Journale in Exchange Online

  • Artikel

Wichtig

Weitere Informationen finden Sie im Microsoft 365 Security Center und im Microsoft Purview-Complianceportal für Exchange-Sicherheits- und Compliancefeatures. Sie sind im neuen Exchange Admin Center nicht mehr verfügbar.

Wenn möglich, empfehlen wir Ihnen, die Microsoft 365-Aufbewahrung zu verwenden, um Daten vor Ort zu archivieren und zu verwalten, um Ihre Complianceanforderungen zu erfüllen. Einige Organisationen müssen jedoch möglicherweise eine Drittanbieterlösung verwenden, um eine Kopie von E-Mails zur Speicherung oder in anderen Szenarien zu erhalten. Konfigurieren Sie das Journaling, um diese Daten außerhalb von Exchange zu speichern.

Überlegungen zur Journalerstellung

Journaling ist ein älteres Feature von Exchange, das Daten außerhalb von Microsoft 365 verschiebt. Daher müssen Sie zusätzliche Vorsichtsmaßnahmen treffen, um sie zu schützen und auch alle Duplizierungen zu beheben, die sich aus dieser Lösung ergeben können. Es liegt in Ihrer Verantwortung, alle Nichtzustellbestätigungen an das Journalpostfach zu überwachen und nachzuverfolgen, die aufgrund externer und abhängiger Dienste auftreten können.

Diese zusätzlichen Verwaltungskosten fallen nicht an, wenn Sie Microsoft 365-Aufbewahrung und andere Microsoft Purview-Compliancelösungen verwenden, die die Daten in Ihrem Mandanten aufbewahren. Als modernere Compliancelösung sind sie nicht nur auf E-Mails beschränkt, sondern können auch die heutigen Kommunikations- und Produktivitäts-Apps wie Microsoft Teams verwalten.

Journalregeln

Folgende sind wichtige Aspekte von Journalregeln:

  • Journalregelbereich: Definiert, welche Nachrichten vom Journal-Agent erfasst werden.
  • Journalempfänger: Gibt die SMTP-Adresse des Empfängers an, den Sie journalieren möchten.
  • Journalpostfach: Gibt ein oder mehrere Postfächer an, die zum Sammeln von Journalberichten verwendet werden.

In Exchange Online gibt es eine Beschränkung der Anzahl von Journalregeln, die Sie erstellen können. Weitere Informationen finden Sie unter Grenzwerte für Journal-, Transport- und Posteingangsregel.

Journalregelbereich

Mithilfe von Journalregeln können Sie nur interne, nur externe oder sowohl interne als auch externe Nachrichten in einem Journal erfassen. In der folgenden Liste sind diese Bereiche beschrieben:

  • Nur interne Nachrichten: Journalregeln, deren Bereich auf journalinterne Nachrichten festgelegt ist, die zwischen den Empfängern innerhalb Ihres Exchange-organization gesendet werden.
  • Nur externe Nachrichten1: Journalregeln, deren Bereich auf journal externe Nachrichten festgelegt ist, die an Empfänger gesendet oder von Absendern außerhalb Ihres Exchange-organization empfangen werden.
  • Alle Nachrichten: Journalregeln, deren Bereich so festgelegt ist, dass alle Nachrichten erfasst werden, die Ihre organization unabhängig vom Ursprung oder Ziel durchlaufen. Dies umfasst Nachrichten, die möglicherweise bereits von Journalregeln in den internen und externen Bereichen verarbeitet wurden.

1 Wenn sich absender und empfänger in akzeptierten Domänen derselben organization befinden, werden die Nachrichten nicht als extern berücksichtigt, auch wenn der x-ms-exchange-crosstenant-authas Header in den Nachrichten den Wert anonymousaufweist. Dementsprechend werden diese Nachrichten nicht als extern erfasst.

Journalempfänger

Durch Angabe der SMTP-Adresse des Empfängers, der im Journal erfasst werden soll, können Sie zielgerichtete Journalregeln implementieren. Der Empfänger kann ein Postfach, eine Verteilergruppe, eine dynamische Verteilergruppe, ein E-Mail-Benutzer oder ein Kontakt sein. Diese Empfänger unterliegen möglicherweise besonderen rechtlichen Bestimmungen oder sind in juristische Verfahren involviert, bei denen E-Mails und andere Kommunikationsmittel als Beweismittel erfasst werden. Durch gezielte Auswahl bestimmter Empfänger oder Empfängergruppen können Sie auf einfache Weise eine Journalerfassungsumgebung konfigurieren, die den Prozessen Ihrer Organisation entspricht und rechtliche Bestimmungen und Vorschriften erfüllt. Indem Sie nur bestimmte Empfänger auswählen, deren Nachrichten in einem Journal erfasst werden müssen, können Sie auch den erforderlichen Speicherplatz sowie andere Kosten in Zusammenhang mit der Aufbewahrung großer Datenmengen reduzieren.

Alle Nachrichten, die von den in einer Journalregel angegebenen Empfängern gesendet oder empfangen werden, werden im Journal erfasst. Wenn Sie eine Verteilergruppe als Journalempfänger angeben, werden alle Nachrichten in einem Journal erfasst, die an die Mitglieder oder von den Mitgliedern der Verteilergruppe gesendet werden. Wenn Sie keinen Empfänger angeben, werden alle Nachrichten, die zwischen Empfängern und Absendern ausgetauscht werden, die dem Journalregelbereich entsprechen, im Journal erfasst.

Hinweis

Die für den Journalempfänger angegebene SMTP-Adresse darf kein Wildcardzeichen enthalten. Beispielsweise kann die SMTP-Adresse nicht als *@contoso.comaufgelistet werden.

Journalpostfach

Das Journalingpostfach dient zum Erfassen von Journalberichten. Wie das Journalingpostfach konfiguriert wird, hängt von den Richtlinien in Ihrer Organisation sowie den behördlichen und gesetzlichen Bestimmungen ab. Sie können ein Journalpostfach zum Erfassen der Nachrichten von allen in der Organisation konfigurierten Journalregeln angeben oder verschiedene Journalpostfächer für unterschiedliche Journalregeln oder Journalregelgruppen verwenden.

Sie können ein Exchange Online Postfach nicht als Journalpostfach festlegen. Sie können Journalberichte an ein lokales Archivierungssystem oder den Archivierungsdienst eines Drittanbieters senden. Wenn Sie eine Exchange-Hybridbereitstellung ausführen, bei der Ihre Postfächer auf lokale Server und Exchange Online aufgeteilt sind, können Sie ein lokales Postfach als Journalpostfach für Ihre Exchange Online und lokalen Postfächer festlegen.

Journalpostfächer enthalten vertrauliche Informationen. Journalpostfächer müssen geschützt werden, da in ihnen Nachrichten gesammelt werden, die von Empfängern und an Empfänger in Ihrer Organisation gesendet werden. Diese Nachrichten werden möglicherweise in juristischen Verfahren benötigt oder unterliegen gesetzlichen Bestimmungen. Verschiedene Gesetze schreiben vor, dass Nachrichten nicht verändert werden dürfen, bevor sie an eine Untersuchungsbehörde übergeben werden. Es wird empfohlen, dass Sie Richtlinien erstellen, die regeln, wer in der Organisation auf die Journalpostfächer zugreifen kann und dass Sie den Zugriff nur auf die Personen beschränken, die unmittelbaren Bedarf für den Zugriff haben. Beraten Sie sich mit den Rechtsberatern Ihrer Organisation, um sicherzustellen, dass Ihre Journallösung allen Gesetzen und Bestimmungen entspricht, denen die Organisation unterliegt.

Wichtig

Wenn Sie eine Journalregel konfiguriert haben, durch die Journalberichte an ein Journalingpostfach gesendet werden, das ist nicht vorhanden ist oder ein ungültiges Ziel darstellt, bleibt der Journalbericht in der Transportwarteschlange auf Microsoft-Rechenzentrumsservern. Wenn dies der Fall ist, wenden sich Microsoft-Rechenzentrumsmitarbeiter an Ihre Organisation und bitten Sie, das Problem zu beheben, damit die Journalberichte an ein Journalingpostfach übermittelt werden können. Wenn Sie anschließend das Problem nicht innerhalb von zwei Tagen gelöst haben, wird die problematische Journalregel von Microsoft deaktiviert.

Alternatives Journalpostfach

Wenn das Journalpostfach nicht verfügbar ist, möchten Sie möglicherweise nicht, dass die nicht zustellbaren Journalberichte in E-Mail-Warteschlangen auf Postfachservern gesammelt werden. Stattdessen können Sie ein alternatives Journalpostfach zum Speichern dieser Journalberichte konfigurieren. Das alternative Journalpostfach empfängt die Journalberichte als Anlagen in den Nichtzustellbarkeitsberichten (auch als NDRs oder Unzustellbarkeitsnachrichten bezeichnet), die generiert werden, wenn das Journalpostfach oder der Server, auf dem es sich befindet, die Übermittlung des Journalberichts ablehnt oder nicht mehr verfügbar ist. Wie beim Journalpostfach können Sie ein Exchange Online Postfach nicht als alternatives Journalpostfach festlegen.

Wenn das Journalpostfach wieder verfügbar ist, können Sie das Feature Erneut senden in Outlook verwenden, um Journalberichte zur Übermittlung an das Journalpostfach zu übermitteln.

Wenn Sie ein alternatives Journalpostfach konfigurieren, werden alle Journalberichte, die abgelehnt werden oder nicht über Ihre gesamte Exchange-organization übermittelt werden können, an das alternative Journalpostfach übermittelt. Sie müssen deshalb sicherstellen, dass das alternative Journalpostfach und der Postfachserver, auf dem es sich befindet, zahlreiche Journalberichte unterstützen können.

Achtung

Wenn Sie ein alternatives Journalpostfach konfigurieren, müssen Sie das Postfach überwachen, um sicherzustellen, dass Postfach und Journalpostfächer nicht gleichzeitig nicht verfügbar sind. Wenn das alternative Journalpostfach nicht verfügbar ist oder gleichzeitig Journalberichte zurückweist, gehen die zurückgewiesenen Journalberichte verloren und können nicht abgerufen werden. Aufgrund der bestehenden Einschränkungen für den Empfang von E-Mails für Exchange Online Postfächer wird das Konfigurieren des alternativen Journalpostfachs als Exchange Online Postfach nicht unterstützt.

Da das alternative Journalpostfach alle abgelehnten Journalberichte für die gesamte Exchange Online organization sammelt, müssen Sie sicherstellen, dass dies nicht gegen Gesetze oder Vorschriften verstößt, die für Ihre organization gelten. Wenn Gesetze oder Vorschriften verhindern, dass Ihre organization zulassen, dass Journalberichte, die an verschiedene Journalpostfächer gesendet werden, im selben alternativen Journalpostfach gespeichert werden, können Sie möglicherweise kein alternatives Journalpostfach konfigurieren. Besprechen Sie dies mit Ihren gesetzlichen Vertretern, um festzustellen, ob Sie ein alternatives Journalpostfach verwenden können.

Beim Konfigurieren des alternativen Journalpostfachs müssen dieselben Kriterien wie beim Konfigurieren des Journalpostfachs beachtet werden.

Wichtig

Die alternativen Journalingpostfächer sollten als ein spezielles dediziertes Postfach behandelt werden. Alle Nachrichten, die direkt an das alternative Journalpostfach adressiert sind, werden nicht im Journal erfasst.

Journalberichte

Ein Journalbericht ist die Mitteilung, die der Journal-Agent generiert, wenn eine Nachricht einer Journalregel entspricht und an das Journalpostfach übermittelt werden soll. Die Originalnachricht, die der Journalregel entspricht, wird unverändert als Anlage in den Journalbericht aufgenommen. Der Text eines Journalberichts enthält Informationen aus der ursprünglichen Nachricht wie die E-Mail-Adresse des Absenders, den Betreff der Nachricht, die Nachrichten-ID und die E-Mail-Adressen der Empfänger. Dies wird auch als Umschlagerfassung bezeichnet und ist die einzige von Microsoft 365 und Office 365 unterstützte Journalmethode.

Journalberichte und IRM-geschützte Nachrichten

Bei der Implementierung von Journaling müssen Sie Journalberichte und IRM-geschützte Nachrichten berücksichtigen. IRM-geschützte Nachrichten wirken sich auf die Such- und Ermittlungsfunktionen von Archivierungssystemen von Drittanbietern aus, für die keine RMS-Unterstützung integriert ist. In Microsoft 365 und Office 365 können Sie die Entschlüsselung von Journalberichten konfigurieren, um eine Klartextkopie der Nachricht in einem Journalbericht zu speichern. Die Nachrichten und Anlagen werden entschlüsselt, wenn die Verschlüsselung vom organization stammt. Journaling entschlüsselt keine Elemente, die von externen Organisationen verschlüsselt werden.

Führen Sie die folgenden Schritte aus, um die Entschlüsselung von Journalberichten für die organization zu aktivieren.

  1. Stellen Sie auf Ihrem lokalen Computer mithilfe eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrem organization verfügt, eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das Cmdlet aus, um die Set-IRMConfiguration Entschlüsselung von Journalberichten zu aktivieren.

 Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Legen Sie den Parameter auf festtrue, um die JournalReportDecryptionEnabled Entschlüsselung zu aktivieren. Legen Sie den Parameter auf fest false , um die Entschlüsselung zu deaktivieren.

Wichtig

Die Entschlüsselung von Journalberichten unterstützt derzeit nicht die explizite Verwendung von OME-Brandingvorlagen. Wenn Sie eine Nachrichtenflussregel (auch als Transportregel bezeichnet) verwenden, um eine OME-Brandingvorlage anzuwenden, enthält der Journalbericht keine entschlüsselte Kopie der Nachricht. Derzeit funktioniert die Entschlüsselung von Journalberichten nur mit der standardmäßigen OME-Brandingvorlage, die von Exchange Online ohne Eine Nachrichtenflussregel angewendet wird. Mit anderen Worten, die Brandingvorlage, die von OME implizit auf Nachrichten angewendet wird.

Problembehandlung

Wenn eine Nachricht dem Bereich mehrerer Journalregeln entspricht, werden alle übereinstimmenden Regeln ausgelöst.

  • Wenn die Abgleichsregeln mit unterschiedlichen Journalpostfächern konfiguriert sind, wird ein Journalbericht an jedes Journalpostfach gesendet.
  • Wenn die Abgleichsregeln alle mit demselben Journalpostfach konfiguriert sind, wird nur ein Journalbericht an das Journalpostfach gesendet.

Das Journal identifiziert Nachrichten immer als intern, wenn sich die E-Mail-Adresse im SMTP MAIL FROM-Befehl in einer Domäne befindet, die als akzeptierte Domäne in Exchange Online konfiguriert ist. Diese Nachrichten enthalten gefälschte Nachrichten aus externen Quellen (Nachrichten, bei denen der X-MS-Exchange-Organization-AuthAs-Headerwert ebenfalls Anonym ist). Daher werden Journalregeln, die auf externe Nachrichten beschränkt sind, nicht durch gefälschte Nachrichten mit SMTP MAIL FROM-E-Mail-Adressen in akzeptierten Domänen ausgelöst.

Szenarien mit doppelten Journalberichten in einer Exchange-Hybridumgebung

In einer Exchange-Hybridumgebung führen bekanntermaßen die folgenden Szenarien zu doppelten Journalberichten, und diese werden entwurfsbedingt berücksichtigt:

  1. Cloud-zu-Cloud: Alle Situationen, in denen E-Mails gezweigt werden, führen zu doppelten Journalen, z. B.:

    • Transportchipping (zu viele Empfänger in der Nachricht).
    • Interne und externe Empfänger sind in derselben Nachricht vorhanden – zwei Forks werden für Spam-/Phishing-Zwecke erstellt (eine, in der interne Empfänger vorhanden sind und eine, in der externe Empfänger vorhanden sind).
    • Alle zukünftigen Anforderungen, bei denen die Cloud die Nachricht forken muss.

  2. Lokal in die Cloud: Einmal, wenn lokale Journale und einmal in der Cloud journalisiert werden. Dies kann verhindert werden, indem Sie das Flight PreventDupJournaling in einem Exchange Online Mandanten implementieren. Um diesen Flug zu ermöglichen, müssen Sie ein Supportticket bei Microsoft öffnen.

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Online oder Exchange Online Protection.

Wenn Sie Probleme mit dem JournalingReportDNRTo-Postfach haben, finden Sie weitere Informationen unter Transport- und Postfachregeln in Exchange Online funktionieren nicht wie erwartet.