Tot-Postfach-Erkennung

Viele Produkte werden nach Anzahl der Postfächer lizenziert. Das gilt vor allem für Migrationswerkzeuge aber auch Archivprodukte, Reportingtools etc. Es ist daher im Interesse einer Firma, nur die Postfächer zu betreiben die auch genutzt werden. Oft übersehen wird hier, dass ein existierendes Postfach, welches aber nicht von jemandem Eingesehen wird, ein Risiko darstellt. Würden Sie einen Briefkasten aufhängen, in den ein Postbote etwas einwerfen kann, aber niemand schaut hinein?

Solche Mailadressen sind oft nicht von extern bekannt (aber erreichbar) aber intern können Personen über die Adressliste oder Verteiler (Alle Benutzer) solche Postfächer doch einfach erreichen und erwarten eine Antwort.

Aber wie kann man solche Postfächer "sicher finden". Es gibt keine 100% zuverlässige Logik. Der zuverlässigste Ansatz ist natürlich, dass es in einer Firma eine geordnete Entry/Exit-Planung gibt, um Postfächer nur anzulegen, wenn diese erforderlich sind und am Ende auch wieder geordnet aufzulösen. Das ist aber leider nicht die Regel und so schleifen die meisten Firmen immer auch Ballast in Form von alten Postfächern mit.

Auswertbare Quellen

Dabei gibt es durchaus Möglichkeiten, mit Bordmitteln und kleinen Skripten zu ermitteln. welche Postfächer zumindest einmal überprüft werden sollten

  • Messagetracking: Sendet schon lange nichts mehr
    Über das Message Tracking können Sie in der Regel die letzten 7 oder 30 Tage nachverfolgen, welche Mailadressen etwas versendet haben. Ein Postfach was schon länger nichts mehr sendet, ist zumindest ein Verdachtskandidat. Die Daten werden natürlich um so besser, je länger sie in das Message Tracking zurück schauen können. Diese Auswertung hilft auch Absender zu finden, die nicht direkt per MAPI arbeiten, z.B. Systeme die Exchange als "Relay" verwenden.
  • Messagetracking: Eingehende Mails
    Auch umgekehrt kann eine Auswertung des Messagetracking Ergebnisse liefern, z.B. auf Postfächer, die nicht mehr oder ganz selten noch Mails empfangen. Auch diese Ergebnisse sollte nur zu einer Kandidatenliste für eine eingehendere Untersuchung sein. Auch tote Postfächer bekommen ab und an Mails und "Aktions"-Postfächer sollten sie nicht einfach löschen, nur weil gerade keine Aktion läuft.
  • Logon: Keine Anmeldung
    Ein zweites Kriterium könnte die letzte Anmeldung an das Postfach sein. Dazu muss natürlich ebenfalls die Überwachung aktiv sein, denn die normale Ansicht von Exchange zeigt auch Dienstkonten und andere Rollen, die auf das Postfach zugreifen.
  • ActiveSync: Last SyncDate
    Auch die Abfrage, ob es ein Mobiltelefon gibt und wann dieses das letzte Mal die Mails abgerufen hat, kann ein Indikator sein.
  • Postfach: ungelesene Mails im Posteingang
    Ein Blick "in" das Postfach kann ebenfalls aufschlussreich sein. Lagern dort ungelesene Mails, dann ist dazu zumindest ein Hinweis, dass niemand das Postfach zeitnah liest.
  • Postfach: "gesendete Objekte Mails"
    Sofern jemand per Outlook Mail sendet, landet die Mail in "gesendete Objekte". Auch wenn ihr Messagetracking dann nach 30/60 Tagen nicht mehr anzeigt, können Sie über einen Blick in den Ordner erkennen, wann z.B. die letzte Mail versendet wurde. Es bleibt natürlich eine Unsicherheit, wenn jemand diese Mails löscht oder verschiebt. Dann wäre eine Suche über das gesamte Postfach der erweiterte Schritt.
  • Prüfung, wann das letzte Mail eine Mail eingegangen ist
    Die Prüfung ist natürlich nur bedingt geeignet, da auch ein totes Postfach ja weiter Mails bekommen kann
Get-Mailbox `
| Get-MailboxFolderStatistics `
      -IncludeOldestAndNewestItems `
| Where {$_.Name -match “Inbox”} `
| Select Identity,Name,ItemsInFolder,OldestItemReceivedDate,NewestItemReceivedDate `
| Sort-Object ItemsInFolder `
      -descending
  • Probe: "Is Alive Mail"
    Natürlich verbietet ihnen niemand, einfach eine Mail an die Postfächer zu senden mit einer Bitte zum Anklicken eines Links oder einfach einer Rückantwort. Aus den Rückläufern, auf die sie einige Tage warten sollen, sehen Sie ja die noch aktiven Postfächer. Allerdings kann die bei dem ein oder anderen Benutzer natürlich als "Störung" betrachtet werden.

Bei all den Überlegungen sollten Sie beachten, dass z.B. Ressourcen selten etwas senden und auch generische Postfächer für Dienste (z.B. Blackberry, Backup, Monitoring-Funktionen etc.) in der Regel darüber Zugriff auf andere Postfächer erhalten aber selbst nichts senden. Das Ergebnis kann also immer nur eine Liste der aktiven Postfächer sein, um die zu prüfenden Adressen einzugrenzen.

Public Folder

Auch öffentliche Ordner können eine Mailadresse haben. Das war bei Exchange 4.0 bis 5.5 sogar der Default und in vielen migrierten Umgebungen sind daher immer noch sehr viele öffentliche Ordner "Mail enabled", obwohl diese Adressen nie verwendet wurden oder werden. Über das Messagetracking kann man sehr gut erkennen, ob und wann ein öffentlicher Ordner das letzte mal eine Mail bekommen hat und dann damit die nicht erforderlichen Ordner löschen oder zumindest die Mailadresse entfernen.

Auswertetools

Zuerst sind hier natürlich PowerShell und VBScript zu nennen, mit denen ein halbwegs versierter Admin sich die Daten selbst aus dem Messagetracking extrahieren kann. Excel eignet sich wegen der Datenmenge hier weniger aber LogParser kann schon gute Dienste tun. Sobald ich ein paar Beispiele habe, werden ich diese hier bereit stellen. Es soll aber auch nicht verheimlicht werden, dass kommerzielle Programme wie Quest MessageStats auch solche Berichte erstellen können.

Weitere Links