Toon posts:

Exchange mail-lees-log (wie heeft mijn mail gelezen?)

Pagina: 1
Acties:
  • 726 views sinds 30-01-2008
  • Reageer

Verwijderd

Topicstarter
Ik vroeg me af of het mogelijk is om in een log te zien welke user wanneer in welke Emailbox kijkt en welke berichten opent. Stel mijn password wordt gestolen/geraden. Kan ik dan zien dat er iemand mijn mail heeft aangeraakt?

Het betreft een exchange 2000 server, AD 2000 domein.

Ik weet dat ik soms kan zien dat de backup user de mailbox heeft gebackuped. Maar ik wil nu ook kunnen zien of iemand een mailtje heeft geopend. Stel ik heb een map private in mijn inbox, kan ik dan ergens loggen wie die mail opent?

Verder heb ik wel eens van iemand gehoord, dat zijn mail gelezen kon zijn, hij logde in, en sommige voor hem, nieuwe mail was toch geopend (en niet meer bold).. Ik zou nu graag keihard willen zien vanaf welke client (PC) deze mail bekeken is, het kan dan zijn dat zijn account hiervoor misbruikt is. Ik denk dat vooral mail van directie voor sommige (nieuwsgierige en ethisch onbehoorlijke) sysadmins te aantrekkelijk is om niet te lezen. Ik graag op request willen achterhalen of mail gelezen is door de verkeerde personen.

Misschien beetje hoog James Bond gehalte, maar kan toch erg nuttig zijn om te weten.

[ Voor 3% gewijzigd door Verwijderd op 06-04-2004 21:32 ]


  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023
Auditing aangooien op server, weet niet zeker of exchange dit heeft. Maar daarmeee zou je het moeten kunnen zien mits je geen bezwaar hebt tegen grote logfiles.

Maar denk niet echt dat dit een oplossing voor je probleem is. Want ik weet niet wat je zelf bent, maar sysadmins kunnen de meeste dingen wel weer terug zetten.
Ik denk altijd maar als een sysadmin iets wil lezen dan komt hij er toch wel achter ( denk aan backup van exchange terugzetten op test-server hierop lezen. Op produktie server verandert niets....)

Verwijderd

Topicstarter
Je laatste opmerking is helemaal juist, maar dat kost nogal moeite. Er zijn ook mooie tools (ontrack) waarmee je zo in een EMB bestand kan kijken. Maar ik vermoed dat die moeite eventueel niet genomen wordt.

Maar als iemand, iemands anders password te pakken heeft gekregen en het "slachtoffer" vermoed dat zijn mail aangeraakt is (belangrijk is ook nog welke email ) zouden we dit graag in een log zien (aantonen). Liefst zouden we ook nog alleen aanzetten welke mailboxen "bewaakt" moeten worden.

Dus stel ik wil mijn mailbox bewaken en iedere leesactie van mijn mailbox loggen waarbij ik wil weten vanaf welke PC het gebeurd is (IP adres) wanneer en welk mailtje is gelezen en in uit welke folder. Als er dan mail uit een map PRIVE gelezen worden kan ik toch wel stellen dat mensen goed fout bezig zijn. (de backup user (veritas) mag natuurlijk wel al mijn mail lezen :-)

  • Gomez12
  • Registratie: Maart 2001
  • Laatst online: 17-10-2023
Onder exchange 5.5 kan je op de private information store de diagnostics logging van views op maximum gooien, denk dat je daar wel heel ver mee komt.

In ieder geval kijken naar logging mogelijkheden en niet naar auditing want dit schijnt exch 5.5 niet echt goed te kunnen ( kon ik niet in 5 min vinden.). Gewoon alle logging een voor een op maximaal zetten en dan wachten tot je in een logging file iets ziet opduiken.

Let wel op, ik weet niet wat je je voorstelt van deze info. Maar als jij ervan uitgaat dat die persoon het wachtwoord heeft bemachtigd dan is het gewoon gelegaliseerd aanmelden op een ander werkstation. Dus als je flexplekken hebt dan kan je hier alleen echt iets mee als de persoon op vakantie is.

[ Voor 93% gewijzigd door Gomez12 op 06-04-2004 22:04 ]


Verwijderd

je kan in de manager van exchange kan je zien wie er als laatst in ingelogd of ingelogd is in een mailbox.. maar zover ik weet word daar geen log van bijgehouden..

edit:


via policies kan je wel de authentication laten loggen... misschien een idee om het in die richting te zoeken..

[ Voor 30% gewijzigd door Verwijderd op 06-04-2004 22:00 ]


Verwijderd

Gomez12 schreef op 06 april 2004 @ 21:57:
Onder exchange 5.5 kan je op de private information store de diagnostics logging van views op maximum gooien, denk dat je daar wel heel ver mee komt.
Dat kan inderdaad. Maar pas je Event logfiles wel meteen aan kwa omvang, want je gaat een *enorme* hoeveelheid data verzamelen. Iedere connectie naar binnen / buiten wordt gelogd, en weet ik veel wat nog meer. Geen idee wat de event id is van het openen van een mailbox, en of uberhaupt het openen van een folder ook gelogd kan worden (geen Exchange voorhanden hier). Wel kun je dan dus zien wie een box open gehad heeft. Maar dit alles onder de disclaimer dat een slimme admin 'alles' kan...

Verwijderd

Topicstarter
Gomez:
Het is inderdaad een gelegaliseerde aanvraag, maar ook die wil ik loggen. Als ik op vakantie ben, wil ik graag weten indien ik iemand toegang geef tot mijn mailbox, welke mail hij dan gaat lezen. Sommige is niet relevant maar wel interessant :-)

(Dit is natuurlijk weer op te lossen door publieke folders goed te gebruiken en hier alle groep-info) in te zetten. Dan hoeven mensen niet in elkaar mailbox te kijken.

Maargoed dat is nu niet ter sprake.

DRG:
Jammer dat dat niet wordt gelogt.

Sikko:
Een slimme admin zet van een backup de store terug en gaat die met een tool bekijken, dan heb je helemaal niets te maken met exchange, maar dat is niet waarschijnlijk (toegang tot backup, logs van de backup weggooien, files copieren naar geheime server/computer allemaal te omslachtig denk ik).

Verwijderd

Zo moeilijk is het niet om in de ad de rechten van een mailbox te veranderen, en ik denk dat het daarna echt vrij onmogelijk wordt om precies na te gaan wie een mailbox heeft bekeken, want ik doe dat gewoon vanuit mijn eigen account dus auditing aanzetten heeft niet zoveel zin.

Het beste kun je een systeembeheerder die je niet vertrouwt de laan uitschoppen, want hij heeft over het algemeen er toch meer kennis van (als het goed is) om jullie voor te blijven

Verwijderd

Topicstarter
Je kan niet zomaar mensen de laan uit schoppen op verdenking, is ook niet de bedoeling. Het zou wel eventueel interessant kunnen zijn als we inzicht in mail lees gedrag krijgen.

In het geval dat je een externe systeembeheerder in huis hebt is het ook nuttig om te weten of die persoon zoekt naar voor hem interessante informatie bij andere vaste systeembeheerders.

Het komt "at the end" natuurlijk allemaal aan op vertrouwen, dat snappen we ook.

  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00
Verwijderd schreef op 06 april 2004 @ 22:12:
Gomez:
Sikko:
Een slimme admin zet van een backup de store terug en gaat die met een tool bekijken, dan heb je helemaal niets te maken met exchange, maar dat is niet waarschijnlijk (toegang tot backup, logs van de backup weggooien, files copieren naar geheime server/computer allemaal te omslachtig denk ik).
Zo omslachtig is dat niet. Twee mogelijkheden (zijn er heus meer):

1. Restore een (slingerende) backuptape, dat kan met Ontrack Powercontrols, zelfs als je niet weet waarmee het gebackuped is.

2. Stop exchange, maak een kopie van de private information store en lees
deze uit met Powercontrols of kopieer deze in een Exchange 2003 test evaluatie
install.

Allebij de mogelijkheden zijn triviaal om uit te voeren en kosten niet echt veel
moeite of middelen.. De vraag is alleen of je iemand die moeite wil nemen
(afhankelijk van wat het die persoon oplevert..).

Verwijderd

Topicstarter
klopt, zoals ik al aangaf zijn het mogelijkheden die te doen zijn. Slingerende backups hebben we niet (echt waar! zit allemaal netjes in kluizen/koffers). store is 9 Gb groot dus kost beetje moeite om off site te krijgen (2x dvd).

Onsite vallen dat soort acties mogelijk wel op.

Sysadmin moet beschiking hebben over ontrack software en in staat zijn om deze illegaal te downloaden (tuurlijk kan iedere systeembeheer met enig wat hersens dit wel).

De mogelijkheden om het te doen zonder getraced te worden zijn legio, maar om gelegenheids snuffelaars te betrappen zou dit handig kunnen zijn. Hiermee doel ik op mensen die alles reuze interessant vinden maar te lui/dom zijn om de sporen goed te wissen omdat ze denken dat het toch allemaal niet bekeken kan/zal worden door mensen die wel verstand hebben. Of indien mensen wel toegang hebben tot systemen maar niet fysiek tot Stores, wel mail kunnen lezen via Exchange maar niet via z'n ontrack tool

  • Maarten @klet.st
  • Registratie: Oktober 2001
  • Laatst online: 13-02 23:00
Verwijderd schreef op 06 april 2004 @ 23:08:
De mogelijkheden om het te doen zonder getraced te worden zijn legio, maar om gelegenheids snuffelaars te betrappen zou dit handig kunnen zijn. Hiermee doel ik op mensen die alles reuze interessant vinden maar te lui/dom zijn om de sporen goed te wissen omdat ze denken dat het toch allemaal niet bekeken kan/zal worden door mensen die wel verstand hebben. Of indien mensen wel toegang hebben tot systemen maar niet fysiek tot Stores, wel mail kunnen lezen via Exchange maar niet via z'n ontrack tool
Ik heb wel een paar ideeen voor je;

Gebruikersauthenticatie verbeteren. Lastige passwords is een optie, maar 2 factor authenticatie is beter. Denk bijvoorbeeld aan smartcard (kan ook via USB keys) authenticatie met pincode (of fingerprint) als 2e 'factor'. Probleem daarbij is alleen dat veel mensen de key/smartcard in de PC laten zitten, dus daarvoor moet je weer wat op verzinnen. Xyloc is daarvoor een mooie optie, die gebruik maakt van proximity, dus als je zo'n 'key' in je broekzak hebt en je loopt weg dan wordt je PC gelocked. Dat ding kan zelfs rekening houden met gebruikers die hun key gewoon op hun buro leggen >:).
Het misbruiken van elkaars accounts kun je daarmee redelijk goed voorkomen.

Dan kun je verder de permissies op mailboxen regelmatig controleren zodat er vanaf andere accounts niet in de mailboxen gesnuffeld kan worden. Controlleer dan ook regelmatig de andere properties in de AD en gebruik file auditing om te zien of mensen op plekken komen waar ze niet horen.

En verder natuurlijk de PC's controleren op geinstalleerde software om te voorkomen dat men bij elkaar trojans/controle software kan installeren en gebruiken.

[ Voor 2% gewijzigd door Maarten @klet.st op 07-04-2004 17:11 . Reden: typo's ]


Verwijderd

Topicstarter
Tja de laatste opmerkingen zijn heel waardevol in het geval dat er nog wachtwoorden geraden moeten worden.
Het gaat hier om mensen die de wachtwoorden al weten, doodleuk ff inloggen onder dat gebruikers account en dan gaan snuffelen in allemaal boxen. Ze mogen formeel in de mailbox, maar zouden formeel de mail niet mogen bekijken.

Z'n sleutel zou inderdaad een oplossing zijn, maar in het geval iemand op verzoek de mailbox wel moet openen wordt dat een probleem als de sleutel niet aanwezig is.

Om te checken of die persoon ook echt de mail leest zou een monitor op een mailbox handig zijn. Dan zou het direct duidelijk zijn of een sysadmin mail leest welke hij zeker niet moet lezen.

beetje moeilijk dillema, iemand moet de bibliotheek beheren, maar mag nooit een boek openmaken.

  • Coen Rosdorff
  • Registratie: Januari 2000
  • Niet online
Verwijderd schreef op 07 april 2004 @ 21:22:
Om te checken of die persoon ook echt de mail leest zou een monitor op een mailbox handig zijn. Dan zou het direct duidelijk zijn of een sysadmin mail leest welke hij zeker niet moet lezen.
Lees ik hier niet gewoon dat er een gebrek aan vertrouwen is?

Dat ga je niet met technische middelen oplossen....

Verwijderd

Het gaat je met technische middelen niet lukken, de opper systeembeheer zal altijd toegang hebben tot de informatie, dus ook de mailboxen en de logfiles etc.

Als je hem niet vertrouwt moet je hem ontslaan, als hij wil kan hij zonder veel moeite alle mail in de hele organisatie lezen. Wat dacht je er bijvoorbeeld van als hij niet direct de mailbox van de directeur opent, maar gewoon alle inkomende mail van de directeur laat forwarden naar weet ik veel wie.

Verwijderd

Topicstarter
Mabit:
Goed punt, maar dat kan je wel terugvinden in de AD/Exchange manager en dan is het echt heel erg duidelijk dat er verkeerde dingen gebeuren.

Ik begrijp dat vertrouwen niet met techiek opgelost kan worden. Maar je moet soms wat. De optie om iedereen zomaar te ontslaan bij gebrek aan vetrouwen is niet realistisch. Dat kan juridisch gewoonweg niet.

Maar iedereen toch bedankt voor het meedenken met deze complexere zaak. het betreft trouwens een stel dat situatie, het is niet actueel of relevant. maar wij krijgen hier mogelijk mensen die sysadmin rechten gaan krijgen van buitenaf en daar willen we toch "iets" mee doen.
Pagina: 1