В настоящее время многие почтовые сервера поддерживают журнальные сообщения в той или иной форме. Задача журналирования почтового сервера состоит в том, чтобы архивный сервер хранил копию каждого сообщения, прошедшего через сервер. Это достигается путем пересылки журнальных сообщений во временный почтовый ящик, откуда их позже собирает такой архивный сервер, как, например, Архива, или же они пересылаются напрямую в архивный сервер по SMTP. Сообщения, выводимые с помощью функции журналирования, обычно представлен в виде конверта с сообщением.
Конверт в большинстве случаев представляет собой обычное электронное письмо стандарта RFC2822. В теле письма содержатся метаданные об исходном журнальном сообщении. Исходное сообщение обычно прикреплено к конверту как вложение. Назначение конверта - предоставить дополнительную информацию о сообщении, такую как источник, адресат, отправитель, получатель, время отправления, получатели в новостных группах, получатели копий сообщения и т.д. Вся эта информация может быть собрана в помощь аудиторам для предоставления веских доказательств.
Обычно, когда Архива архивирует конверт журнального сообщения, она хранит и конверт, и прикрепленное исходное сообщение. При просмотре сообщения Архива распаковывает конверт и показывает только исходное сообщение. Более того, во время архивирования Архива проверяет конверт и корректно индексирует содержащиеся в нем поля. Порядок индексирования зависит от конкретного типа конверта, обрабатываемого Архива. Более подробно об этом рассказывается ниже.
Если на любой стадии вам потребуется доступ к оригинальному конверту, в Настройках поиска вы можете выбрать экспортировать Журнальное сообщение. При включении этой опции, когда сообщение экспортируется из Архива, экспортированы будут и конверт вместе с прикрепленным исходным сообщением. Вы сможете открыть письмо в любом текстовом редакторе и увидеть данные конверта вместе с исходным сообщением. Если вы не можете этого сделать, это может означать, что функция журналирования работает некорректно или она не включена.
Exchange 2003
Exchange 2003 поддерживает базовые функции журналирования и отправки журнальных сообщений. Когда функция журналирования включена, журнальное сообщение создается с вложенным в него исходным сообщением, перед тем как быть посланным в почтовый ящик журнала. Как журнальное сообщение в Exchange 2003 содержит следующую информацию:
Все получатели, в том числе получатели из новостных групп, получатели копий сообщения, BCC-получатели, отмечены как получатели. Архива заносит их в поле "Получатель". Для поиска получателей с подобными характеристиками пользователи системы должны в своей роли иметь разрешение на просмотр получателя. Они должны выбрать поле "Получатель" в поиске. Если они обладают нужными правами, то при просмотре сообщения поля "Получатель" и "Отправитель" будут показаны в заголовке сообщения. Это оформлено таким образом, чтобы сразу было видно, что получил сообщение.
Exchange 2007/2010
В Exchange 2007/2010 журнальные сообщения похожи на описанные ранее, но содержат намного больше информации. К примеру, Архива может разделить данные о BCC-получателях и группах получателей, и они, как ожидается, будут занесены в поля "TO" ("КОМУ") и "ВСС" ("Скрытая копия") (они также доступны в полях получателя). Для получения более подробной информации о формате журнальных сообщений Exchange 2007/2010 пройдите по ссылке http://technet.microsoft.com/en-us/library/bb331962.asp в библиотеке Microsoft Technet.
В качестве примера, конверт журнального сообщения Exchange 2007/2010 выглядит так:
Конверты Google Audit
Архива v2.6 и более поздних версий поддерживают показ и индексирование конвертов с сообщениями Google Audit. Эти сообщения содержат метаданные об исходном прикрепленном. Вложение содержит сообщение в формате txt-файла, а он в свою очередь содержит исходное сообщение в формате RFC2822. При архивировании конвертов Google audit Архива хранит и конверт, и прикрепленное к нему исходное сообщение.
IpSwitch IMail Журналирование
Если функция журналирования включена в iMail, получатели скрытых копий (bcc) добавляются в полю BCC в сообщении. Более того, группы получателей автоматически распространяются в поля To (Кому), From (От кого), CC (Копия письма) и BCC (Скрытая копия). Ожидаемо Архива просто индксирует информацию из заголовка в нужные поля. .
Postfix/Sendmail Журналирование
Postfix and sendmail не предоставляют журнальных сообщений или данных о скрытых копиях. У Архива есть способ, который может помочь вам извлечь нужную информацию с упомянутых почтовых серверов. Когда электронное письмо, отправленное адресатам A и В, обрабатывается Postfix/Sendmail, письмо дважды посылается на Архива - по разу на каждого получателя. Можно настроить Архива таким образом, что она будет собирать информацию о получателе (адресате) при каждой отправке письма и обновлять журнальное сообщение дополнительной информацией, например, о новом получателе. Вся собранная информация rcptto будет проиндексирована в поле "Получатель". Таким образом, можно осуществлять поиск непосредственного получателя сообщения, используя поле получателя. Для того чтобы использовать поле получателя при поиске, право на просмотр получателя должно быть добавлено к роли пользователя. Для включения этой опции в Настройки -> Настройки архива отметьте галочкой "Совмещать RCPTTO для одинаковых сообщений".
Дополнительные заголовки Архива
В дополнение к парсингу и индексированию конвертов журнальных сообщений Архива включает в заголовок следующую дополнительную информацию.
Точное время архивирования: X-Archiva-Archive-Time: Tue, 1 Dec 2010 08:48:15 -0500 (EST)
Замечание: Используемое время - время системных часов архивного сервера. Необхдимо убедиться, что время на сервере установлено корректно. Настоятельно рекомендуется использовать временной NTP-сервер.
X-Archiva-RcptTo: archive@archiva.com
Дополнительные rcptto-данные, взятые из SMTP или milter протоколов. Они предоставляют дополнительную информацию о том, кому письмо на самом деле было отправлено. Для получения более подробной информации об этом прочитайте секцию о Postfix/Sendmail чуть выше.
X-Archiva-MailFrom: admin@company.com
Замечания, касающиеся меток времени
При всей своей легкости использования и простоте, в настоящее время SMTP-протокол считается небезупречным (его повсеместное использование означало, что все усилия на то, чтобы его фундаментально изменить, терпели крах). Существует много причин, почему этот протокол не соответствует потребностям времени. Одна из них заключается в том, что информация, содержащаяся в письме, может быть легко фальсифицирована. SMTP-протокол предполагает, что использующие его для коммуникации клиенты должны самостоятельно определять, кто отправляет конкретное письмо и когда. К примеру, дата отправления электронного письма часто определяется временем на компьютере клиента. И для системных администраторов остается задачей проверять, что время задано корректно на тысячах рабочих машин в сети. Ещё маловероятнее, что дата отправления корректна, если это входящее сообщение, пришедшее откуда-то, где вы не можете проконтролировать сетевое оборудование.
Именно поэтому даты и время отправления электронных сообщений следует воспринимать исключительно как указатель. Так же интересны заголовки получения, показывающие, когда сообщение было получено различными почтовыми северами на своем пути к адресату. Временные метки в заголовках получения установлены пересылающими почтовыми серверами, и их скорее можно считать точными. Наконец, заслуживающая большего доверия временная отметка о том, когда сообщение произошло, исходит от архивного сервера. В случае Архива, дата и время устанавливаются в поле "X-Archiva-Archive-Time". До тех пор, пока SMTP-протокол не будет фундаменитально изменен, аудиторам потребуется собирать всю информацию и решать, когда какое-то конкрентное сообщение было послано.