Journalisation dans Exchange Server

  • Article

La journalisation dans Exchange Server peut aider votre organization à répondre aux exigences de conformité légales, réglementaires et organisationnelles en enregistrant tous les messages électroniques ou ciblés. La journalisation dans Exchange Server est essentiellement inchangée par rapport à Exchange Server 2010.

Exchange fournit les options de journalisation suivantes :

  • Journalisation standard : journalise tous les messages envoyés et reçus par les boîtes aux lettres sur une base de données de boîtes aux lettres spécifique. Pour journaliser tous les messages de votre organization, vous devez configurer la journalisation sur toutes les bases de données de boîtes aux lettres sur tous les serveurs Exchange.

  • Journalisation Premium : utilisez des règles de journalisation pour journaliser les messages en fonction des destinataires (tous les destinataires ou destinataires spécifiés) et de l’étendue (messages internes, messages externes ou tous les messages). La journalisation Premium exige des licences d'accès au client (CAL) Exchange Entreprise. Pour plus d’informations sur les licences d’accès client, consultez FAQ sur les licences Exchange.

Pour configurer la journalisation, consultez Procédures de journalisation dans Exchange Server.

Lors de la planification de la rétention et de la conformité de la messagerie, il est important de bien comprendre la journalisation et son intégration dans les stratégies de conformité de votre organisation.

Pourquoi la journalisation est-elle importante ?

Tout d’abord, il est important de comprendre la différence entre la journalisation et l’archivage en ce qui concerne les messages électroniques :

  • La journalisation fait référence à l’enregistrement de communications par courrier électronique dans le cadre de la stratégie de rétention de messagerie de l’organisation.

  • L’archivage fait référence à la suppression des messages électroniques de leur emplacement natif (par exemple, boîte aux lettres d’un utilisateur) et à leur enregistrement à un autre endroit.

De nombreuses organisations doivent gérer les enregistrements de la communication par courrier électronique qui a lieu alors que les employés effectuent leurs tâches professionnelles quotidiennes. Vous pouvez utiliser la journalisation Exchange comme outil dans le cadre de votre stratégie de rétention ou d'archivage du courrier électronique.

Bien qu’une réglementation ne nécessite pas particulièrement une journalisation, la journalisation Exchange peut aider votre organisation à être conforme à la réglementation. Par exemple, les responsables d’entreprise dans certains secteurs financiers peuvent être tenus responsables des déclarations de leurs employés auprès des clients. Les responsables de la conformité désignés peuvent utiliser la journalisation pour collecter et réviser régulièrement les messages électroniques qui sont envoyés par des employés à des clients dans le cadre de la révision améliorée des communications entre employé et client. Les responsables de la conformité peuvent signaler leur approbation au mandataire social, et le mandataire social peut ensuite signaler la conformité à l’organe réglementaire.

La liste suivante présente certaines des réglementations américaines et internationales les plus connues où la journalisation Exchange peut vous aider à faire partie de vos stratégies de conformité :

  • Loi Sarbanes-Oxley de 2002 (SOX)

  • Règle 17a-4 de la SEC (Securities Exchange Commission)

  • National Association of Securities Dealers 3010 & 3110 (NASD 3010 & 3110)

  • Loi Gramm-Leach-Bliley (loi de modernisation financière)

  • Financial Institution Privacy Protection Act de 2001

  • Financial Institution Privacy Protection Act de 2003

  • Healthcare Insurance Portability and Accountability Act de 1996 (HIPAA)

  • Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act de 2001 (Patriot Act)

  • Directive relative à la protection des données de l'Union européenne (EUDPD)

  • Loi japonaise sur la protection des informations personnelles

Agent de journalisation

L’agent de journalisation est l’agent de transport Exchange intégré qui traite les messages à mesure qu’ils transitent par le service de transport sur les serveurs de boîtes aux lettres. Les paramètres de configuration de journalisation sont stockés dans Active Directory et lus par l’agent de journalisation. L’agent de journalisation est inscrit sur les événements du catégoriseur OnSubmittedMessage et OnRoutedMessage dans le pipeline de transport. Pour plus d’informations sur le pipeline de transport, consultez la rubrique Mail flow and the transport pipeline.

Notez que la plupart des agents de transport intégrés tels que l’agent de journalisation sont invisibles et non gérables par les cmdlets de gestion des agents de transport (*-TransportAgent).

États de journal

Un état de journal est le message qui est enregistré par la journalisation. L’état de journal inclut le message d’origine tel quel comme pièce jointe. Le corps de l’état de journal contient des informations récapitulatives figurant dans le message d’origine (par exemple, l’adresse de messagerie de l’expéditeur, l’objet, Message-ID et les adresses de messagerie des destinataires). Ce type de journalisation est appelé journalisation d’enveloppe et est la seule méthode de journalisation prise en charge par Exchange.

États de journal et messages protégés par IRM

Vous devez tenir compte des effets des messages protégés par IRM sur les états de journal. Les systèmes d’archivage qui n’ont pas de support RMS intégré ne peuvent pas déchiffrer les messages protégés par IRM dans les états de journal, ce qui a une influence négative sur la recherche et la découverte du contenu des messages journalisés. Dans Exchange, vous pouvez configurer le déchiffrement du rapport de journal pour enregistrer une copie en texte clair du message dans le rapport de journal. Pour plus d'informations, consultez la rubrique Activation du déchiffrement de l'état de journal.

Règles de journalisation

Les composants de base d’une règle de journal sont les suivants :

  • Destinataire du journal : la personne que vous souhaitez journaliser.

  • Étendue d’une règle de journal : objet à journaliser.

  • Boîte aux lettres de journalisation : endroit où vous souhaitez stocker les messages journalisés.

Destinataire du journal

Le destinataire de la journalisation spécifie la personne à journaliser. Les messages envoyés au destinataire de journalisation ou reçus par celui-ci sont journalisés (le sens n’a aucune importance). Vous pouvez configurer une règle de journal pour journaliser les messages pour tous les expéditeurs et destinataires de l’organisation Exchange, ou vous pouvez limiter une règle de journal à une boîte aux lettres, un groupe, un utilisateur de messagerie ou un contact de messagerie Exchange. Si vous spécifiez un groupe de distribution, vous activez la journalisation des membres du groupe de distribution (et non du groupe lui-même).

En ciblant des destinataires ou des groupes de destinataires spécifiques, vous pouvez configurer un environnement de journalisation conforme aux exigences légales et réglementaires de votre organisation, et réduire les coûts de stockage et autres frais associés à la conservation de quantités volumineuses de données.

Destinataires de journal activés pour la messagerie unifiée dans Exchange 2016

Par défaut, si votre organization Exchange 2016 utilise la messagerie unifiée (UM) pour consolider l’infrastructure de messagerie, de messagerie vocale et de télécopie, Exchange est configuré pour journaliser les notifications vocales et les messages de notification d’appel manqués. Vous pouvez désactiver la journalisation pour ces types de messages, mais les messages qui contiennent des télécopies générées par messagerie unifiée sont toujours journalisés.

Pour désactiver la journalisation pour la messagerie vocale et les notifications d’appel en absence, voir Procédure d’activation ou de désactivation de la journalisation des notifications d’appel en absence et de la messagerie vocale.

Remarque

La messagerie unifiée n’est pas disponible dans Exchange 2019.

Étendue d'une règle de journal

Après avoir défini les personnes à journaliser, vous devez définir l’étendue des messages à journaliser. Les étendues disponibles sont les suivantes :

  • Messages internes uniquement : la source ou la destination du message se trouve à l’intérieur de votre organization Exchange.

  • Messages externes uniquement : la source ou la destination du message se trouve en dehors de votre organization Exchange.

  • Tous les messages : la source ou la destination du message n’a pas d’importance. Notez qu’une règle de journal ayant cette étendue peut éventuellement journaliser des messages qui étaient déjà journalisés par d’autres règles avec des étendues Messages internes uniquement ou Messages externes uniquement.

Boîte aux lettres de journalisation

La boîte aux lettres de journalisation est l’endroit où sont remis les messages journalisés. La manière dont vous configurez la boîte aux lettres de journalisation dépend des stratégies de l’organisation, ainsi que des exigences légales et réglementaires. Par exemple, vous pouvez configurer une boîte aux lettres de journalisation pour toutes les règles de journal de votre organisation, ou vous devez peut-être utiliser des boîtes aux lettres de journalisation différentes pour des règles de journal différentes.

Remarques :

  • Comme les boîtes aux lettres de journalisation contiennent des informations sensibles à la casse, vous devez sécuriser leur accès. Les messages de la boîte aux lettres de journalisation peuvent être visés par des actes de procédure ou faire l’objet d’exigences réglementaires. Nous vous recommandons de créer et d’appliquer des stratégies clairement définies qui indiquent qui a accès à une boîte aux lettres de journalisation. Consultez vos représentants légaux pour vérifier que votre solution de journalisation est conforme à l’ensemble des lois et réglementations applicables à votre organisation.

  • Une boîte aux lettres Microsoft 365 ou Office 365 ne peut pas être utilisée comme boîte aux lettres de journalisation. Si vous exécutez un déploiement hybride entre Exchange local et Microsoft 365 ou Office 365, vous pouvez désigner des boîtes aux lettres de journalisation locales pour vos organisations Microsoft 365 ou Office 365 et locales. Vous pouvez aussi fournir des messages journalisés à un système d’archivage de messagerie local ou à un service d’archivage de messagerie tiers.

  • Les boîtes aux lettres de journalisation doivent accepter les messages de taille au moins égale à la taille maximale des messages disponible dans votre organisation. Tenez compte des tailles maximales des messages personnalisés que vous avez configurées sur des boîtes aux lettres individuelles. Pour plus d’informations, consultez Configurer les limites de taille des messages pour une boîte aux lettres.

  • Nous vous recommandons de configurer la boîte aux lettres de journalisation pour accepter uniquement les messages du destinataire Microsoft Exchange (seul expéditeur des rapports de journal). Notez que vous pouvez effectuer cette opération uniquement dans l’environnement de ligne de commande Exchange Management Shell. Pour plus d'informations, consultez la rubrique Configurer les restrictions de remise de message pour une boîte aux lettres.

  • Nous vous recommandons de désactiver les limites de quota de stockage pour la boîte aux lettres de la journalisation. Pour plus d’informations, consultez Configurer des quotas de stockage pour une boîte aux lettres.

Autre boîte aux lettres de journalisation

Comme les autres messages, les états de journal non remis sont mis en file d’attente et renvoyés régulièrement jusqu’à ce que le message expire (la valeur par défaut est de deux jours et est configurée par le paramètre MessageExpirationTimeout sur la cmdlet Set-TransportService). Contrairement à d’autres messages, les rapports de journal expirés ne peuvent pas être retournés à l’expéditeur dans un rapport de non-remise (également appelé notification d’échec de remise ou message de rebond), car l’expéditeur est le destinataire Microsoft Exchange. Les états de journal expirés ne peuvent pas être récupérés.

Si vous ne souhaitez pas que les états de journal non remis soient mis en file d’attente et finissent par expirer, vous pouvez spécifier une autre boîte aux lettres de journalisation qui accepte les notifications d’échec de remise pour tous les états de journal non remis lorsqu’une boîte aux lettres de journalisation n’est pas disponible (une autre boîte aux lettres de journalisation pour toutes les boîtes aux lettres de journalisation dans votre organisation). L’état de journal d’origine est une pièce jointe dans la notification d’échec de remise. Lorsque la boîte aux lettres de journalisation redevient disponible, vous pouvez utiliser la fonctionnalité Renvoyer ce message dans Outlook sur les NDR de la boîte aux lettres de journalisation de remplacement pour envoyer les rapports de remise non affectés à la boîte aux lettres de journalisation.

Avant de configurer une autre boîte aux lettres de journalisation, contactez vos représentants juridiques. Les lois et réglementations qui s’appliquent à votre organisation peuvent interdire de stocker tous les messages journalisés dans la même boîte aux lettres.

Lorsque vous configurez une autre boîte aux lettres de journalisation, vous devez spécifier les mêmes critères que ceux utilisés lors de la configuration de la boîte aux lettres de journalisation.

Remarques :

  • Si l’autre boîte aux lettres de journalisation devient également indisponible et rejette les notifications d’échec de remise pour les états de journal non remis, les états de journal d’origine sont perdus et irrécupérables.

  • L’autre boîte aux lettres de journalisation doit être traitée comme une boîte aux lettres dédiée spéciale. Les règles de journal, les règles de boîte de réception et les règles de flux de messagerie (également appelées règles de transport) qui impliquent l’autre boîte aux lettres de journalisation sont ignorées.

Réplication de règle de journal

Puisque les règles de journal sont stockées dans Active Directory, elles sont lues et appliquées par le service de transport sur tous les serveurs de boîte aux lettres de l’organisation. Lorsque vous créez, modifiez ou supprimez une règle de journal, la modification est répliquée entre les contrôleurs de domaine de votre organisation. Cela permet à Exchange de fournir un ensemble cohérent de règles de journal dans l’ensemble des organization.

Remarques :

  • La réplication entre contrôleurs de domaine dépend de facteurs qui ne sont pas contrôlés par Exchange (par exemple, le nombre de sites Active Directory et la vitesse des segments de réseau). Par conséquent, vous devez tenir compte des délais de réplication lorsque vous implémentez des règles de journal au sein de votre organisation. Pour plus d'informations sur la réplication Active Directory, consultez la rubrique Gestion de la topologie et de la réplication Active Directory avec Windows PowerShell.

  • Chaque serveur de boîte aux lettres met en cache des groupes de distribution développés afin d'éviter de répéter les requêtes Active Directory pour déterminer l'appartenance d'un groupe. Par défaut, les entrées dans le cache de groupes développés expirent toutes les quatre heures. Par conséquent, les modifications apportées aux membres du groupe ne peuvent pas être appliquées aux règles de journal tant que le cache des groupes développé n’est pas mis à jour. Pour forcer une mise à jour immédiate du cache sur un serveur de boîte aux lettres, redémarrez le service de transport Microsoft Exchange. Vous devez redémarrer le service sur chaque serveur de boîte aux lettres sur lequel vous souhaitez forcer la mise à jour du cache.

Résolution des problèmes

Vous rencontrez des difficultés ? Demandez de l’aide en participant aux forums Exchange. Visitez les forums sur : Exchange Server. Si vous rencontrez des problèmes avec la boîte aux lettres de journalisation secondaire, consultez KB2829319.