Journale in Exchange Online

Wichtig

Bitte lesen Sie die Microsoft 365 Security Center und die Microsoft Purview-Complianceportal für Exchange-Sicherheits- und Compliance-Features. Sie sind im neuen Exchange Admin Center nicht mehr verfügbar.

Mithilfe der Aufzeichnung eingehender und ausgehender E-Mail-Kommunikation in Journalen kann Ihre Organisation rechtlichen, regulatorischen und organisatorischen Auflagen genügen. Bei der Planung der Aufbewahrung und Compliance von Nachrichten ist es wichtig, die Journalerstellung zu verstehen, wie sie in die Compliancerichtlinien Ihrer Organisation passt und wie Exchange Online Ihnen hilft, Journalnachrichten zu schützen.

Warum sind Journale wichtig?

Zunächst ist es wichtig, den Unterschied zwischen journaling und einer Datenarchivierungsstrategie zu verstehen:

  • Journale bedeuten die Fähigkeit, alle Kommunikationsvorgänge in einer Organisation, einschließlich der E-Mail-Kommunikation, aufzuzeichnen, um sie im Rahmen der Aufbewahrungs- oder der Archivstrategie einer Organisation verwenden zu können. Um eine zunehmende Anzahl behördlicher Auflagen und Anforderungen zur Einhaltung von Vorschriften erfüllen zu können, müssen viele Organisationen die Kommunikationsdatensätze aufbewahren, die beim Ausführen täglicher geschäftlicher Aufgaben durch Mitarbeiter erstellt werden.

  • Die Datenarchivierung bezieht sich auf das Sichern der Daten, das Entfernen aus der systemeigenen Umgebung und das Speichern an anderer Stelle, wodurch die Belastung der Datenspeicherung reduziert wird. Sie können Exchange-Journaling als Tool für Ihre E-Mail-Aufbewahrungs- oder Archivstrategien verwenden.

Obwohl es keine spezielle Vorschriften gibt, die Journale zwingend erfordert, können bestimmte Bedingungen durch die Aufzeichnung in Journalen erfüllt werden. In einigen Finanzsektoren können Führungskräfte beispielsweise für die Forderungen ihrer Mitarbeiter an ihre Kunden haftbar gemacht werden. Ein Vorstandsmitglied kann sich daher entscheiden, ein System einzurichten, bei dem Manager einen Teil der Kommunikation von Mitarbeitern mit Kunden auf regelmäßiger Basis überprüfen. Jedes Quartal überprüfen die Manager die Einhaltung der Vorschriften und genehmigen das Verhalten ihrer Mitarbeiter. Nachdem alle Manager dem Vorstandsmitglied Bericht erstattet haben, meldet dieser der Aufsichtsbehörde die Einhaltung der Vorschriften seitens des Unternehmens. In diesem Beispiel können E-Mails eine Form der Kommunikation zwischen Mitarbeitern und Kunden sein, die Manager überprüfen müssen. Deshalb können Journale verwendet werden, um sämtliche E-Mails von Mitarbeitern mit Kundenkontakt zu erfassen. Zu den weiteren Verfahren der Kundenkommunikation können Faxe und Telefongespräche gehören, die ebenfalls den Bestimmungen unterliegen. Die Fähigkeit, alle Kategorien von Daten in einem Unternehmen in Journalen zu erfassen, ist eine wertvolle Funktion der IT-Architektur.

Die folgende Liste enthält einige der bekannteren US-amerikanischen und internationalen Bestimmungen, bei denen Journale Bestandteil der Strategien für die Einhaltung von Vorschriften sein können:

  • Sarbanes-Oxley Act von 2002 (SOX)
  • Security Exchange Commission Rule 17a-4 (SEC Rule 17 A-4)
  • National Association of Securities Dealers 3010 & 3110 (NASD 3010 & 3110)
  • Gramm-Leach-Bliley Act (Financial Modernization Act)
  • Financial Institution Privacy Protection Act von 2001
  • Financial Institution Privacy Protection Act von 2003
  • Health Insurance Portability and Accountability Act von 1996 (HIPAA)
  • Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act von 2001 (Patriot Act)
  • Datenschutzrichtlinie der EU (European Union Data Protection Directive, EUDPD)
  • Personal Information Protection Act (Japan)

Journalregeln

Folgende sind wichtige Aspekte von Journalregeln:

  • Journalregelbereich: Definiert, welche Nachrichten vom Journaling-Agent aufgezeichnet werden.
  • Journalempfänger: Gibt die SMTP-Adresse des Empfängers an, den Sie journalieren möchten.
  • Journalpostfach: Gibt ein oder mehrere Postfächer an, die zum Sammeln von Journalberichten verwendet werden.

In Exchange Online gibt es eine Beschränkung der Anzahl von Journalregeln, die Sie erstellen können. Ausführliche Informationen finden Sie unter Journal-, Transport- und Posteingangsregelbeschränkungen.

Journalregelbereich

Mithilfe von Journalregeln können Sie nur interne, nur externe oder sowohl interne als auch externe Nachrichten in einem Journal erfassen. In der folgenden Liste sind diese Bereiche beschrieben:

  • Nur interne Nachrichten: Journalregeln, deren Bereich so festgelegt ist, dass interne Nachrichten aufgezeichnet werden, die zwischen den Empfängern innerhalb Ihrer Exchange-Organisation gesendet werden.
  • Nur externe Nachrichten1: Journalregeln, deren Bereich so festgelegt ist, dass externe Nachrichten erfasst werden, die an Empfänger gesendet oder von Absendern außerhalb Ihrer Exchange-Organisation empfangen wurden.
  • Alle Nachrichten: Journalregeln, deren Bereich so festgelegt ist, dass alle Nachrichten erfasst werden, die unabhängig vom Ursprung oder Ziel durch Ihre Organisation geleitet werden. Dies umfasst Nachrichten, die möglicherweise bereits von Journalregeln in den internen und externen Bereichen verarbeitet wurden.

1 Wenn sich der Absender und die Empfänger beide in akzeptierten Domänen derselben Organisation befinden, werden die Nachrichten nicht als extern behandelt, auch wenn die x-ms-exchange-crosstenant-authas Kopfzeile in den Nachrichten den Wert aufweist anonymous. Dementsprechend werden diese Nachrichten nicht als extern aufgezeichnet.

Journalempfänger

Durch Angabe der SMTP-Adresse des Empfängers, der im Journal erfasst werden soll, können Sie zielgerichtete Journalregeln implementieren. Der Empfänger kann ein Postfach, eine Verteilergruppe, ein E-Mail-Benutzer oder ein Kontakt sein. Diese Empfänger unterliegen möglicherweise besonderen rechtlichen Bestimmungen oder sind in juristische Verfahren involviert, bei denen E-Mails und andere Kommunikationsmittel als Beweismittel erfasst werden. Durch gezielte Auswahl bestimmter Empfänger oder Empfängergruppen können Sie auf einfache Weise eine Journalerfassungsumgebung konfigurieren, die den Prozessen Ihrer Organisation entspricht und rechtliche Bestimmungen und Vorschriften erfüllt. Indem Sie nur bestimmte Empfänger auswählen, deren Nachrichten in einem Journal erfasst werden müssen, können Sie auch den erforderlichen Speicherplatz sowie andere Kosten in Zusammenhang mit der Aufbewahrung großer Datenmengen reduzieren.

Alle Nachrichten, die von den in einer Journalregel angegebenen Empfängern gesendet oder empfangen werden, werden im Journal erfasst. Wenn Sie eine Verteilergruppe als Journalempfänger angeben, werden alle Nachrichten in einem Journal erfasst, die an die Mitglieder oder von den Mitgliedern der Verteilergruppe gesendet werden. Wenn Sie keinen Empfänger angeben, werden alle Nachrichten, die zwischen Empfängern und Absendern ausgetauscht werden, die dem Journalregelbereich entsprechen, im Journal erfasst.

Hinweis

Die für den Journalempfänger angegebene SMTP-Adresse darf kein Platzhalterzeichen enthalten. Die SMTP-Adresse kann z. B. nicht als *@contoso.comaufgeführt werden.

Journalpostfach

Das Journalingpostfach dient zum Erfassen von Journalberichten. Wie das Journalingpostfach konfiguriert wird, hängt von den Richtlinien in Ihrer Organisation sowie den behördlichen und gesetzlichen Bestimmungen ab. Sie können ein Journalpostfach zum Erfassen der Nachrichten von allen in der Organisation konfigurierten Journalregeln angeben oder verschiedene Journalpostfächer für unterschiedliche Journalregeln oder Journalregelgruppen verwenden.

Sie können ein Exchange Online Postfach nicht als Journalpostfach festlegen. Sie können Journalberichte an ein lokales Archivierungssystem oder den Archivierungsdienst eines Drittanbieters senden. Wenn Sie eine Exchange-Hybridbereitstellung ausführen, bei der Ihre Postfächer zwischen lokalen Servern und Exchange Online aufgeteilt sind, können Sie ein lokales Postfach als Journalpostfach für Ihre Exchange Online- und lokalen Postfächer festlegen.

Journalpostfächer enthalten vertrauliche Informationen. Journalpostfächer müssen geschützt werden, da in ihnen Nachrichten gesammelt werden, die von Empfängern und an Empfänger in Ihrer Organisation gesendet werden. Diese Nachrichten werden möglicherweise in juristischen Verfahren benötigt oder unterliegen gesetzlichen Bestimmungen. Verschiedene Gesetze schreiben vor, dass Nachrichten nicht verändert werden dürfen, bevor sie an eine Untersuchungsbehörde übergeben werden. Es wird empfohlen, dass Sie Richtlinien erstellen, die regeln, wer in der Organisation auf die Journalpostfächer zugreifen kann und dass Sie den Zugriff nur auf die Personen beschränken, die unmittelbaren Bedarf für den Zugriff haben. Beraten Sie sich mit den Rechtsberatern Ihrer Organisation, um sicherzustellen, dass Ihre Journallösung allen Gesetzen und Bestimmungen entspricht, denen die Organisation unterliegt.

Wichtig

Wenn Sie eine Journalregel konfiguriert haben, durch die Journalberichte an ein Journalingpostfach gesendet werden, das ist nicht vorhanden ist oder ein ungültiges Ziel darstellt, bleibt der Journalbericht in der Transportwarteschlange auf Microsoft-Rechenzentrumsservern. Wenn dies der Fall ist, wenden sich Microsoft-Rechenzentrumsmitarbeiter an Ihre Organisation und bitten Sie, das Problem zu beheben, damit die Journalberichte an ein Journalingpostfach übermittelt werden können. Wenn Sie anschließend das Problem nicht innerhalb von zwei Tagen gelöst haben, wird die problematische Journalregel von Microsoft deaktiviert.

Alternatives Journalpostfach

Wenn das Journalpostfach nicht verfügbar ist, möchten Sie möglicherweise nicht, dass die nicht zustellbaren Journalberichte in E-Mail-Warteschlangen auf Postfachservern gesammelt werden. Stattdessen können Sie ein alternatives Journalpostfach zum Speichern dieser Journalberichte konfigurieren. Das alternative Journalpostfach empfängt die Journalberichte als Anlagen in den Unzustellbarkeitsberichten (auch als Unzustellbarkeitsberichte oder Unzustellbarkeitsnachrichten bezeichnet), die generiert werden, wenn das Journalpostfach oder der Server, auf dem es sich befindet, die Übermittlung des Journalberichts verweigert oder nicht mehr verfügbar ist. Wie beim Journalpostfach können Sie ein Exchange Online Postfach nicht als alternatives Journalpostfach festlegen.

Wenn das Journalpostfach wieder verfügbar ist, können Sie die Funktion " Erneut senden " in Outlook verwenden, um Journalberichte zur Übermittlung an das Journalpostfach zu übermitteln.

Wenn Sie ein alternatives Journalpostfach konfigurieren, werden alle Journalberichte, die abgelehnt werden oder nicht in der gesamten Exchange-Organisation übermittelt werden können, an das alternative Journalpostfach übermittelt. Sie müssen deshalb sicherstellen, dass das alternative Journalpostfach und der Postfachserver, auf dem es sich befindet, zahlreiche Journalberichte unterstützen können.

Achtung

Wenn Sie ein alternatives Journalpostfach konfigurieren, müssen Sie das Postfach überwachen, um sicherzustellen, dass Postfach und Journalpostfächer nicht gleichzeitig nicht verfügbar sind. Wenn das alternative Journalpostfach nicht verfügbar ist oder gleichzeitig Journalberichte zurückweist, gehen die zurückgewiesenen Journalberichte verloren und können nicht abgerufen werden. Aufgrund der bestehenden Einschränkungen beim Empfangen von E-Mails für Exchange Online Postfächer wird das Konfigurieren des alternativen Journalpostfachs als Exchange Online Postfach nicht unterstützt.

Da das alternative Journalpostfach alle abgelehnten Journalberichte für die gesamte Exchange Online Organisation sammelt, müssen Sie sicherstellen, dass dadurch keine Gesetze oder Vorschriften verletzt werden, die für Ihre Organisation gelten. Wenn Gesetze oder Vorschriften verhindern, dass Journalberichte, die an verschiedene Journalpostfächer gesendet werden, in demselben alternativen Journalpostfach gespeichert werden, können Sie möglicherweise kein alternatives Journalpostfach konfigurieren. Besprechen Sie dies mit Ihren gesetzlichen Vertretern, um festzustellen, ob Sie ein alternatives Journalpostfach verwenden können.

Beim Konfigurieren des alternativen Journalpostfachs müssen dieselben Kriterien wie beim Konfigurieren des Journalpostfachs beachtet werden.

Wichtig

Die alternativen Journalingpostfächer sollten als ein spezielles dediziertes Postfach behandelt werden. Alle Nachrichten, die direkt an das alternative Journalpostfach adressiert sind, werden nicht im Journal erfasst.

Journalberichte

Ein Journalbericht ist die Mitteilung, die der Journal-Agent generiert, wenn eine Nachricht einer Journalregel entspricht und an das Journalpostfach übermittelt werden soll. Die Originalnachricht, die der Journalregel entspricht, wird unverändert als Anlage in den Journalbericht aufgenommen. Der Text eines Journalberichts enthält Informationen aus der ursprünglichen Nachricht wie die E-Mail-Adresse des Absenders, den Betreff der Nachricht, die Nachrichten-ID und die E-Mail-Adressen der Empfänger. Dies wird auch als Umschlagjournaling bezeichnet und ist die einzige Journalmethode, die von Microsoft 365 und Office 365 unterstützt wird.

Journalberichte und IRM-geschützte Nachrichten

Bei der Implementierung von Journaling müssen Sie Journalberichte und IRM-geschützte Nachrichten berücksichtigen. IRM-geschützte Nachrichten wirken sich auf die Such- und Ermittlungsfunktionen von Archivierungssystemen von Drittanbietern aus, in die keine RMS-Unterstützung integriert ist. In Microsoft 365 und Office 365 können Sie die Journalberichtentschlüsselung so konfigurieren, dass eine Klartextkopie der Nachricht in einem Journalbericht gespeichert wird. Die Nachrichten und Anlagen werden entschlüsselt, wenn die Verschlüsselung aus der Organisation stammt. Journaling entschlüsselt keine Elemente, die von externen Organisationen verschlüsselt wurden.

Führen Sie die folgenden Schritte aus, um die Journalberichtsentschlüsselung für die Organisation zu aktivieren.

  1. Stellen Sie auf Ihrem lokalen Computer unter Verwendung eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das Set-IRMConfiguration Cmdlet aus, um die Journalbericht-Entschlüsselung zu aktivieren.

 Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Legen Sie den JournalReportDecryptionEnabled Parameter fest, um die Entschlüsselung zu true aktivieren. Legen Sie den Parameter fest, um die Entschlüsselung zu false deaktivieren.

Wichtig

Die Journalberichtentschlüsselung unterstützt derzeit nicht die explizite Verwendung von OME-Brandingvorlagen. Wenn Sie eine E-Mail-Flussregel (auch als Transportregel bezeichnet) verwenden, um eine OME-Brandingvorlage anzuwenden, enthält der Journalbericht keine entschlüsselte Kopie der Nachricht. Derzeit funktioniert die Journalberichtsentschlüsselung nur mit der standardmäßigen OME-Brandingvorlage, die ohne eine Nachrichtenflussregel von Exchange Online angewendet wird. Mit anderen Worten: Die von OME implizit auf Nachrichten angewendete Brandingvorlage.

Problembehandlung

Wenn eine Nachricht dem Bereich mehrerer Journalregeln entspricht, werden alle übereinstimmenden Regeln ausgelöst.

  • Wenn die Übereinstimmungsregeln mit unterschiedlichen Journalpostfächern konfiguriert sind, wird ein Journalbericht an jedes Journalpostfach gesendet.
  • Wenn alle übereinstimmenden Regeln mit demselben Journalpostfach konfiguriert sind, wird nur ein Journalbericht an das Journalpostfach gesendet.

Das Journaling identifiziert Nachrichten immer als intern, wenn sich die E-Mail-Adresse im BEFEHL SMTP MAIL FROM in einer Domäne befindet, die als akzeptierte Domäne in Exchange Online konfiguriert ist. Diese Nachrichten umfassen gefälschte Nachrichten aus externen Quellen (Nachrichten, bei denen der X-MS-Exchange-Organization-AuthAs-Headerwert ebenfalls anonym ist). Journalregeln, die auf externe Nachrichten beschränkt sind, werden daher nicht durch gefälschte Nachrichten mit SMTP MAIL FROM-E-Mail-Adressen in akzeptierten Domänen ausgelöst.

Doppelte Journalberichtsszenarien in einer Exchange-Hybridumgebung

In einer Exchange-Hybridumgebung führen die folgenden Szenarien bekanntermaßen zu doppelten Journalberichten, und diese werden entwurfsbedingt berücksichtigt:

  1. Cloud in der Cloud: Alle Situationen, in denen E-Mails verzweigt werden, führen zu doppelten Journalen, z. B.:

    • Transport-Chipping (zu viele Empfänger in der Nachricht).
    • Interne und externe Empfänger befinden sich in derselben Nachricht – es werden zwei Gabeln für Spam-/Phishingzwecke erstellt (eine, in der interne Empfänger vorhanden sind, und eine, in der externe Empfänger vorhanden sind).
    • Alle zukünftigen Anforderungen, bei denen die Cloud die Nachricht verzweigen muss.
  2. Lokal in der Cloud: Einmal in lokalen Journalen und einmal in cloudbasierten Journalen. Dies kann verhindert werden, indem der PreventDupJournaling-Flight in einem Mandanten implementiert wird.

  3. Cloud lokal: Nachdem die Cloud lokale Journale aufgezeichnet hat. Wir können dieses Szenario nicht verhindern.

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Online oder Exchange Online Protection.

Wenn Sie Probleme mit dem JournalingReportDNRTo-Postfach haben, finden Sie weitere Informationen unter Transport- und Postfachregeln in Exchange Online funktionieren nicht wie erwartet.