Log Files Exchanger Server Spionagenachweis

vodkapur
Hallo Liebe Kollegen!

Einer meiner Kunden vermutet das ein Ex-Angestellter Firmendaten per Email über den Exchangeserver versendet hat. Ich soll ihm die Logfiles verschaffen in denen man sehen kann ob und vielleicht auch was verschickt worden ist. Der Kunde meint das sein Ex-Angestellter seine private Emailadresse benutzt haben könnte als Empfangspostfach.

Wo kann ich die Logfiles/Protokoll auf dem Server finden?

lg

Armin

Content-Key: 82731

Url: https://administrator.de/contentid/82731

Ausgedruckt am: 27.01.2022 um 22:01 Uhr

Mitglied: 62322
62322 10.03.2008 um 16:58:16 Uhr
Goto Top
Natürlich im Unterverzeichnis [servername].log des Exchange-Datenbankverzeichnisses. Dort findet man aber (hoffentlich!) nur eine handvoll Logfiles, weil die nämlich in der Regel ebenso wie die Transaktions-Protokolle nach kurzer Zeit gelöscht werden, wenn das Backup funktioniert.

Danach findet man sie natürlich auf dem Band immer noch.
Mitglied: GuentherH
GuentherH 13.03.2008 um 20:41:45 Uhr
Goto Top
Hallo.

Die Transaktionslogs habe aber schon gar nicht mit dem Logging des E-Mail Verkehrs zu tun. Schau dir dazu einmal die Grundlagen zur Funktionsweise einer Exchange Datenbank an, dann weißt du für welchen Zweck die Transaktionslogs dienen.

Die Funktion, die Armin meint, nennt man Nachrichtentracking, und muss extra aktiviert werden - siehe dazu hier - http://blog.sbspraxis.de/exchange-2003-nachrichtenverfolgung-message-tr ...

LG Günther
Mitglied: 62322
62322 14.03.2008 um 12:28:53 Uhr
Goto Top
Hallo.

Die Transaktionslogs habe aber schon gar
nicht mit dem Logging des E-Mail Verkehrs zu
tun. Schau dir dazu einmal die Grundlagen zur
Funktionsweise einer Exchange Datenbank an,
dann weißt du für welchen Zweck
die Transaktionslogs dienen.

LG Günther

Schon klar, deshalb habe ich ja auch "ebenso wie die Transaktions-Protokolle" geschrieben. Wer die Protokollierung nicht bereits aktiviert hat, kann im Protokoll natürlich sowieso nichts finden. Aber danke für den Hinweis, das ist wahrscheinlich nicht jedem klar.

Wenn wir schon bei Grundlagen sind, kann ich auch niemanden dazu ermutigen, den Exchange-Server 2003 seinen Mailverkehr überhaupt direkt selbst zu den Internet-Gegenstellen abwickeln zu lassen. Neben den potentiellen Sicherheitsproblemen, die man sich mit einem Server einhandelt, der direkt mit dem Internet verbunden ist, genügen die Exchange-Datenbanken sowie die Protokollierung auch keinesfalls den gesetzlichen Anforderungen an ein "revisionssicheres Archiv".

Sauberer ist es immer, den Verkehr über einen oder mehrere vorgeschaltete Proxy-Server abzuwickeln. Das dient einerseits der Sicherheit und andererseits kann man Dinge wie Virenprüfung, Archivierung, Protokollierung und nicht zuletzt auch eine Pufferung für den Fall einer Störung am Mailserver damit zumindest viel flexibler handhaben. Nicht zuletzt hat man auf diese Art auch eine praktisch unbegrenzte Auswahl bei den Produkten, die man dafür einsetzen will.

Bei Exchange 2007 macht sich Microsoft ja genau dieses Konzept auch zu eigen, indem der "Gesamtserver" in 5 Rollen zerlegt wird, die man bitte auf mehrere physikalische Maschinen verteilen soll. Nur einer davon übernimmt die Rolle des "Brückenkopfes" und kommuniziert von der DMZ aus direkt mit dem Internet. Das ist im Prinzip nichts anderes, aber revisionssicher wird das Ganze davon trotzdem noch nicht.

Allgemein gibt es eine ganze Reihe von spezialisierter Software, die ihren Teilaspekt bedeutend besser beherrscht als eine eierlegende Wollmilchsau wie Exchange das jemals könnte. Und aussagekräftige Protokolle erstellt so ziemlich jede andere Mailsoftware besser als Exchange.
Heiß diskutierte Beiträge
question
Marode Netzwerk-Infrastruktur im kleinen Unternehmen - wo anfangen?StephanXVor 1 TagFrageNetzwerkmanagement48 Kommentare

Guten Abend zusammen, es geht um einen kleinen Betrieb (Kfz-Werkstatt) mit einer recht wirren und planlosen Netzwerkstruktur und Datensicherung, welche ich so langsam mal richten ...

general
Generator für endlose, kostenlose Energie? Ein gut gemachter Schwindel? gelöst beidermachtvongreyscullVor 1 TagAllgemeinOff Topic32 Kommentare

Mahlzeit Kollegen! Wenn ich mich strikt an physikalische Grundsätze halte, müsste ich sagen: Nein. Es ist nicht möglich. Ich stieß aber im Internet auf ein ...

general
FYI: In zwei Tagen zieht LetsEncrypt zahlreiche Zertifikate zurückipzipzapVor 1 TagAllgemeinVerschlüsselung & Zertifikate1 Kommentar

Hallo, zur Info, falls bei Euch übermorgen was knallt: Ruhiges Wochenende! ipzipzap ...

question
"minimale" Cloud-Telefonanlage gesuchtDatenreiseVor 1 TagFrageVoice over IP13 Kommentare

Hallo zusammen, ich bin auf der Suche nach einer Cloud-Telefonanlage, die sich für einen einzelnen Arbeitsplatz eignet und wollte hier fragen, ob jemand dazu einen ...

tutorial
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry PiaquiVor 21 StundenAnleitungLAN, WAN, Wireless1 Kommentar

Einleitung Das folgende Tutorial erhebt keinen Anspruch auf Vollständigkeit und ist ein einfaches Framework was die Funktion eines IPsec VPN Servers im groben Rahmen aufzeigt. ...

question
PfSense: nach 27-stündigem Ausfall der Deutschen Telekom streiken IPSec + OpenVPN gelöst vafk18Vor 1 TagFrageNetzwerke9 Kommentare

Einen Gruß aus der Eifel, nachdem wir wieder mal von einer großflächigen Störung der Telekom-Anschlüsse (Ausfall eines DSLAM mit mehreren Tausend Teilnehmern) heimgesucht wurden, deren ...

question
Vorkehrungen für einen StromausfallahussainVor 11 StundenFrageNetzwerke10 Kommentare

Hallo, wir betreiben ein Netzwerk mit 8 Clients, Router, Switches, IP-Telefonen, NAS und einem kleinen Anwendungsserver. Unsere einzige Vorkehrung gegen einen Stromausfall/Blackout ist aktuell eine ...

question
Abschätzung Nutzungsdauer von neuer Serverhardware gelöst lcer00Vor 10 StundenFrageHardware9 Kommentare

Hallo zusammen, bei uns stehen 2022 Neuanschaffungen an. Dabei geht es um einen Backupserver (das Cloud-Konzept überzeugt mich immer noch nicht vollständig ) und demnächst ...