebruikt hij geen zwakken wachtwoorden. Ik heb hem altijd uitgelegd dat hij een sterk wachtwoord moet gebruiken.

is geen mitm, of al die andere afkortingen.

is gewoon iemand die zijn mail meeleest.

password aanpassen, klaar.

er zijn websites die je een account aan laten maken, met een mailadres als usernaam.
gebruik je je standaard password daarvoor, dan hebben ze een mailadres en een password... ;-)

Laat je kennis aangifte doen.

Waarom denkt hij dat zijn mail gelezen wordt? Zijn er echt harde aanwijzingen, zoals als gelezen gemarkeerde emails waarvan hij zeker weet dat hij ze nog niet heeft gezien? Of zijn er alleen minder directe aanwijzingen?

"Mijn kennis heeft geen post-its late slingeren. Zijn virus scanner is up to date evenals zijn firewall. Het kan zijn dat het wachtwoord geraden is. Ik zal kijken wat er gebeurt als het wachtwoord veranderd is."

Kijk ook even na wanneer je het wachtwoord verandert of er een forward staat op de email; misschien wordt er een kopie van ieder mailtje naar een ander adres gestuurd. Bij de meeste providers kan je dit bij je webmail instellen.

Heeft de bewuste persoon niet gewoon zijn mail-client open laten staan en zag hij zo een mail als 'gelezen' staan i.p.v. 'ongelezen'?

De 'Man in the middle' had die persoon zelf niet gezien waarschijnlijk... Die kan op ieder niveau zitten; op kantoor, de ICT leverancier (webhoster?) zijn/haar ISP-provider, het datacenter (of personeel ervan).

Wat ook regelmatig voorkomt is het volgende. Stel er is een gebruiker Alice die jij (onterecht) vertrouwt, en een gebruiker Bob waarvan jij vermoedt dat deze toegang heeft tot jouw mailbox, omdat hij zaken weet uit mails die jij met Alice uitwisselt.

Het is dan heel goed mogelijk dat Bob helemaal geen toegang heeft tot jouw mailbox, maar van Alice mails krijgt doorgestuurd (ook is het natuurlijk mogelijk dat Bob wel toegang heeft tot een mailbox, maar niet die van jou). Als jij aan Bob vraagt of hij middels toegang tot jouw mailbox jouw mail leest (bijv. omdat hij zich over de inhoud van een mailtje versproken heeft) zal hij dat terecht ontkennen. Maar in de praktijk zal hij ook niet snel geneigd zijn om Alice te verlinken: dat leidt waarschijnlijk tot een vertrouwensbreuk tussen jou en Alice waardoor Bob ook naar z'n interessante meekijkmailtjes kan fluiten...

Andere mogelijkheid: bij sommige mailclients kun je (soms verstopt in de instellingen) een "permanent BCC" email-adres instellen. Als een aanvaller kortstondig toegang heeft gehad tot jouw mailclient kan hij daar zijn eigen emailadres hebben ingevuld, waardoor er automatisch kopiën naar hem worden gestuurd van elke mail die jij zendt. Op linux/unix servers is zoiets ook mogelijk met een .forward file. Mails "de andere kant op" ontvangt de aanvaller dan natuurlijk niet, maar in de praktijk worden ontvangen mails gequote waardoor de informatie vaak wel compleet voorbij komt.

Als jouw kennis zijn wachtwoord wijzigt, laat hem dan ook zijn vraag/antwoord wijzigen dat de meeste webmailers toepassen indien je aangeeft dat je je wachtwoord vergeten bent....

Ter aanvulling (beetje zeikerig misschien): formeel gesproken is er ook sprake van een MitM attack als slechts in één van de richtingen het verkeer via de aanvaller wordt omgeleid. En het gaat natuurlijk niet alleen om afluisteren, als aanvaller kun je ook naar wens de voorbij komende data manipuleren en/of bijv. bewust met enige vertraging doorsturen.

Gedacht kan worden aan het "aanvullen" van Microsoft patches of AntiVirus engine updates. Hoe denk je anders dat sommige Duitsers politie-trojans op hun systeem krijgen? (En wie weet wat jij en ik al van hun NL collega's hebben gekregen, is jouw systeem de laatste tijd ook zoveel trager? 8-)

Helaas kan ik nergens lezen, waaruit die persoon kan concluderen dat zijn mail door iemand anders wordt gelezen. Zonder die info is al het hierboven geoperde zinloze speculatie.

Waarom niet bij het begin beginnen?

Waarom zo moeilijk doen? Gewoon stoppen met mail ophalen in plain text mode. Een beetje mailserver ondersteunt TLS, gebruik dat dan ook.
Verder gewoon wachtwoord wijzigen en dan zou het hele verhaal opgelost kunnen zijn.
Wordt er wifi gebruikt? Toch geen speedtouch dan met standaard WPA phrase? Zoja, WPA phrase aanpassen en het feest is over voor degene die dit doet.
Een wireless verbinding is namelijk helemaal perfect om dit soort zaken te sniffen. Kijk hiervoor bijvoorbeeld maar eens naar de filmpjes bovenaan het forum.

Verder, wanneer degene die hier last van heeft zelf niet genoeg verstand van zaken heeft om dit op te lossen, waarom dan niet gewoon een paar uur een it'er inhuren om het te laten doen?