详细介绍
毫无疑问,在现代企业的工作环境中,电子邮件绝对是员工之间最关键的沟通方式。据调查,仅2015年一年,全球每天接受和推送的商务接待邮件总量就已经超过1120亿【统计分析报告发送器】。这意味着公司每个员工平均每周要花13个小时来解决邮件。
可悲的是,电子邮件有时会被用于非法通信。当时电子邮件刚出来不久,安全要素还不是电子邮件发明者重点关注的,电子邮件中的一些设计方案的缺点直到现在也没有得到处理。这种安全隐患还是会对大家现在的交流造成伤害。比如,发布者对邮件的数据进行加密基本不容易,接收者无法检查没有经过数据加密维护的邮件的一致性。此外,这些数据信息的真实性也很低,因为网络攻击可以在邮件头中随便伪造数据库。即使安全科学研究的权威专家已经设计了各种安全措施来提高电子邮件通信的安全系数,每天仍然有许多不安全的电子邮件通过互联网技术。因此,现在很多网络攻击选择利用电子邮件通信全过程的系统漏洞。
就大家现阶段的工作经验而言,如果一家公司发生了基于电子邮件窃取信息的恶性事件,或者公司员工无意中打开了电子邮件附带的恶意程序,那么即使安全专业人员进行了大量的调查取证,也未必能够回答一些至关重要的问题。比如这种事是谁干的?攻击是什么时候形成的?为什么大家的安全防御系统都没有检测到这次攻击?
现阶段很多知名企业都选择使用微软的Exchange邮箱作为重点的企业办公邮件系统软件,那么我们就在本文中为大家介绍微软的Exchange邮箱系统软件可以向你展示哪些基本的分析、调查、取证数据信息。
MicrosoftExchange邮箱管理系统框架
为了更好地理解Exchange邮箱系统软件中各种不同的调查取证分析数据,首先要了解微软Exchange邮箱的管理系统架构及其相关的系统软件组件。下面的数据图表显示了本地Exchange2016邮箱系统的概念框架。
其中,边缘传输网络服务器构成了邮件系统软件基础设施建设的外场互联网。他们主要负责解决系统软件之外的邮件流程,部署反垃圾邮件系统,及其管理方法,如邮件解决方案标准等。
数据库易用组(DAG)不仅是微软Exchange邮箱系统软件的关键组件,也是构建Exchange2016的可扩展网站恢复架构的基本元素。DAG实际上是一组邮箱服务器,它不仅管理一组数据库查询,还显示了数据库查询的全自动修复功能,互联网和网络服务器的常见故障。
邮箱服务器不仅包括路由邮件的传输服务,还包括解决、显示和存储数据信息的邮箱数据库查询。此外,邮箱服务器还呈现了可以接受所有协议的手机客户端浏览服务。这个前端开发服务项目承担了相反的后端开发服务项目,将路由器代理连接到邮箱服务器。这样手机客户端就不需要马上连接到后端开发服务项目了。当客户根据MicrosoftExchange邮箱的基础结构推送邮件时,邮件必须经过至少一个邮箱服务器的解析。
手机浏览协议系统架构
Exchange2016邮箱服务器上的移动客户端浏览服务项目,负责解决各类移动客户端连接。客户端浏览(前端开发)服务项目将此代理连接到整个目标邮箱服务器(存储客户端邮箱的活动组副本的本地服务器或远程控制邮箱服务器)上的后端开发服务项目。移动电话没有立即连接到后端开发服务项目。该通信系统的架构如下图所示:
手机应用的协议决定了要求代理在整体目标邮箱服务器上开发后端服务项目所使用的协议。比如手机客户端使用HTTP连接,邮箱服务器对HTTP的申请会要求代理到整体目标邮箱服务器(根据SSL申请自签名资格证书以保证安全)。如果手机客户端使用的是IMAP或POP,应用的协议也是IMAP或POP。
电话服务项目需要与其他手机客户端不同的连接。代理不容易请求邮箱服务器,但它会将请求跳转到保存客户邮箱的活动组副本的邮箱服务器。您必须拥有电话服务设备,以便可以立即应用统一信息服务在整个目标邮箱服务器中建立SIP和RTP会话。
邮件跟踪
电子邮件跟踪可能会在日志文件中记录通过邮箱服务器和边缘传递网络服务器的电子邮件流的所有实际 *** 作和个人行为。该日志文件包括电子邮件的详细信息,如发件人、收件人、邮件主题样式、推送日期和推送时间。默认情况下,如果电子邮件跟踪日志的大小不超过1000MB,日志文件的数量最多可以存储30天。
在下面的例子中,当客户“alice@csnc.ch”向客户“bob@csnc.ch”推送邮件(主题样式为“Meeting”)时,系统软件会自动将邮件信息加载到跟踪日志中。
必须注意,电子邮件的内容不会记录在跟踪日志中。默认情况下,系统软件会记下邮件主题样式,但您也可以在邮件系统软件的设置中禁止使用该功能。
修复单个项目内容
此角色允许客户立即修复独立删除的邮件,而无需修复详细的邮箱数据备份。如果客户删除了Outlook邮箱中的邮件,该邮件将被移动到已删除的文件夹名称中。当客户从已删除文件夹名称中删除此邮件时,它可能会被放入垃圾桶(软删除)。
点击“恢复已删除邮件”后,可能会打开“垃圾桶”,如下图所示:
在“垃圾桶”里,我们可以修复邮件,彻底删除(硬删除)。当然,如果邮箱进行数据备份,大家还是可以修复这封邮件的。我们开启“修复单个项目内容”功能后,意味着即使邮箱的主人从“发件箱”中删除邮件,然后清除“已删除邮件”,从“垃圾桶”中彻底删除邮件,管理者仍然可以立即修复邮件。这个功能默认是不开启的,所以在进行调查取证之前必须开启。为了成功修复已删除的邮件,您还必须获得以下信息:
-您必须获得邮件发布者的详细电子邮件地址;
-获得必须执行实际邮件修复 *** 作的整个目标邮箱的详细地址;
-检索相似邮件发布者、邮件接收者或某些邮件的关键字信息;
获得此信息后,可以使用Exchange命令行管理程序(EMS)检索邮件。下面是一个检索示例:
Search-Mailbox "Alice" -SearchQuery "from:Bob" -TargetMailbox "Investigation Search Mailbox" -TargetFolder "Alice Recovery" -LogLevel Full邮箱财务审计
邮箱很可能包含很多敏感信息,比如个人信息。因此,记录邮箱实际 *** 作中的各种个人行为越来越关键。
默认情况下,禁止邮件的财务审计功能。如果开启此功能,可能会占用大量电子邮件。打开后,可以让系统软件在日志中记录客户具体的个人动作,比如浏览、移动或删除邮件。审计日志还可以包含很多关键信息,比如客户的登录IP地址,IP地址,用来浏览邮件或者手机客户端的进程。如果改变财务审计策略,只记录像推送内容和接收内容这样的重要信息,这种效果大部分不会轻易对邮箱容量和特征造成全部伤害。
管理人员的财务审计
当管理员更改Exchange邮件网络服务器的配置时,此功能可以帮助您在日志文件中记录管理员的实际 *** 作和个人行为。默认情况下,日志文件可以存储90天。日志文件可能存储在隐藏的特殊邮箱中,根据Outlook或OWA(OutlookWebAccess)不能立即浏览。
总结
正如我们在本文中详细描述的,微软的Exchangemail系统软件已经显示了许多合规功能,这些功能可以为与电子邮件分析相关的调查和取证活动显示许多有用的信息。而且重要的地方取决于我们想了解的数据信息是我们真正能得到的,所以我们总结了以下数据图表,有兴趣的读者可以存放一下:
参考
[1]电子邮件在公司自然环境中的调查取证,NunoMota
http://www.msexchange.org/articles-tutorials/exchange-server-2013/compliance-policies-archiving/e-mail-forensics-corporate-exchange-environment-part1.html
[2]2015-2019电子邮件统计分析报告,RadicatiGroup
http://www.radicati.com/WP/WP-contenthttp://www.easck.com/uploads/2015/02/Email-Statistics-Report-2015-2019-Executive-summary.pdf
[3]社会和经济发展下的社会工作者技术,麦肯锡公司
http://www.McKinsey.com/industries/high-tech/our-insights/the-social-economy
[4]2016Exchange邮箱系统软件管理架构,微软
https://TechNet.Microsoft.com/de-ch/library/jj150491(v=exchg.160)。aspxx
[5]邮件跟踪,微软
https://TechNet.Microsoft.com/en-us/library/bb124375(v=exchg.160)。文件
[6]修复微软Outlook邮箱中误删的数据信息
https://support.office.com/en-us/article/Recover-deleted-items-in-Outlook-2010-CD9dfe12-8e8c-4a21-bbbf-4bd103a3f1Fe
[7]修复客户邮箱中已删除的邮件,Microsoft
https://TechNet.Microsoft.com/en-us/library/ff660637(v=exchg.160)。文件
[8]微软的邮件解决方案和交付标准,微软
https://TechNet.Microsoft.com/en-us/library/jj919238(v=exchg.150)。文件
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)