Exchange Online Journal

Diese Seite beschreibt die Aspekte des Transportjournals im Exchange Online Umfeld. Revisionssicherheit und Compliance sind Anforderungen an ein Mailsystem, die jeden Administrator eher früher als später betreffen. Wie stellen sie sicher, dass eine Kommunikation nachvollzogen werden kann und ein Anwender oder Software-Fehler eine Information versehentlich oder sogar absichtlich vernichtet oder verändert?

Diese Seite braucht noch etwas Hilfe: Ich suche Firmen und Links, die ein Hosted Journal Archiv" für Kunden anbieten, d.h. ein Kunde muss in Exchange Online dann nur noch eine Mailadresse beim SaaS-Provider angeben, um revisionssicher seine Mails aus Exchange Online archivieren zu können

Backup, Archiv und Journal

Emails sind zumindest teilweise Informationen, die für Gerichtsverfahren Strafverfahren, Fehlverhalten o.ä. herangezogen werden. Daher müssen Sie frühzeitig sich überlegen, welche Optionen Sie wie kombinieren. Die Bausteine und deren Funktionen ergänzen sich teilweise, weswegen ich sie kurz noch mal zusammenfassen will:

  • Backup/Verfügbarkeit
    Das klassische Backup hat die Aufgabe, mit möglichst wenig negativem Einfluss auf den Betrieb eine möglichst aktuelle Kopie eines Datenbestandes auf ein anderes System zu übertragen, um im Verlustfall mit minimalem Zeitaufwand einen möglichst aktuellen Stand wieder bereitzustellen. Neben dem klassischen Backup auf Bänder und andere Speichermedien über Snapshot-, Voll-, oder Differenzsicherungen ist auch die Exchange DAG ein Teil einer Backupstrategie, die sogar noch die schnellste Wiederverfügbarkeit bei einem Ausfall mit sich bringt.
    Ein klassisches Backup ist aber noch keine Revisionssicherung, denn kaum jemand wird tägliche oder stündliche Backups über 10 Jahre aufbewahren, geschweige den immer wieder umkopieren, um Versionswechsel zu überstehen
  • "Archiv"-Postfach
    Exchange Online und On-Premises haben ein Archiv-Postfach, bei dem der Name aber irreführend ist. Es ist eher ein Speichermanagement, um ältere seltener benötigte Informationen in ein zweites Postfach zu verschieben. Damit kann eine Firma oder Exchange Online ein anderes SLA und Sizing für diese Speichersysteme machen. Löschen kann ein Anwender aber immer noch alles.
  • Retention Policies / LegalHold
    Der Schutz gegen vorzeitiges Löschen oder ändern wird über "Retention Policies" erreicht, bei dem für jedes Elemente manuell oder automatisch eine "Haltezeit" definiert wird. Der Anwender kann es löschen und sieht es nicht mehr, aber es bleibt vorhanden und kann über eine Suche durch einen Administrator wieder gefunden und bereitgestellt werden. Natürlich kostet das Platz und ist damit im Backup zu berücksichtigen.
  • Journalarchiv
    Das Journal-Archiv kann für alle Benutzer einer Datenbank nur On-Premises aktiviert werden. In der Cloud und On-Premises (Enterprise CAL!) können Sie aber auch ein Transportjournal aktivieren. Jede Mail, die dann durch den Exchange Transport-Dienst läuft und die eingestellten Bedingungen betrifft, wird als Anlage an eine spezielle Journalmail angehängt und an die hinterlegte Mailadresse gesendet.

Im weiteren Teil geht es nur noch im die Transport-Journal-Funktion in Exchange Online.

Journal und Exchange Online

Im Gegensatz zu Exchange On-Premises können Sie in der Cloud keine Journalfunktion auf einer Datenbank aktivieren und ein Journal pro Postfach gibt es weder in der Cloud noch On-Premises. Sie können aber in Exchange Online über Transportregeln natürlich bestimmte oder gleich alle Nachrichten in ein Journal klonen. Allerdings gibt es eine wesentliche Einschränkung:

You can't designate an Exchange Online mailbox as a journaling mailbox. You can deliver journal reports to an On-Premises archiving system or a third-party archiving service.
Quelle: Journaling mailbox  https://docs.microsoft.com/en-us/exchange/security-and-compliance/journaling/journaling#journaling-mailbox

Exchange Online doesn't support delivering journal reports to an Exchange Online mailbox. You must specify the email address of an On-Premises archiving system or a third-party archiving service as the journaling mailbox.
Quelle: Configure Journaling in Exchange Online https://docs.microsoft.com/en-us/exchange/security-and-compliance/journaling/configure-journaling

Das kann ich aber verstehen, denn ein Exchange Online Postfach ist für "Anwender" vorgesehen und nicht als Massenspeicher mit sehr viel IOPS, die jegliche vernünftiges Sizing erschwert. Warum Microsoft nicht selbst einen solchen Archiv-Service anbietet, verstehe ich allerdings nicht. Sie müssen sich daher erst einen Service aufbauen, an den Sie die Journal-Nachrichten senden können.

Beachten Sie, dass die Exchange Journalregel in Exchange Online natürlich nur Nachrichten erfassen kann, die durch Exchange Online laufen.

Die Konfiguration des Journals erfolgt auch im März 2022 noch im "Classic Exchange Admin Center" unter https://admin.exchange.microsoft.com/#/transportrules

Alternativ kann die Einstellung natürlich auch per Exchange Online PowerShell erfolgen. Hier mal für einen Empfänger:

New-JournalRule `
   -Name "Discovery Journal Recipients" `
   -Recipient frank@.msxfaq.de `
   -JournalEmailAddress "journal@achiv.msxfaq.de" `
   -Scope Global `
   -Enabled $True

Archiv-System

Bis hierher war es ja noch einfach. Die Herausforderung ist aber nun, ein passendes Journal-Archiv zu finden. Die meisten unserer Kunden haben On-Premises auch ein Archivsystem betrieben, welches auch Buchhaltungssysteme, Rechnungen etc. archiviert hat. Es konnte dann auch den Exchange Server von "alten Mails" befreien, indem es diese ins Archiv übertragen und in Exchange nur eine Rumpfmail hinterlassen hat. Das ist viele Jahre schon gängige Praxis. Für den Empfang von Journal-Mails muss das Archiv-Systeme aber etwas erweitert werden, da es nun eine Mails enthält, in dem die eigentlich interessante Nachrichte eine Anlage ist. Aber auch das haben die meisten Archivsysteme hinbekommen, diese Anlage zu extrahieren und die Metadaten aus der Umschlagsmail zu verbinden. Nur so können Sie im Archiv später sowohl Inhalte als auch BCC-Empfänger etc. finden. Das Archivsystem konnte dabei über zwei Wege die Journalmails bekommen:

  • Journalmailbox
    Der Weg von Exchange zum Archivsystem konnte dabei On-Premises eine Mailbox sein, die vom Archiv regelmäßig z.B. per POP, IMAP, EWS o.ä abgesaugt wurde. Das ist aber nicht mein Favorit, da hier das Archivsystem ein Benutzerkonto mit Kennwort benötigt hat und Exchange zusätzlich I/O für die Archivmailbox vorhalten musste.
  • SMTP-Versand
    Besser finde ich den Weg, dass das Archivsystem selbst einen SMTP-Empfangsservice betreibt und ich einfach das Archiv z.B. als "Subdomain" an mein Exchange anbinde. Ich habe sogar Archivsysteme gesehen, die dazu früher den Windows 2003 SMTP-Service (Siehe Windows SMTP-Server richtig einrichten) genutzt haben, der jede eingehende Mail einfach als RFC822-Datei in ein "DROP-Verzeichnis abgelegt hat.

Nun sind wir aber in der Cloud und die Ablage in einer Exchange Online Mailbox wird nicht nur nicht unterstützt, sondern wohl auch unterbunden. Also können Sie die Journalmails entweder per Exchange Hybrid an ein On-Premises Postfach senden und dort abholen lassen oder Exchange Online sendet die Daten direkt per SMTP an ein Archiv-System.

Damit stellt sich natürlich die Frage, ob das dann immer noch ein "On-Premises"-Archiv sein muss oder diese Dienstleistung nicht auch als "Hosted Service" eingekauft werden kann.

Hosted Exchange Archiv

Microsoft stellt zwar viel Storage auf Azure bereit aber keine passende Software. Auch einen Exchange Server können Sie nicht sinnvoll in Azure betreiben. Also bleiben drei Optionen übrig:

  • Eigenbetrieb On-Premises
    Sie könnten weiter selbst ein On-Premises-System hosten, welches von Exchange Online erreichbar gemacht wird
  • Eigenbetrieb Cloud
    Wenn Sie die lokalen Server nicht mehr haben wollen, könnten Sie das ganze System in eine Cloud auslagern. Je nach Lösung könnte das auch Google, AWS oder ein anderer Cloud-Anbieter sein.
  • Journal Archiv as a Service
    Zuletzt könnten Sie den Betrieb komplett nach Extern abgeben.

Gerade der letzte Schritt scheint verlockend. Die Geschäftsführung schließt einen Vertrag mit einem Dienstleiter, der dann über die gesamte Laufzeit sich um die Bereitstellung, Sicherstellung und Weiterentwicklung der Dienst kümmert, während ihre Firma einfach monatlich bezahlt und in Exchange Online einfach eine Regel einrichtet. Ganz so einfach ist es aber nicht, denn sie müssen erst einmal einen Anbieter finden und letztlich ist es ein "Vendor Lock-In". Wenn es keine Export-Funktion gibt, sind sie viele Jahre oder Jahrzehnte an den Anbieter gebunden und seiner Preis- und Produktpolitik ausgeliefert.

Es gibt durchaus Beispiel, dass Anbieter aufgekauft werden oder ihr Produktangebot verändern und sie dann schnell reagieren müssen. Ein paar Beispiele finden Sie dazu auf Cloud - Abruptes Ende.

Aufruf: Ich habe leider keinen kompletten Marktüberblick und anscheinend ist der Markt auch klein, so dass meine Suchergebnisse in Google und Bing nur wenig repräsentative Angebote zu Tage gefördert haben. Wenn Sie ein "Hosted Cloud Archiv" mit Journal-Funktion nutzen, dann freue ich mich über Hinweise zum Betreiber.

Die Liste hier ist keinesfalls vollständig oder Repräsentativ

Die Herausforderung für viele Archivhersteller dürfte sein, dass Sie ihre Software in der Vergangenheit an die Kunden vor Ort verkauft und installiert haben. Jeder Kunde hat eine eigene Instanz und eine Störung betrifft nur den jeweiligen Kunden und für die Datenhaltung ist der Kunde selbst verantwortlich. In der Cloud muss der Anbieter den Storage, die Bandbreite und die Verfügbarkeit bereitstellen und ist mit ganz neuen Herausforderungen an die Software konfrontiert, z.B. Authentifizierung und Benutzerverwaltung ohne direkten Zugriff auf ein Active Directory, DoS-Schutz der Cloud-Dienste und insbesondere eine "Multi Tenant Fähigkeit". Vielleicht tun sich daher noch viele Firmen so schwer damit.

Hersteller / Links Funktion Preis

Micro Focus Digital Safe Suite

https://www.microfocus.com/media/documentation/micro-focus-digital-safe-suite-software-as-a-service-description-documentation.pdf

Das Produkt kannte ich früher unter dem Namen "HP Autonomy Email-Archiv"
http://www8.hp.com/us/en/software-solutions/digital-safe-cloud-archiving/

 

 

Mailstore

Betreiben wohl selbst keine Cloud aber bieten ihres Software für Provider zum betrieb für Kunden an.

MailStore Service Provider Edition
https://www.mailstore.com/de/produkte/mailstore-spe/

https://www.mailstore.com/en/blog/2018/10/24/tech-tips-the-right-archiving-strategy/

 

 

Cloudboom

https://cloudboom.de/2018/09/10/archivierung-mit-journal-postfach-exchange-online-office-365/
Leider geht der Link zur gehosteten Lösung auf https://kt-edv.de/archivierung/ schon wieder ins Leere

 

 

Mimecast

https://www.mimecast.com/de/produkte/cloud-archiv/

 

 

Reddox Maildepot (Cloud ?)

https://www.reddoxx.com/produkte/maildepot/

 

 

Barracuda

https://www.barracuda.com/products/messagearchiver/

Understanding Microsoft Exchange Journal Archiving
https://campus.barracuda.com/product/archiveone/doc/43223068/understanding-microsoft-exchange-journal-archiving/
https://campus.barracuda.com/product/archiveone/ (abgekündigt?)

How to Journal to the Cloud Archiving Service from Office 365 Mail Service
https://campus.barracuda.com/product/cloudarchiving/doc/46892505/how-to-journal-to-the-cloud-archiving-service-from-office-365-mail-service/

 

 

ARTEC Cloud-Service

https://www.artec-it.de/de/Produkte_und_Loesungen/Cloud_Services/Cloud_Modelle.aspx

Weitere Links