Изначально, я поверил в правдивость выложенных писем, так как на многих письмах была валидная DKIM-подпись. Я даже доказывал это людям, не понимавшим, что такое DKIM. Тем не менее, внимательно посмотрев на письма, я пришёл к выводу, что это — подделка.
Я колебался выкладывать ли опровержение или нет — не хотелось, чтобы фальсификаторы узнали, где прокололись и скорректировали тактику. Но, всё же, решил написать, чтобы технически подкованные люди не попали в ту же ловушку, что и я.

Как была сделана подделка:
Группой людей был зарегистрирован ящик butusov.yuriy@gmail.com (а также остальные ящики, участвовавшие в переписке). Между этими ящиками в течение нескольких месяцев велась (очень скудная) переписка. Недавно, письма скачали с ящика и передали в «КиберОполчение» (если, конечно, не само «КиберОполчение» занималось фальсификацией).

Когда я начал смотреть на письма, я был совершенно уверен, что уж правдивость самой базовой информации (о том, что ящик butusov.yuriy@gmail.com действительно принадлежит главреду censor.net) была проверена и не подлежит сомнению. Оказалось, никто ничего не проверял.

Косвенная улика, заставляющая задуматься:
Ящик butusov.yuriy@gmail.com (и все остальные ящики людей из переписки) не был известен ни гуглу, ни Яндексу до даты слива. Сам Юрий указывал другой ящик на facebook — butusov76@gmail.com.
Это не может служить доказательством — личные ящики могли быть не засвечены.
Но выглядит очень странно: Возьмём, например «полу-спам» письмо «Поддержи армию» от «Army Help <atosupport@yandex.ua>». Казалось бы, этот ящик должен быть раскручен. Но его вообще нет в поисковиках.

Главная улика:
Письмо «На чистку» (3a85f96669e0065bc3486ddf476b1d0a.eml):

>Гарик, даю тебе ссылочки. по ним нужно подчистить на ресурсе. Вот эти совсем грохнуть:
censor.net.ua/photo_news/2941001/begstvo_iz_luganska_separatisti_brosili_svoi_agitki
censor.net.ua/photo_news/2744011/girkin_smertelno_ranen
Здесь закрой комменты:
censor.net.ua/photo_news/2936000/nikakih_nablydatelei_ot_obse_do_sih_por_ne_bilo_v_luganske

Здесь фальсификаторы прокололись по-крупному. Да, на censor.net адреса статей выглядят очень похоже, и начальные цифры совпадают со статями за соответствующие даты. Вот только реальные номера статей 6-значные, а не 7-значные. Если посмотреть на карту сайта, всё видно, как на ладони. Номера статей идут подряд, без пропусков, и недавно дошли до 300.000; до 3 миллионов придётся ждать ещё много лет. То есть ссылки просто придуманы (к номеру какой-нибудь статьи приписали цифру и придумали новый заголовок).
Фальшивое письмо имеет валидную DKIM-подпись. В фантастическую историю вроде «Злоумышленники послали настоящему Юрию письмо-фальшивку, Юрий это письмо не удалил, а через месяц злоумышленники взломали почту Юрия и забрали своё фальшивое письмо обратно (уже с подписью)» я не верю.

Доверия к переписке больше нет.

******************************
Про DKIM:

Итак, мы видим письмо, с валидной DKIM-подписью.
• Наличие валидной DKIM-подписи у письма означает, что сервер-отправитель письма подписался под тем, что это письмо (включая все заголовки, дату и т.д.) является истинным. Не больше и не меньше.
• Таким образом, при взломе почты могут быть подписаны только входящие письма (содержимое которых владелец ящика не контролирует). Отправленные письма в ящике самого отправителя не подписаны — только в ящике получателя.

Тем не менее:
• Мы можем доверять подписанному письму не больше, чем сервису, подписавшему его. Крупным сервисам, вроде gmail и yandex, обычно можно доверять в таких вопросах, но надо понимать, что доверять подписи письма от john@smith.com можно не больше, чем владельцу smith.com. Доверие относится не только к самому сервису, но и к тому, как он обеспечивает собственную безопасность. Если приватный ключ сервиса украден, то им могут быть подписаны любые письма. Также, верим серверу, что он проверил авторизацию пользователя и не разрешил пользователю, зашедшему под логином vasya отправлять письма от имени petya.
• Если подписанное письмо является ответом и цитирует части чужого письма, то этим цитатам можно доверять не больше, чем отправителю. Любой человек может написать поддельное письмо-ответ с любым содержимым и цитатами.
• DKIM не гарантирует, что человек, которому было отправлено письмо, прочитал его, или ответил на него. (очевидно)
• DKIM не гарантирует, что e-mail адрес, на который было отправлено письмо, принадлежит определённому человеку. (очевидно)