АРХИВА 10 Help

Журнальные сообщения

Журналирование почтового сервера — важная функция, обеспечивающая надежное хранение копий всех сообщений, прошедших через сервер. Вот основные моменты, касающиеся процесса журналирования и работы с конвертами сообщений:

  1. Пересылка сообщений. Журнальные сообщения могут пересылаться во временный почтовый ящик, откуда их собирает архивный сервер, или направляться напрямую в архивный сервер по SMTP.

  2. Структура конверта. Конверт представляет собой электронное письмо формата RFC2822, в теле которого содержатся метаданные о журналируемом сообщении. Исходное сообщение прикрепляется как вложение.

  3. Метаданные. Конверт содержит важную информацию, такую как:

    • Исходный и конечный адреса

    • Время отправления

    • Получатели и копии сообщения

    • Информация о новостных группах

  4. Архивирование. При архивировании АРХИВА сохраняет как конверт, так и прикрепленное исходное сообщение. Во время просмотра сообщений система распаковывает конверт и отображает только оригинальное сообщение.

  5. Индексация. АРХИВА проверяет конверт и корректно индексирует поля, что упрощает дальнейший поиск и анализ сообщений.

  6. Экспорт журнала. В Настройках поиска вы можете активировать опцию "Экспортировать Журнальное сообщение". Это позволит вам экспортировать как конверт, так и исходное сообщение, что поможет в дальнейшем анализе.

  7. Проверка функции журналирования. Если вы не можете открыть конверт, это может указывать на проблемы с функцией журналирования. Убедитесь, что она активирована и работает корректно.

Следуя этим рекомендациям, вы сможете эффективно управлять журналированием сообщений и обеспечивать надежность хранения данных для аудита и мониторинга.

Exchange 2003

Exchange 2003 поддерживает базовые функции журналирования и отправки журнальных сообщений. Когда функция журналирования включена, журнальное сообщение создается с вложенным в него исходным сообщением, перед тем как быть посланным в почтовый ящик журнала. Как журнальное сообщение в Exchange 2003 содержит следующую информацию:

Sender: "External E-mail Support" <smtp:Administrator@contoso.com> Message-ID: <72F2A6CEB90C7F4C8D051364BF4A9FA41A89@lag.contoso.com <mailto:72F2A6CEB90C7F4C8D051364BF4A9FA41A89@lag.contoso.com>> Recipients: "External E-mail Support" <smtp:Administrator@contoso.com>, "Lene Aalling" <smtp:lenea@contoso.com>, "Katja Heidemann" <smtp:katjaheidemann@contoso.com>, "Doug Hite" <smtp:doughite@contoso.com>, "Chris" <smtp:chris@contoso.com>, "Katja folder" <smtp:Katjafolder@contoso.com>, "Wide World Importers Folder" <smtp:WWIFolder@contoso.com>, "Jeff Low" <smtp:JLow@contoso.com>

Чтобы эффективно управлять получателями сообщений в АРХИВА, обратите внимание на следующие моменты:

  1. Получатели и BCC. Все получатели, включая тех, кто находится в новостных группах и BCC, заносятся в поле " Получатель". Это позволяет систематически отслеживать, кто получил сообщение.

  2. Права доступа. Пользователи должны иметь разрешение на просмотр получателя в своей роли. Если это разрешение предоставлено, они смогут искать по полю "Получатель" и видеть соответствующую информацию при просмотре сообщения.

  3. Показ заголовков. При наличии необходимых прав пользователи смогут видеть поля "Получатель" и "Отправитель" в заголовке сообщения, что делает информацию о получателях доступной для быстрого анализа.

  4. Ограничения Exchange 2003.

Эти шаги помогут вам настроить и использовать функции журналирования и управления получателями в АРХИВА для более эффективного аудита и анализа сообщений.

Документация по журналированию в Exchange 2007/2010

1. Журнальные сообщения

  • В Exchange 2007/2010 журнальные сообщения содержат больше информации по сравнению с предыдущими версиями.

2. Разделение данных

  • АРХИВА может разделить данные о:

    • BCC-получателях: заносятся в поле "ВСС" ("Скрытая копия").

    • Группах получателей: заносятся в поле "TO" ("КОМУ").

3. Доступность информации

  • Все полученные данные также доступны в полях получателя.

4. Дополнительная информация

  • Для более подробной информации о формате журнальных сообщений Exchange 2007/2010, посетите Microsoft Technet.

Конверты Google Audit

АРХИВА поддерживают показ и индексирование конвертов с сообщениями Google Audit. Эти сообщения содержат метаданные об исходном прикрепленном. Вложение содержит сообщение в формате txt-файла, а он в свою очередь содержит исходное сообщение в формате RFC2822**.** При архивировании конвертов Google audit АРХИВА хранит и конверт, и прикрепленное к нему исходное сообщение.

IpSwitch IMail Журналирование

Если функция журналирования включена в iMail, получатели скрытых копий (bcc) добавляются в полю BCC в сообщении. Более того, группы получателей автоматически распространяются в поля To (Кому), From (От кого), CC (Копия письма) и BCC ( Скрытая копия). Ожидаемо АРХИВА просто индксирует информацию из заголовка в нужные поля.

Postfix/Sendmail Журналирование

Postfix and sendmail не предоставляют журнальных сообщений или данных о скрытых копиях. У АРХИВА есть способ, который может помочь вам извлечь нужную информацию с упомянутых почтовых серверов. Когда электронное письмо, отправленное адресатам A и В, обрабатывается Postfix/Sendmail, письмо дважды посылается на АРХИВА - по разу на каждого получателя. Можно настроить АРХИВА таким образом, что она будет собирать информацию о получателе (адресате) при каждой отправке письма и обновлять журнальное сообщение дополнительной информацией, например, о новом получателе. Вся собранная информация rcptto будет проиндексирована в поле "Получатель". Таким образом, можно осуществлять поиск непосредственного получателя сообщения, используя поле получателя. Для того чтобы использовать поле получателя при поиске, право на просмотр получателя должно быть добавлено к роли пользователя. Для включения этой опции в Настройки -> Настройки архива отметьте галочкой "Совмещать RCPTTO для одинаковых сообщений".

Дополнительные заголовки АРХИВА

В дополнение к парсингу и индексированию конвертов журнальных сообщений АРХИВА включает в заголовок следующую дополнительную информацию.

Точное время архивирования: X-Archiva-Archive-Time: Tue, 1 Dec 2010 08:48:15 -0500 (EST)

Замечание: Используемое время - время системных часов архивного сервера. Необхдимо убедиться, что время на сервере установлено корректно. Настоятельно рекомендуется использовать временной NTP-сервер.

X-Archiva-RcptTo: archive@archiva.com

Дополнительные rcptto-данные, взятые из SMTP или milter протоколов. Они предоставляют дополнительную информацию о том, кому письмо на самом деле было отправлено. Для получения более подробной информации об этом прочитайте секцию о Postfix/Sendmail чуть выше.

X-Archiva-MailFrom: admin@company.com

Замечания, касающиеся меток времени

SMTP-протокол, несмотря на свою простоту и распространенность, имеет ряд недостатков, особенно в вопросах безопасности и точности временных меток. Вот основные моменты, которые стоит учитывать:

  1. Фальсификация данных. SMTP не имеет встроенных механизмов для проверки подлинности отправителя, что позволяет злоумышленникам подделывать адреса электронной почты.

  2. Проблемы с временными метками. Дата и время отправления сообщения зависят от настроек компьютера отправителя, что создает риск неправильного отображения. Это особенно актуально для входящих сообщений, где вы не можете контролировать устройство отправителя.

  3. Заголовки получения. Заголовки, которые фиксируют время получения сообщения различными почтовыми серверами, могут служить более надежным указателем времени, так как они устанавливаются серверами, а не клиентами.

  4. Архивные временные метки. Временная отметка от архивного сервера, как в случае с полем "X-Archiva-Archive-Time", является наиболее точной и заслуживающей доверия, так как она фиксирует время на стороне сервера.

  5. Аудит и сбор информации. Из-за недостатков SMTP-аудиторы должны полагаться на комбинацию информации из различных источников (заголовки, архивные записи) для определения точного времени отправления сообщений.

В свете этих недостатков необходимо учитывать, что SMTP-протокол требует внимательного подхода к обработке и проверке данных, особенно в юридически значимых или чувствительных контекстах.

15 October 2024
ОчередиЛицензия