Log Files Exchanger Server Spionagenachweis
Hallo Liebe Kollegen!
Einer meiner Kunden vermutet das ein Ex-Angestellter Firmendaten per Email über den Exchangeserver versendet hat. Ich soll ihm die Logfiles verschaffen in denen man sehen kann ob und vielleicht auch was verschickt worden ist. Der Kunde meint das sein Ex-Angestellter seine private Emailadresse benutzt haben könnte als Empfangspostfach.
Wo kann ich die Logfiles/Protokoll auf dem Server finden?
lg
Armin
Einer meiner Kunden vermutet das ein Ex-Angestellter Firmendaten per Email über den Exchangeserver versendet hat. Ich soll ihm die Logfiles verschaffen in denen man sehen kann ob und vielleicht auch was verschickt worden ist. Der Kunde meint das sein Ex-Angestellter seine private Emailadresse benutzt haben könnte als Empfangspostfach.
Wo kann ich die Logfiles/Protokoll auf dem Server finden?
lg
Armin
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 82731
Url: https://administrator.de/contentid/82731
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
3 Kommentare
Neuester Kommentar
Natürlich im Unterverzeichnis [servername].log des Exchange-Datenbankverzeichnisses. Dort findet man aber (hoffentlich!) nur eine handvoll Logfiles, weil die nämlich in der Regel ebenso wie die Transaktions-Protokolle nach kurzer Zeit gelöscht werden, wenn das Backup funktioniert.
Danach findet man sie natürlich auf dem Band immer noch.
Danach findet man sie natürlich auf dem Band immer noch.
Hallo.
Die Transaktionslogs habe aber schon gar nicht mit dem Logging des E-Mail Verkehrs zu tun. Schau dir dazu einmal die Grundlagen zur Funktionsweise einer Exchange Datenbank an, dann weißt du für welchen Zweck die Transaktionslogs dienen.
Die Funktion, die Armin meint, nennt man Nachrichtentracking, und muss extra aktiviert werden - siehe dazu hier - http://blog.sbspraxis.de/exchange-2003-nachrichtenverfolgung-message-tr ...
LG Günther
Die Transaktionslogs habe aber schon gar nicht mit dem Logging des E-Mail Verkehrs zu tun. Schau dir dazu einmal die Grundlagen zur Funktionsweise einer Exchange Datenbank an, dann weißt du für welchen Zweck die Transaktionslogs dienen.
Die Funktion, die Armin meint, nennt man Nachrichtentracking, und muss extra aktiviert werden - siehe dazu hier - http://blog.sbspraxis.de/exchange-2003-nachrichtenverfolgung-message-tr ...
LG Günther
Hallo.
Die Transaktionslogs habe aber schon gar
nicht mit dem Logging des E-Mail Verkehrs zu
tun. Schau dir dazu einmal die Grundlagen zur
Funktionsweise einer Exchange Datenbank an,
dann weißt du für welchen Zweck
die Transaktionslogs dienen.
LG Günther
Die Transaktionslogs habe aber schon gar
nicht mit dem Logging des E-Mail Verkehrs zu
tun. Schau dir dazu einmal die Grundlagen zur
Funktionsweise einer Exchange Datenbank an,
dann weißt du für welchen Zweck
die Transaktionslogs dienen.
LG Günther
Schon klar, deshalb habe ich ja auch "ebenso wie die Transaktions-Protokolle" geschrieben. Wer die Protokollierung nicht bereits aktiviert hat, kann im Protokoll natürlich sowieso nichts finden. Aber danke für den Hinweis, das ist wahrscheinlich nicht jedem klar.
Wenn wir schon bei Grundlagen sind, kann ich auch niemanden dazu ermutigen, den Exchange-Server 2003 seinen Mailverkehr überhaupt direkt selbst zu den Internet-Gegenstellen abwickeln zu lassen. Neben den potentiellen Sicherheitsproblemen, die man sich mit einem Server einhandelt, der direkt mit dem Internet verbunden ist, genügen die Exchange-Datenbanken sowie die Protokollierung auch keinesfalls den gesetzlichen Anforderungen an ein "revisionssicheres Archiv".
Sauberer ist es immer, den Verkehr über einen oder mehrere vorgeschaltete Proxy-Server abzuwickeln. Das dient einerseits der Sicherheit und andererseits kann man Dinge wie Virenprüfung, Archivierung, Protokollierung und nicht zuletzt auch eine Pufferung für den Fall einer Störung am Mailserver damit zumindest viel flexibler handhaben. Nicht zuletzt hat man auf diese Art auch eine praktisch unbegrenzte Auswahl bei den Produkten, die man dafür einsetzen will.
Bei Exchange 2007 macht sich Microsoft ja genau dieses Konzept auch zu eigen, indem der "Gesamtserver" in 5 Rollen zerlegt wird, die man bitte auf mehrere physikalische Maschinen verteilen soll. Nur einer davon übernimmt die Rolle des "Brückenkopfes" und kommuniziert von der DMZ aus direkt mit dem Internet. Das ist im Prinzip nichts anderes, aber revisionssicher wird das Ganze davon trotzdem noch nicht.
Allgemein gibt es eine ganze Reihe von spezialisierter Software, die ihren Teilaspekt bedeutend besser beherrscht als eine eierlegende Wollmilchsau wie Exchange das jemals könnte. Und aussagekräftige Protokolle erstellt so ziemlich jede andere Mailsoftware besser als Exchange.