These days many mail servers support envelope journalling in some form or fashion. The task of a mail server's journalling function is to ensure that an archive server has a copy of every message that passes through the server. It achieves this by forwarding journal messages to a temporary mailbox, where they are later picked up by an archive server such as Архива, or forwarded directly to the archive server via SMTP. The messages outputted by the journalling function are typically encapsulated in a message envelope.
An envelope is in most cases a normal RFC2822 email in of itself. The body of the message contains meta data about the original message that is being journalled. The original message is typically attached to the envelope message. The purpose of the envelope is to provide further information about the message such as the origin, destination, timestamp, recipients, sender, bcc recipients, newsgroup recipients and so forth. All this info can be put together to help auditors provide hard evidence.
Generally, when Архива archives an envelope journal message, it stores both the envelope and the attached original message. When viewing the message, Архива unpacks the message envelope and displays just the original message. Furthermore, at the time of archiving, Архива examines the envelope and correctly indexes the fields contained within. The exact indexing behaviour varies according to the specific type of envelope Архива encounters. More detail on this is provided below.]
If at any stage you need access to the original envelope, in Search settings, you can elect to export the Journal Message. With this option set, when exporting a message from Архива, the entire envelope along with the attached original message will be exported. You should be able to open the message up in a text editor and see the envelope data, along with the original message. If you don't, it can mean that envelope journalling is not functioning correctly or it is not enabled.
Exchange 2003Exchange 2003 supports basic envelope journaling features. When envelope journalling is enabled, an envelope message is created with the original message as an attachment, before it is sent to the journal mailbox. The envelope journal message comprises of the following:В настоящее время многие почтовые сервера поддерживают журнальные сообщения в той или иной форме. Задача журналирования почтового сервера состоит в том, чтобы архивный сервер хранил копию каждого сообщения, прошедшего через сервер. Это достигается путем пересылки журнальных сообщений во временный почтовый ящик, откуда их позже собирает такой архивный сервер, как, например, MailArchiva, или же они пересылаются напрямую в архивный сервер по SMTP. Сообщения, выводимые с помощью функции журналирования, обычно представлен в виде конверта с сообщением.
Конверт в большинстве случаев представляет собой обычное электронное письмо стандарта RFC2822. В теле письма содержатся метаданные об исходном журналируемом сообщении. Исходное сообщение обычно прикреплено к конверту как вложение. Назначение конверта - предоставить дополнительную информацию о сообщении, такую как источник, адресат, отправитель, получатель, время отправления, получатели в новостных группах, получатели копий сообщения и т.д. Вся эта информация может быть собрана в помощь аудиторам для предоставления веских доказательств.
Обычно, когда Архива архивирует конверт журнального сообщения, она хранит и конверт, и прикрепленное исходное сообщение. При просмотре сообщения Архива распаковывает конверт и показывает только исходное сообщение. Более того, во время архивирования Архива проверяет конверт и корректно индексирует содержащиеся в нем поля. Порядок индексирования зависит от конкретного типа конверта, обрабатываемого Архива. Более подробно об этом рассказывается ниже.
Если на любой стадии вам потребуется доступ к оригинальному конверту, в Настройках поиска вы можете выбрать экспортировать Журнальное сообщение. При включении этой опции, когда сообщение экспортируется из MailArchiva, экспортированы будут и конверт вместе с прикрепленным исходным сообщением. Вы сможете открыть письмо в любом текстовом редакторе и увидеть данные конверта вместе с исходным сообщением. Если вы не можете этого сделать, это может означать, что функция журналирования работает некорректно или она не включена.
Exchange 2003
Exchange 2003 поддерживает базовые функции журналирования и отправки журнальных сообщений. Когда функция журналирования включена, журнальное сообщение создается с вложенным в него исходным сообщением, перед тем как быть посланным в почтовый ящик журнала. Как журнальное сообщение в Exchange 2003 содержит следующую информацию:
| Code Block | ||
|---|---|---|
| ||
Sender: "External E-mail Support" <smtp:Administrator@contoso.com> Message-ID: <72F2A6CEB90C7F4C8D051364BF4A9FA41A89@lag.contoso.com <mailto:72F2A6CEB90C7F4C8D051364BF4A9FA41A89@lag.contoso.com>> Recipients: "External E-mail Support" <smtp:Administrator@contoso.com>, "Lene Aalling" <smtp:lenea@contoso.com>, "Katja Heidemann" <smtp:katjaheidemann@contoso.com>, "Doug Hite" <smtp:doughite@contoso.com>, "Chris" <smtp:chris@contoso.com>, "Katja folder" <smtp:Katjafolder@contoso.com>, "Wide World Importers Folder" <smtp:WWIFolder@contoso.com>, "Jeff Low" <smtp:JLow@contoso.com> |
...
Exchange 2007/2010
In Exchange 2007/2010, envelope journalling is similar to as described earlier, except the 2007/2010 journal envelopes contain far more information. For one thing, Архива is able to separate BCC and group recipient information, so this information is indexed as one would expect in the TO and BCC fields (they are also available in the recipient fields). For more information on Exchange 2007/2010 journal envelope format, please refer to Все получатели, в том числе получатели из новостных групп, получатели копий сообщения, BCC-получатели, отмечены как получатели. Архива заносит их в поле "Получатель". Для поиска получателей с подобными характеристиками пользователи системы должны в своей роли иметь разрешение на просмотр получателя. Они должны выбрать поле "Получатель" в поиске. Если они обладают нужными правами, то при просмотре сообщения поля "Получатель" и "Отправитель" будут показаны в заголовке сообщения. Это оформлено таким образом, чтобы сразу было видно, что получил сообщение.
| Note |
|---|
Замечание: Наделение пользователей правом на просмотр получателя автоматически дает им возможность также искать данные групп получателей и BCC-получателей. С Exchange 2003 нельзя отделить эту информацию из-за ограничений формата журнального сообщения. По крайней мере, есть возмоджность посмотреть, кто на самом деле получил сообщение, и этого должно быть достаточно для предоставления в юридических целях (хотя мы не эксперты и не можем вам это гарантировать!) |
| Note |
|---|
Замечание: В Exchange 2003 журналирование не включено по умолчанию. Для того чтобы настроить журналирование в Exchange 2003, убедитесь, что вы включили функцию журналирования, как это было описано в Руководстве Администратора. Вам нужно скачать утилиту exejcfg и запустить её! |
Exchange 2007/2010
В Exchange 2007/2010 журнальные сообщения похожи на описанные ранее, но содержат намного больше информации. К примеру, Архива может разделить данные о BCC-получателях и группах получателей, и они, как ожидается, будут занесены в поля "TO" ("КОМУ") и "ВСС" ("Скрытая копия") (они также доступны в полях получателя). Для получения более подробной информации о формате журнальных сообщений Exchange 2007/2010 пройдите по ссылке http://technet.microsoft.com/en-us/library/bb331962.asp in the в библиотеке Microsoft Technet library.
An example
В качестве примера, конверт журнального сообщения Exchange 2007/2010 envelope consists of the followingвыглядит так:
Конверты Google Audit Envelopes
Архива v2.6 and higher support the display and indexing of Google Audit envelope messages. These messages contain meta data about an original attached message. The attached message contains a message.txt file, which contains the original message in RFC2822 format. When archiving a Google audit envelope, Архива stores both the envelope and its attached original message.
IpSwitch IMail Journaling
When journalling is enabled in iMail, bcc recipients are added to a BCC field in the message. Furthermore, groups recipients are automatically expanded in the To, From, CC and BCC fields. As one would expect, Архива simply indexes this information in the correct fields.
Postfix/Sendmail journalingPostfix and sendmail don't offer envelope journal or BCC data. Архива has a workaround that may help you obtain further information from these mails servers. When an email addressed to recipient A and B is handled by Postfix/Sendmail, the mail is sent to Архива twice, once for each recipient. It is possible to configure Архива such that it caches this recipient information between each connection and updates the message with the additional recipient information. The combined rcptto information is indexed in the "recipient" field. Thus, it is possible to search for the actual recipients of a message by using the recipient field. In order to search using the recipient field, the view recipient permission must be added to the user's role. To enable this option, in Configuration->Archive Settings, check "Combine RCPTTO info for identical messages".
Additional Архива HeadersIn additional to parsing and indexing envelope journalled message, Архива adds some additional header information:
The exact archive time:
Xи более поздних версий поддерживают показ и индексирование конвертов с сообщениями Google Audit. Эти сообщения содержат метаданные об исходном прикрепленном. Вложение содержит сообщение в формате txt-файла, а он в свою очередь содержит исходное сообщение в формате RFC2822. При архивировании конвертов Google audit Архива хранит и конверт, и прикрепленное к нему исходное сообщение.
IpSwitch IMail Журналирование
Если функция журналирования включена в iMail, получатели скрытых копий (bcc) добавляются в полю BCC в сообщении. Более того, группы получателей автоматически распространяются в поля To (Кому), From (От кого), CC (Копия письма) и BCC (Скрытая копия). Ожидаемо Архива просто индксирует информацию из заголовка в нужные поля. .
Postfix/Sendmail Журналирование
Postfix and sendmail не предоставляют журнальных сообщений или данных о скрытых копиях. У Архива есть способ, который может помочь вам извлечь нужную информацию с упомянутых почтовых серверов. Когда электронное письмо, отправленное адресатам A и В, обрабатывается Postfix/Sendmail, письмо дважды посылается на Архива - по разу на каждого получателя. Можно настроить Архива таким образом, что она будет собирать информацию о получателе (адресате) при каждой отправке письма и обновлять журнальное сообщение дополнительной информацией, например, о новом получателе. Вся собранная информация rcptto будет проиндексирована в поле "Получатель". Таким образом, можно осуществлять поиск непосредственного получателя сообщения, используя поле получателя. Для того чтобы использовать поле получателя при поиске, право на просмотр получателя должно быть добавлено к роли пользователя. Для включения этой опции в Настройки -> Настройки архива отметьте галочкой "Совмещать RCPTTO для одинаковых сообщений".
Дополнительные заголовки Архива
В дополнение к парсингу и индексированию конвертов журнальных сообщений Архива включает в заголовок следующую дополнительную информацию.
Точное время архивирования: X-MailArchiva-Archive-Time: Tue, 1 Dec 2010 08:48:15 -0500 (EST)Note: The time used is taken from the system clock of the archive server. It is imperative to ensure that the time is set correctly on the server at all times. The use of an NTP time server is highly recommended.
Замечание: Используемое время - время системных часов архивного сервера. Необхдимо убедиться, что время на сервере установлено корректно. Настоятельно рекомендуется использовать временной NTP-сервер.
X-MailArchiva-RcptTo: archive@mailarchiva.comThis is the additional rcptto data taken from the SMTP or milter protocols. It provides additional information about to whom the message actually sent to. Refer to the section on Postfix/Sendmail Journalling above for more information on how to get the most of out this field.
This is the additional mail from data taken from the SMTP or milter protocols
Дополнительные rcptto-данные, взятые из SMTP или milter протоколов. Они предоставляют дополнительную информацию о том, кому письмо на самом деле было отправлено. Для получения более подробной информации об этом прочитайте секцию о Postfix/Sendmail чуть выше.
X-MailArchiva-MailFrom: admin@company.com
Note On Timestamps
For all its genius and simplicity, in the modern era, the SMTP protocol is now regarded as flawed (its ubiquity has meant that all efforts to fundamentally change it have failed dismally). There are many reasons why the protocol is not meeting modern needs. One of them is that the information in an email can easily be spoofed. The smtp protocol assumes that the communicating clients should determine who sent a particular email and when. For instance, the sent date of an email is often determined by time on the client machine. It remains a challenge for system administrators to ensure the time is set correctly on thousands of client machines on a network. Once more, it is even more improbable the sent date is correct when the message comes from the outside as you have no control over the sending parties network environment.
For this reason, the sent dates on email messsages should be regarded as only a guide. Also of interest are the receive headers that show when the message was received by the various mail servers along the journey to delivery. The timestamps on the receive headers are set by the relaying mail servers, thus are more likely to be accurate. Finally, a more authoritative indication of when the communication took place comes from the timestamp set by the archive server. In Архива's case, it is set in the field Замечания, касающиеся меток времени
При всей своей легкости использования и простоте, в настоящее время SMTP-протокол считается небезупречным (его повсеместное использование означало, что все усилия на то, чтобы его фундаментально изменить, терпели крах). Существует много причин, почему этот протокол не соответствует потребностям времени. Одна из них заключается в том, что информация, содержащаяся в письме, может быть легко фальсифицирована. SMTP-протокол предполагает, что использующие его для коммуникации клиенты должны самостоятельно определять, кто отправляет конкретное письмо и когда. К примеру, дата отправления электронного письма часто определяется временем на компьютере клиента. И для системных администраторов остается задачей проверять, что время задано корректно на тысячах рабочих машин в сети. Ещё маловероятнее, что дата отправления корректна, если это входящее сообщение, пришедшее откуда-то, где вы не можете проконтролировать сетевое оборудование.
Именно поэтому даты и время отправления электронных сообщений следует воспринимать исключительно как указатель. Так же интересны заголовки получения, показывающие, когда сообщение было получено различными почтовыми северами на своем пути к адресату. Временные метки в заголовках получения установлены пересылающими почтовыми серверами, и их скорее можно считать точными. Наконец, заслуживающая большего доверия временная отметка о том, когда сообщение произошло, исходит от архивного сервера. В случае Архива, дата и время устанавливаются в поле "X-MailArchiva-Archive-Time". Until such time as the SMTP protocol is fundamentally redesigned, auditors will need to put all the information together and decide on balance when a particular email was likely be sent.До тех пор, пока SMTP-протокол не будет фундаменитально изменен, аудиторам потребуется собирать всю информацию и решать, когда какое-то конкрентное сообщение было послано.