Die Journaling-Funktion

E-Mail wurde lange Zeit als flüchtige Kommunikation, ähnlich einem Telefongespräch, angesehen. Aufgrund der einfachen Manipulierbarkeit waren E-Mails weder als Dokument noch als Beweismittel verwendbar. Heute hat sich diese Einstellung, nicht nur durch den Einsatz von Signaturtechniken, geändert. Infolge des Enron-Skandals wurden in den Vereinigten Staaten Gesetze erlassen, die besondere Aufzeichnungspflichten für elektronische Unternehmenskommunikation festlegen. Hierdurch sollen sich illegale Geschäftspraktiken besser nachvollziehen lassen. In Deutschland fällt elektronische Kommunikation grundsätzlich unter die allgemeine, betriebliche Dokumentationspflicht von Unternehmen. Je mehr betriebliche Vorgänge vornehmlich in elektronischer Form stattfinden, desto strenger ist hier auch die Anwendung des geltenden Rechts.

Journaling bezeichnet eine Überwachungsfunktion in Exchange, die die Einhaltung solcher legaler Aufzeichnungspflichten ermöglicht. Wenn Journaling aktiviert ist, dann wird von jeder Nachricht, die in der Exchange-Organisation transportiert wird, eine Kopie an ein Systempostfach gesandt. Auch wenn Journaling in erster Linie eine Aufzeichnungsfunktion hat, eignet sich die Schnittstelle auch zur Realisierung zeitnaher Archivierungs- und Datensicherungslösungen.

Stufen von Journaling

Die Integration von Journaling in Exchange Server hat sich mit der Zeit weiterentwickelt. Daraus sind drei verschiedene Stufen der Journaling-Unterstützung entstanden.

• Message-Only Journaling stellt die einfachste Art der Aufzeichnung dar. Im Wesentlichen enthält die gespeicherte Nachricht die Informationen, die für den Empfänger einer Nachricht zugänglich sind. Allerdings fehlen für die organisationsinternen E-Mails die Übermittlungsdaten, die im Nachrichtenkopf einer übermittelten E-Mail zu finden sind. Diese sind nur bei Nachrichten vorhanden, die von externen Absendern stammen. Verteilerlisten, Automatische Weiterleitungen oder BCC-Empfänger sowie verschiedene Systemnachrichten wie Empfangsbestätigungen werden bei dieser Art der Aufzeichnung nicht erfasst.

• BCC-Journaling: Die Informationen, die ein Empfänger nicht zu sehen bekommt, wie das BCC-Feld oder den Inhalt von Verteilerlisten, sind dringend notwendig, wenn es darum geht, Kommunikation nachzuvollziehen, dringend notwendig. BCC-Journaling erfasst deshalb auch BCC-Empfänger und löst einfache Verteilerlisten auf. Versteckte und externe Verteilerlisten sowie solche, die durch Active Directory-Abfragen (Query Based) erstellt werden, werden allerdings auch hier nicht aufgelöst.

• Envelope-Journaling: Die Auflösung einer Verteilerliste zum Zeitpunkt des Nachrichtenversands ist auch deshalb wichtig, weil sich Verteilerlisten ändern können. Beim Envelope-Journaling werden Verteilerlisten soweit möglich in der Aufzeichnung aufgelöst. Im BCCJournaling fehlen immer noch einige Daten, die verschiedene amerikanische Aufzeichnungsvorschriften verlangen. Dabei geht es um die Übertragungsdaten, anhand derer sich feststellen lässt, ob eine Nachricht tatsächlich zugestellt wurde. Diese Daten werden beim Envelope-Journaling mit aufgezeichnet. Envelope-Journaling wird heute größtenteils eingesetzt.

In jedem Fall nicht aufgelöst werden können allerdings externe Verteilerlisten, also solche, die in einem fremden E-Mail-System definiert sind. Hier bekommt Exchange, genauso wie der Empfänger, nur die Sammelbezeichnung zu sehen. Es fehlt hier der Zugang zu den zur Auflösung notwendigen Daten. Allerdings lassen sich die einzelnen Empfänger innerhalb der betroffenen Exchange-Organisation rekonstruieren. Deshalb wird jedenfalls der relevante Anteil einer externen Verteilerliste indirekt aufgezeichnet.

Weitere Informationen, die durch das Journaling nicht erfasst werden, sind die Daten, die in öffentlichen Ordnern abgelegt werden. Die Journaling-Komponente ist in ihrer Funktion an private Postfachspeicher gebunden.

Funktionsweise

Das Journaling wird technisch gesehen von einer Ereignisroutine erbracht, die den privaten Postfachspeichern zugeordnet ist. Bei jedem Senden und Empfangen einer Nachricht innerhalb dieses Postfachspeichers wird die Journaling-Routine aufgerufen, diese sendet dann eine Kopie der Daten an ein oder mehrere einfache Exchange-Postfächer.

Der Versand der Nachrichten wird durch das Journaling optimiert. Bei einfachen Nachrichten innerhalb einer Organisation werden die Nachrichten beim Versand an die Journaling-Server übermittelt. Gleiches gilt für Nachrichten, die aus der Organisation an externe Empfänger versandt werden. Kommt die Nachricht dagegen von außerhalb, muss sie zwangsläufig beim Empfang aufgezeichnet werden. Wird eine Nachricht aufgezeichnet, wird sie durch ein Attribut gekennzeichnet. Auf diese Weise kann der empfangende Server entscheiden, ob eine Nachricht noch aufgezeichnet werden muss.

Einen Sonderfall bilden Nachrichten an Verteilerlisten. In diesem Fall kann es vorkommen, dass die Verteilerliste auf einem anderen Server aufgeschlüsselt wird. In diesem Fall wird die Nachricht zwar beim Versand aufgezeichnet, sie enthält aber nur den Namen der Verteilerliste, und nicht deren Mitglieder. Damit diese trotzdem aufgezeichnet werden, sendet der Server, der die Liste aufschlüsselt, eine zweite Kopie der Nachricht an den Journaling-Server, in der die einzelnen von ihm aufgeschlüsselten Empfänger aufgelistet sind. Es kommt deshalb häufiger vor, dass eine Nachricht mehrfach aufgezeichnet wird. Ein Abgleich der zueinander gehörigen Journaling-Nachrichten ist über die in ihnen enthaltene Message-ID der ursprünglichen E-Mail möglich. Die Abbildungen 1 bis 3 veranschaulichen die verschiedenen Journaling-Abläufe noch einmal.

Planung

Angesichts der Tatsache, dass für jede im System versendete Nachricht mindestens eine weitere Kopie übertragen und gespeichert werden muss, ist es offensichtlich, dass die Aktivierung von Journaling kaum ohne einige vorherige Planungen vorgenommen werden sollte. Microsoft spricht bei aktiviertem Journaling von einer Systembeeinträchtigung von bis zu 35%. Mindestens ähnliche Größenordnungen müssen für den benötigten Speicherplatz eingeplant werden. Der Speicherbedarf lässt sich allerdings nur schwer vorausbestimmen. Er ist sehr individuell von dem einzelnen E-Mail-System abhängig. Folgende Faktoren beeinflussen unter anderem den Bedarf:

• Durchschnittliche Nachrichtengröße: In jeder aufgezeichneten Nachricht werden neben den eigentlichen Daten zusätzliche Informationen gespeichert. Diese beanspruchen pro E-Mail ungefähr 1 KByte. Wenn der E-Mail-Verkehr in einer Organisation hauptsächlich aus einfachen, kurzen Textnachrichten besteht, können sich diese Zusatzdaten signifikant bemerkbar machen.

• Verwendung von Verteilerlisten: Nachrichten an interne Verteilerlisten müssen in der Regel nur einmal aufgezeichnet werden. Werden sie allerdings häufig nicht vom sendenden Server aufgeschlüsselt, dann verdoppelt sich die Anzahl der gespeicherten Nachrichten.

• Speicherdauer der E-Mails: Gelten in einer Umgebung harte Speicherplatzbeschränkungen für die Postfächer, dann werden die Mitarbeiter ihre Nachrichten viel schneller löschen. Damit übersteigt die Menge der versandten Nachrichten schnell die aktuelle Größe der Postfachspeicher.

Um eine Lastverteilung zu erreichen, sollte in größeren Umgebungen mit mehreren Journaling-Empfängern gearbeitet werden. Diese Empfänger können dann den einzelnen Postfach-Servern als Journaling-Postfächer zugeteilt werden. Microsoft empfiehlt für bereits stark ausgelastete Systeme (Clustersystem mit 80% oder mehr Ressourcenauslastung) ein Journaling-Postfach für jeden vierten Server. In Systemen mit geringer Ressourcenauslastung reicht ein Postfach pro acht Server.

In jedem Fall sollte das Gesamtsystem nach der Aktivierung von Journaling verstärkt auf mögliche Ressourcenprobleme überwacht werden.

Installation

Zur Inbetriebnahme von Journaling muss zuerst mindestens ein Benutzer und ein zugehöriges Postfach zur Entgegennahme der mitgeschnittenen Daten eingerichtet werden. Die Journaling-Nachrichten können nur an ein organisationsinternes Exchange-Postfach versandt werden. Sie können erst von dort gegebenenfalls an einen externen Empfänger weitergeleitet werden.

Die Zahl der einzurichtenden Postfächer sollte, wie oben beschrieben, aus der Anzahl der verwendeten Server abgeleitet werden. Der Benutzer sollte nur die für seine Aufgabe notwendigen Rechte besitzen und je nach sonstigen Anforderungen nur mit sehr beschränkten Anmeldemöglichkeiten ausgestattet werden. Der Benutzer darf allerdings nicht deaktiviert sein. Zudem muss darauf geachtet werden, dass keine Empfangs-oder Speicherplatzbeschränkungen für die zugehörigen Journaling-Postfächer bestehen. In größeren Umgebungen ist es empfehlenswert, die Journaling-Postfächer auf einem eigenen Server abzulegen.

Das Journaling kann nach Einrichtung der notwendigen Postfächer aktiviert werden. Dies geht für das Message-Only-Journaling über den Exchange System-Manager. Die Vorgehensweise ist für Exchange Server 2000 und 2003 gleich. Die Aktivierung des Journaling erfolgt separat für jede Speichergruppe:

1. Öffnen Sie im System-Manager unter Servername/Speichergruppenname/Postfachspeicher über einen rechten Mausklick den Dialog Eigenschaften.

2. Aktivieren Sie in der Registerkarte Allgemein den Punkt Alle von Postfächern in diesem Informationsspeicher gesendeten und empfangenen Nachrichten archivieren.

3. Legen Sie über Durchsuchen ein Postfach zum Nachrichtenempfang fest.

Die Aufzeichnung von BCC-Empfänger war ursprünglich nicht möglich und wurde in Exchange 2000 als Hotfix nachgeliefert (siehe http://support.microsoft.com/?id=810999). Für Exchange 2000 sollte für BCC-Journaling allerdings mindestens der Post-SP3-Rollup vom August 2004 installiert sein (http://support.microsoft.com/?id=870540), da es ein bekanntes Problem mit Journaling in den Zwischenversionen gibt (http://support.microsoft.com//?id=870540). In Exchange 2003 ist BCCJournaling bereits als Funktion enthalten.

Um BCC-Journaling zu aktivieren, muss eine Änderung in der Registry vorgenommen werden. Dies sollte wie immer mit Vorsicht geschehen:

1. Zuerst legen Sie den Schlüssel HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeTransport\Parameters neu an.

2. Danach erzeugen Sie darunter ein DWORD_Schlüssel mit dem Namen JournalBCC und dem Wert 1.

Das BCC-Journaling ist allerdings im Grunde nur eine Notlösung. Die BCC-Einträge enthalten zusätzlich auch die TO- und CC-Adressen, und es kann zu Problemen mit erweiterten Zeichensätzen kommen. BCC-Journaling sollte deshalb nur eingesetzt werden, wenn ein akuter Bedarf besteht.

In den meisten Szenarien wird heute Envelope-Journaling eingesetzt, da dies die einzige Variante ist, die den gesetzlichen Anforderungen gerecht wird.

Zur Konfiguration von Envelope-Journaling stellt Microsoft ein Hilfsprogramm zur Verfügung. Es trägt den Namen Email Journaling Advanced Configuration und kann von Microsofts Website heruntergeladen werden (http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/tools.mspx).Die heruntergeladene Datei stellt ein selbst entpackendes Archiv dar. Die dort enthaltenen Dateien können in ein wählbares Verzeichnis kopiert werden. Neben der Lizenz und einer kurzen englische Beschreibung findet sich das Programm Exejcfg.exe. Hierbei handelt es sich um ein Kommandozeilenprogramm. Es besitzt vier mögliche Argumente, die Envelope-Journaling aktivieren (-e), deaktivieren (-d), die aktuelle Einstellung anzeigen (-l) und ein kurze Hilfe (/?) ausgeben.

Journaling und Active Directory

Im Grunde tut Exejcfg.exe nichts anderes, als ein Attribut eines Organisations-Objekts im Active Directory zu ändern. Journaling verwendet insgesamt nur zwei Attribute im Active Directory.

• Das Attribut Heuristics des Exchange-Organisationsobjekts unter Configuration/Services/Microsoft Exchange aktiviert das Envelope-Journaling, wenn es den Wert 512 enthält. Andernfalls steht hier die Zahl Null.

• In der OU-Hierarchie weiter unten finden sich die Objekte, die die einzelnen Postfachspeicher repräsentieren. Das Attribut msExchMessage-JournalRecipient enthält den Verweis auf das Zielpostfach. Ist hier eine gültige verknüpfung enthalten, dann ist das Journaling für diesen Postfachspeicher aktiviert. Andernfalls enthält das Attibut den Wert Null.

Zusammenarbeit mit Drittanbietern

Die Journaling-Funktion lässt sich kaum sinnvoll allein verwenden. Die schiere Menge der aufgezeichneten Daten ist ohne fremde Hilfe einfach nicht handhabbar. Diese Hilfe kann in einer Archivierungssoftware bestehen, die die Journaling-Daten weiterverarbeitet. Hierfür sind zahlreiche Angebote am Markt erhältlich. Als mehr oder weniger willkürliche Beispiele seien hier ZANTAZ EAS (www.zantaz.com) und Sherpa Archive Attender (www.sherpasoftware.com) genannt.

Häufig werden die Daten auch an einen externen Dienstleister weitergereicht, der die Archivierung übernimmt. Hier muss die Konfiguration dann mit der Lösung des externen Partners abgestimmt werden.

Für ein Outsourcing sprechen, neben der Arbeitsentlastung, noch andere Argumente. Journaling und Archivierung wird mittlerweile vor allem auch zur Einhaltung bereits genannter gesetzlicher Dokumentationsvorgaben durchgeführt. Da diese eine nachträgliche Kontrolle der Geschäftsleitung gewährleisten sollen, ist die Abgabe der Verfügungsgewalt auch eine vertrauensbildende Maßnahme. Der Verdacht einer möglichen, nachträglichen Manipulation ist in diesem Fall geringer. In bestimmten Szenarien kann eine erhöhte Manipulationssicherheit auch eine direkte Vorgabe sein.

Um die Daten aus dem Journaling-Postfach an eine externe Adresse weiterzuleiten, empfiehlt sich folgende Vorgehensweise:

1. Zuerst legen Sie einen Kontakt (Custom Recipient) im Active Directory über AD-Benutzer und -Computer an. Dazu aktivieren Sie die Option Eine Exchange E-Mail-Adresse erstellen.

2. Im nächsten Schritt erstellen Sie eine serverseitige Regel. Hierzu ist es notwendig, sich mit dem jeweiligen Journaling-Konto anzumelden und diese Regel mit Outlook zu erstellen. Es sollte eine Regel ohne Vorlage erstellt werden, die Nachrichten bei Ankunft prüft und keinen weiteren Bedingungen unterliegt, also für alle erhaltenen E-Mails ausgeführt wird. Aller Nachrichten müssen an eine Person/Verteilerliste, nämlich den eingerichteten Kontakt weitergeleitet werden. Zur Sicherheit sollte die Nachricht danach nicht sofort gelöscht, sondern nur nach gelöschte Objekte verschoben werden. Diese Aktion muss deshalb parallel zur Weiterleitung aktiviert werden.

3. Damit das Postfach aufgrund der gelöschten Nachrichten nicht überläuft, definieren Sie im Anschluss eine individuelle Richtlinie, die die Nachrichten nach einer bestimmten Zeit (beispielsweise drei Tage) aus dem Gelöschte Objekte-Ordner entfernt. Hierzu muss im Exchange System-Manager unter Empfänger/Empfängerrichtlinien eine neue Richtlinie angelegt werden.

   -Wählen Sie im ersten Dialog des Assistenten Postfach-Managereinstellungen.

   -Im folgenden Dialog in der Registerkarte Allgemein geben Sie einen Namen für die Richtlinie und eine Filterregel an, die die betroffenen Postfächer liefert. Diese Regel muss so gewählt sein, dass genau die Journaling-Postfächer gefunden werden, beispielsweise alle diejenigen, deren Anmeldename mit „Journaling“ beginnt.

   -In der Registerkarte Postfach-Managereinstellungen (Richtlinie) stellen Sie dann die durchzuführende Aktion ein.

   -Im Auswahlfeld Bei der Verarbeitung eines Postfachs wählen Sie sofort löschen.

   -In der darunter liegenden Ordnerliste deaktivieren Sie alles bis auf Gelöschte Objekte und öffnen den zugehörigen Einstellungen-Dialog über Bearbeiten.

   -Tragen Sie hier die gewünschte Verfallszeit ein und deaktivieren Sie das Feld Nachrichtengröße.

   -Danach können Sie den Richtlinien-Dialog beenden.

4. Diese Richtlinien werden nur dann aktiv, wenn ein Postfach-Verwaltungvorgang für einen Server durchgeführt wird. Die Verwaltungsvorgäne werden aber standardmäßig nur manuell gestartet. Damit die Postfächer regelmäßig aufgeräumt werden, muss deshalb eine regelmäßige Ausführung des Verwaltungsvorgangs geplant werden. Dies muss für jeden Server einzeln geschehen, auf dem Journaling-Postfächer vorhanden sind. Dies geschieht über den Eigenschaften-Dialog des Servers im Exchange System-Manager. Ein Zeitplan hierfür kann über die Registerkarte Postfach-Verwaltung und die dortige Schaltfläche Anpassen erzeugt werden.
   

Bei der Einrichtung der Weiterleitung der Journaling-Daten sollte das Thema Sicherheit nicht vergessen werden. Ein Angreifer, der den Nachrichtenstrom zwischen dem Journaling-Postfächern und dem Dienstleister mitlesen kann, erfährt praktisch sämtliche Unternehmensdaten. Die Anbindung sollte deshalb keinesfalls einfach per SMTP über das Internet erfolgen. Es sollte sichergestellt sein, dass die Nachrichten nur über eine dedizierte Leitung oder eine verschlüsselte Verbindung übertragen werden.

Zusammenfassung

Journaling ist ein wichtiges Mittel zur Einhaltung von gesetzlichen Vorschriften im Bereich unternehmerischer Dokumentation. Zudem ist es eine zusätzliche Möglichkeit der Datensicherung und Archivierung. Eine Nutzung der Journaling-Funktion ohne eine Weiterverarbeitung durch zusätzliche Software oder Anbindung eines externen Dienstleisters ist aber kaum sinnvoll. Der Einsatz von Journaling führt zu einer nennenswerten Erhöhung der Systembeanspruchung und sollte deswegen nicht ohne sorgfältige Planung implementiert werden. Als Richtwert muss je nach Umsetzung von einem um mindestens dreißig Prozent höheren Ressourcenbedarf ausgegangen werden.