您可以使用 Google 保险柜来保留 Microsoft Exchange 日志邮件和进行电子取证。此外,您还可以配置提醒、更改日志邮件的默认拒绝通知,以及配置其他控制功能。要将用户的日志邮件转发到 Gmail,并通过保险柜保留这些邮件,该用户必须拥有 Google Workspace 帐号,并且已启用 Gmail。
关于 Microsoft Exchange 日志功能
借助 Exchange 日志功能,您可以保留组织中电子邮件通信的副本或日志,并将其发送到 Exchange 服务器上的专用邮箱。日志功能与归档功能不同,日志功能会记录用户的邮件,而归档功能则是将邮件副本存储在独立的环境中,从而达到遵从法规、保留数据或维护服务器的目的。
Exchange 日志邮件包含完整的原始邮件(包括全部标头)和传输信包信息。信包信息包括发件人和所有收件人(包括密送收件人和分发列表中的收件人)。这些是大多数法规所规定的必要数据。
第 1 步:创建接收帐号
- 添加帐号。请指定您网域(或子网域)中当前没有实际用户在使用的地址。例如,如果您的域名是 solarmora.com,请添加一个类似于 Exchange-journal@solarmora.com 的帐号。
- 该帐号必须拥有支持保险柜的 Google Workspace 许可。要查看您的帐号是否支持保险柜,请参阅许可要求。
- 将帐号归入其所属的组织部门。有关说明,请参阅添加组织部门和将用户移至某个组织部门。
- (可选)要在目录中隐藏帐号,因为此帐号并非真实用户,且不应收到电子邮件,请参阅在目录中隐藏用户。
第 2 步:在保险柜中设置 Gmail 邮件保留功能
- 登录保险柜。
- 按照使用保险柜保留 Gmail 邮件中的说明,使用以下参数设置自定义保留规则:
- 范围 - 选择接收日志邮件的电子邮件所属的组织部门。
- 条件 - 使用字词指定要保留的邮件。例如,要仅保留外部用户发来的邮件,请输入 NOT from:*@<your-domain>。或者,要仅保留发送给外部用户的邮件,请输入 NOT to:*@<your-domain>。
- 时长和操作 - 选择保留期限。输入邮件的保留天数,以及保留规则到期后如何处理邮件。日志邮件可能会快速累积,而不会手动删除。我们建议您在保留期限到期后完全清除所有邮件。这样,您就不会保留不再需要的邮件。此外,您还可以节省电子取证费用。
重要提示:请不要为接受日志邮件的电子邮件设置保全。保全可禁止删除所有邮件。
第 3 步:在 Gmail 中设置日志邮件接收
-
-
在管理控制台中,依次点击“菜单”图标 应用 Google Workspace Gmail 主机。
-
(可选)要将设置仅应用于部分用户,请在侧边选择一个组织部门(通常用于部门)或配置群组(高级)。显示具体方法
群组设置会覆盖组织部门的设置。了解详情
- 点击保险柜的入站电子邮件日志接收设置,然后勾选启用复选框。
- 在通过以下地址接收日志邮件字段输入您网域中的一个电子邮件地址,用于接收日志邮件。请指定您网域中当前没有实际用户在使用的地址。
- (可选)要拒绝不是通过首选电子邮件地址发送的邮件,请在只接受来自此发件人的日志邮件字段输入首选电子邮件地址。该地址必须与 Exchange 服务器用于发送日志邮件的地址完全一致。如果您使用多个 Exchange 服务器,我们建议您将此字段留空。
- 在无法递送的日志邮件的退信地址字段输入一个电子邮件地址,用于在日志邮件被退回时接收相关提醒。
注意:重新尝试转发退回的日志邮件可能会导致服务器队列备份。 - (可选)要拒绝未经 DKIM/SPF 验证身份的日志邮件,请勾选拒绝未经 DKIM/SPF 验证身份的日志邮件复选框,并视需要勾选编辑默认拒绝通知,如果勾选则输入拒绝通知。
如果邮件遭到拒绝,则拒绝邮件会包含您输入的文本以及默认的 NDR 消息。例如,您可以输入“日志遭拒”之类的文字,以便您识别 Exchange 日志邮件。 - (可选)要拒绝不含任何可识别用户的日志邮件,请勾选拒绝收件人无法识别的日志邮件复选框。
重要提示:- 默认情况下,该复选框处于选中状态。如果无法识别的用户当中存在使用别名或未获得保险柜许可的用户,Exchange 会继续记录相应事件并重新尝试发送邮件这会导致您收到重复的 Exchange 错误消息。
- 如果您取消选中该复选框,系统就会自动舍弃包含无法识别的用户的日志邮件,而不发送提醒。这样一来,您就无法查看哪些用户的邮件未保留。因此,如果存在应获得保险柜许可但实际上未获得的用户,您就无法找出这些用户。为了避免出现这些问题,我们建议您设法确保所有相关用户均已获得保险柜许可。
- (可选)要仅接受来自特定 IP 范围内的日志邮件(拒绝超出范围的邮件),请执行以下操作:
- 点击添加。
- 输入您 Exchange 服务器的 IP 地址范围,然后点击保存。
- 如果这些 IP 范围不是由多位客户共用的托管 IP 范围,请在入站邮件网关中加入日志 IP 范围。有关详情,请参阅设置入站邮件网关。
- 点击添加设置或保存。
- 点击保存。或者,您也可以针对 组织部门 点击覆盖。
如要稍后恢复继承的值,请点击继承(如果是群组,请点击取消设置)。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
您可以在管理控制台审核日志中跟踪更改。
第 4 步:配置 Exchange 服务器以将日志邮件转发到接收地址
如果您使用的是 Exchange Online,请改为按这些步骤操作。
1. 准备工作- 如果您之前设置了 Exchange 日志功能,您可能已经完成了其中几个步骤。不过,我们建议您还是按照该流程的每个步骤操作,从而确保 Exchange 日志功能得以正确配置。
- Google Workspace 支持团队不会针对本地邮件服务器或第三方产品提供支持服务。如果有 Exchange 方面的问题,请咨询 Exchange 管理员。
- 以上说明旨在处理常见的 Exchange 情况。您对 Exchange 配置所做的任何更改都必须咨询您的 Exchange 管理员。
要将日志邮箱中的日志邮件转发到接收地址,您必须向 Microsoft Active Directory 添加新的联系人或更新现有的联系人。Microsoft 会将该联系人视为自定义 SMTP 收件人,因为 Exchange 日志服务器会通过 SMTP 将所有日志邮件转发到您的接收地址。
创建新的 SMTP 联系人
- 打开 Active Directory 用户和计算机。
- 右键点击您想要创建联系人的组织部门,然后依次点击新建 联系人。
自定义 SMTP 收件人的电子邮件地址必须与您在通过以下地址接收日志邮件字段添加的电子邮件地址一致(见本页上文部分)。 - 输入以下信息:
- 名字:Google
- 姓氏:保险柜
- 显示名称:Google 保险柜
- 点击确定。
- 在邮箱服务器上,打开 Exchange 管理控制台。
- 展开收件人配置,右键点击邮件联系人,然后选择新建邮件联系人。
- 点击现有联系人,选择您刚刚创建的 Google 保险柜联系人,然后点击确定。
- 点击下一步。
- 在外部电子邮件地址部分,点击修改,然后输入与您所创建的接收地址相同的地址(见本页面上文部分),例如 exchange-journal@solarmora.com。
- 点击确定 下一步 新建。
配置邮件格式设置
在 Exchange 2007 中,日志报告以 S/TNEF 格式发送。在 Exchange 2007 SP1 和 Exchange 2010 中,您可以使用 S/TNEF 或 MIME 格式发送日志报告。您还可以使用 MIME 格式输入日志报告。仅 Exchange 2007 SP1 和更高版本的 Exchange 支持 MIME。早期版本不支持。有关 Exchange 版本的详细信息,请参阅相关 Microsoft 文档。
- 在邮箱服务器上,打开 Exchange 管理控制台。
- 展开收件人配置,然后选择邮件联系人。
- 选择“SMTP 联系人” 点击属性。
- 点击常规,然后在使用 MAPI 富文本格式部分,点击从不。
完成设置后,系统会使用 MIME(而不是 S/TNEF)发送日志报告。
您可以在一个或多个 Exchange 服务器上设置多个日志邮箱和邮箱数据库。设置日志邮箱时,您必须将其放置在不打算启用日志功能的邮箱数据库中。
设置日志邮箱并创建日志分发列表
- 在邮箱服务器上,打开 Exchange 管理控制台。
- 展开收件人配置,右键点击邮箱,然后选择新建邮箱。
- 点击用户邮箱 下一步。
- 点击新建用户 下一步。
- 选择您要创建日志邮箱的组织部门。
- 对于名字,请输入 Archive。
- 对于姓氏,请输入 Archive。
- 对于名称,请输入 Archive Master。
- 对于用户登录名(用户主体名),请输入 AMaster。
- 输入并确认该用户的密码。
- 取消选中用户下次登录时必须更改密码对应的复选框 点击下一步。
- 选择相应的邮箱数据库、通讯记录管理策略和 Exchange ActiveSync 邮箱策略 下一步。
- 检查“配置摘要”。如果您需要进行更改,请点击返回。
- 点击新建以创建邮箱。
- 在“Active Directory”中,创建新分发列表(组),然后将其命名为日志收件人。
- 将下列成员添加到该分发列表(群组):
- SMTP 联系人 - SMTP 联系人地址应与您在创建 SMTP 联系人(见本页面上文部分)。
- Archive Master - 您在第 8 步创建了此内容(见本页面上文部分)。
您可以启用标准或高级日志功能,具体取决于 Exchange 的版本。通过标准日志功能,您可以为每个相关的邮箱数据库配置日志功能。通过高级日志功能,您可以配置相关规则,以识别邮件已被记录的发件人和收件人。有关您所使用的 Exchange 版本支持的日志记类型的详细信息,请参阅相关 Microsoft 文档。
根据您的组织规模和配置的相关规则,您可能会拥有一个或多个日志邮箱。如果您拥有大量日志邮箱,且其中包含较大容量的日志报告,您可能需要为这些邮箱数据库指定特定资源。
启用标准日志功能
- 打开 Exchange 管理控制台。
- 展开服务器配置 点击邮箱。
- 选择您要启用日志功能的邮箱数据库的服务器。
- 右键点击邮箱数据库 点击属性。
- 点击常规 日志收件人。
- 对于将日记报告发送到,点击浏览,选择日志收件人(您创建的日志邮件收件人的分发列表),然后点击确定。
- 点击确定。
用户在此邮箱数据库上的所有日志邮件现已发送到“日志收件人”分发列表。 - 为您要启用日志功能的每个邮箱数据库重复上述步骤。
启用高级日志功能
- 确保已在集线器传输服务器上启用“日志”代理:
- 发出 Get-TransportAgent 命令。如果系统未返回代理名称,说明代理未启用。
- 如需启用日志代理,请发出 Enable-TransportAgent -Identity “Journaling agent” 命令。
- 在集线器传输服务器上,打开 Exchange 管理控制台。
- 展开组织配置,然后选择集线器传输。
- 点击日志 新建日记规则,然后输入日志规则的名称。
- 对于将日记报告发送到,点击浏览,选择日志收件人(您创建的日志邮件收件人的分发列表)。
- 在范围部分,请选择日志规则的应用范围。
- 要为单个收件人(针对收件人的日志邮件)应用规则,请点击浏览,然后选择相应收件人。
- 要为多个收件人(针对收件人的日志邮件)应用规则,请点击浏览,然后选择相应分发列表。
- 点击新建 完成。
用户在此集线器传输服务器上的所有日志邮件现已发送到AMaster。 - 针对您要启用日志功能的每台集线器传输服务器重复上述步骤。
为确保拥有足够的存储空间存储日志报告,您必须创建一个“托管内容设置”规则,以便按照您指定的时间间隔自动删除收件箱文件夹中的所有邮件。
我们建议您一开始将该间隔设置为每隔 7 天。然后,在您开启日志功能后的最初几周内监控日志邮箱的大小,之后再根据需要调整时间间隔。如果您希望在预定时间备份所有的日志报告,请设置合适的时间间隔,以确保日志报告在备份前不会遭到删除。
第 1 步:为收件箱文件夹创建托管内容设置。
- 在 Exchange 管理控制台中,展开组织配置,然后选择邮箱。
- 点击托管默认文件夹,然后选择收件箱。
- 在操作窗格中,点击新的托管内容设置,打开新的托管内容设置向导。
- 在名称部分,输入 Google 保险柜内容设置。
- 对于邮件类型,请选择所有邮件内容。
- 选中保留期长度对应的复选框。
- 输入您要保留邮件的天数。
- 在保留期限开始部分,点击递送后,日历的结束日期和重复任务。
- 在保留期结束时要采取的操作部分,选择永久删除。
- 点击下一步 下一步以绕过“日志”页面。
- 点击新建 完成。
第 2 步:创建托管文件夹邮箱政策
- 在 Exchange 管理控制台中,展开组织配置,然后选择邮箱。
- 在操作面板中,点击新的托管文件夹邮箱策略,打开新的托管文件夹邮箱策略向导。
- 在托管文件夹邮箱政策名称部分,输入 Google 保险柜政策。
- 在指定要与该政策关联的托管文件夹部分,点击添加以打开选择托管文件夹对话框复选框。
- 选择收件箱 点击确定。
- 点击新建 完成。
第 3 步:将托管文件夹邮箱策略应用于日志邮箱。
- 在 Exchange 管理控制台中,展开收件人配置,然后选择邮箱。
- 右键点击 Archive Master,然后选择属性。
- 点击邮箱设置 邮件记录管理,然后选择属性。
- 选中托管文件夹邮箱政策对应的复选框,然后点击浏览。
- 选择 Google 保险柜政策,然后点击确定。
- 点击确定进行确认。
第 4 步:配置托管文件夹助理以实施该策略
- 在 Exchange 管理控制台中,展开服务器配置,然后选择邮箱。
- 右键点击托管 Archive Master 日志邮箱的邮箱服务器,然后点击属性。
- 点击邮件记录管理,然后在计划托管文件夹助理部分,选择使用自定义计划,并点击自定义。
- 在计划部分,为托管文件夹助理选择运行日期和时间。
我们建议在非高峰时段运行该助理。 - 点击确定。
现在,为了防止用户直接将电子邮件发送到归档邮箱,您必须从“Exchange 全局地址列表”中移除日志邮箱。
- 使用 Set-Mailbox cmdlet 修改日志邮箱设置,这样,日志邮箱便可从全局地址列表中删除。
- 发布 Set-Mailbox AMaster -HiddenFromAddressListsEnabled $true 命令。
最后,您必须为 AMaster 用户设置一项递送限制,以阻止任何人将电子邮件直接发送到日志邮箱。
- 使用 Set-Mailbox cmdlet 修改日志邮箱的设置。
- 发出 Set-Mailbox AMaster -AcceptMessagesOnlyFrom AMaster 命令。
“Google”、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。