Exchange Online 中的日记功能

  • 项目

重要

请参阅 Exchange 安全性和合规性功能的Microsoft 365 安全中心Microsoft Purview 合规门户。 它们在新的 Exchange 管理中心中不再可用。

如果可能,我们建议使用 Microsoft 365 保留 来就地存档和管理数据,以满足合规性要求。 但是,某些组织可能需要使用第三方解决方案来接收用于存储或其他方案的电子邮件副本。 配置日记以在 Exchange 外部存储该数据。

日记注意事项

日记是 Exchange 的一项较旧功能,可将数据移出 Microsoft 365,因此必须采取额外的预防措施来保护数据,并解决此解决方案可能导致的任何重复。 你有责任监视和跟踪日记邮箱中由于外部和依赖服务而可能发生的任何未送达回执。

使用 Microsoft 365 保留期和其他将数据保留在租户中的 Microsoft Purview 合规性解决方案 时,不会产生这些额外的管理开销。 作为更现代的合规性解决方案,它们不仅限于电子邮件,还可以管理当今的通信和生产力应用阵列,例如 Microsoft Teams。

日记规则

以下是日记规则的主要方面:

  • 日记规则范围:定义日记代理记录的邮件。
  • 日记收件人:指定要记录的收件人的 SMTP 地址。
  • 日记邮箱:指定用于收集日记报告的一个或多个邮箱。

在 Exchange Online 中,可以创建的日记规则数有限制。 有关详细信息,请参阅 日记、传输和收件箱规则限制

日记规则作用域

可以使用日记规则仅记录内部邮件和/或外部邮件。 以下列表描述了这些范围:

  • 仅限内部邮件:将范围设置为记录 Exchange 组织内收件人之间发送的内部邮件的日记规则。
  • 仅外部邮件1:将范围设置为记录发送给收件人或从 Exchange 组织外部发件人接收的外部邮件的日记规则。
  • 所有邮件:将范围设置为记录通过组织传递的所有邮件的日记规则,而不考虑来源或目标。 其中包括可能已由内部和外部范围中的日记规则处理的消息。

1如果发件人和收件人都位于同一组织的接受域中,则即使邮件中的标头具有 值 anonymous,邮件也不会作为外部x-ms-exchange-crosstenant-authas邮件接受。 因此,这些消息不会作为外部记录。

日记收件人

可以通过指定要记录的收件人的 SMTP 地址来实现有针对性的日记规则。 收件人可以是邮箱、通讯组、动态通讯组、邮件用户或联系人。 这些收件人可能受到法规要求的约束,或者他们可能参与收集电子邮件或其他通信作为证据的法律诉讼。 通过针对特定收件人或收件人组,可以轻松配置与组织流程匹配并满足法规和法律要求的日记环境。 仅面向需要记录的特定收件人还可以最大程度地减少与大量数据保留相关的存储和其他成本。

将记录发送到日记规则中指定的日记收件人或从这些收件人发送的所有邮件。 如果将通讯组指定为日记收件人,则会记录发送到通讯组成员或从该通讯组成员发送的所有邮件。 如果未指定日记收件人,则会记录发送到或发自与日记规则范围匹配的收件人的所有邮件。

注意

为日记收件人指定的 SMTP 地址不能包含通配符。 例如,SMTP 地址不能列为 *@contoso.com

日记邮箱

日记邮箱用于收集日记报告。 如何配置日记邮箱取决于组织策略以及法规和法律要求。 可以针对组织中配置的所有日记规则指定一个用于收集邮件的日记邮箱,或者可以针对不同的日记规则或日记规则集使用不同的日记邮箱。

不能将Exchange Online邮箱指定为日记邮箱。 不能将日记报告传递给内部部署存档系统或第三方存档服务。 如果运行的 Exchange 混合部署在本地服务器和Exchange Online之间拆分了邮箱,则可以将本地邮箱指定为Exchange Online邮箱和本地邮箱的日记邮箱。

日记邮箱包含敏感信息。 必须确保日记邮箱的安全,因为它们会收集发送到组织中的收件人或从组织中的发件人发出的邮件。 这些邮件可能属于法律程序的一部分,或者可能需要遵守法规要求。 多项法律均规定在将邮件提交给调查机构之前不能对其进行篡改。 建议您制定相应的策略来确定何人有权访问组织中的日记邮箱,仅允许有直接需要的人员对邮箱进行访问。 请与您的法律代理人联系,以确保日记解决方案符合适用于您所在组织的所有法律和法规的要求。

重要

如果已配置日记规则以将日记报告发送到不存在或无效目标的日记邮箱,日记报告会保持在 Microsoft 数据中心服务器上的传输队列中。 如果发生这种情况,Microsoft 数据中心工作人员将尝试联系你的组织,并要求你来修复此问题,以便日记报告可以成功地传送到日记邮箱。 如果在联系两天后还没有修复该问题,Microsoft 将禁用有问题的日记规则。

备用日记邮箱

当日记邮箱不可用时,你可能不希望在邮箱服务器上的邮件队列中收集无法送达的日记报告。 你可以改为配置备用日记邮箱,来存储这些日记报告。 备用日记邮箱接收日记报告作为未送达报告中的附件, (也称为NDR或退回邮件,) 日记邮箱或它所在的服务器拒绝传送日记报告或变得不可用时生成。 与日记邮箱一样,不能将Exchange Online邮箱指定为备用日记邮箱。

当日记邮箱再次可用时,可以使用 Outlook 中的 “再次发送” 功能将日记报告提交到日记邮箱。

配置备用日记邮箱时,在整个 Exchange 组织中被拒绝或无法传递的所有日记报告都将传递到备用日记邮箱。 因此,请务必确保备用日记邮箱和它所在的邮箱服务器可以支持许多日记报告。

警告

如果配置备用日记邮箱,则必须监视邮箱,以确保它不会在日记邮箱同时变得不可用。 如果备用日记邮箱也变得不可用或同时拒绝日记报告,则被拒绝的日记报告将丢失,无法检索。 由于接收Exchange Online邮箱的电子邮件存在限制,因此不支持将备用日记邮箱配置为Exchange Online邮箱。

由于备用日记邮箱收集整个Exchange Online组织的所有被拒绝的日记报告,因此必须确保这不违反适用于你的组织的任何法律或法规。 如果法律或法规禁止组织允许发送到不同日记邮箱的日记报告存储在同一备用日记邮箱中,则可能无法配置备用日记邮箱。 请与法定代表人讨论此问题,以确定是否可以使用备用日记邮箱。

配置备用日记邮箱时,使用的标准与配置日记邮箱时使用的标准相同。

重要

应将备用日记邮箱当做特殊的专用邮箱。 任何直接发送到备用日记邮箱的邮件都不会记入日记。

日记报告

日记报告是指当某封邮件符合日记规则并要被提交到日记邮箱时,由日记代理生成的邮件。 符合日记规则的原始邮件将按原样作为日记报告的附件包含在其中。 日记报告的正文包含原始邮件的信息,例如发件人电子邮件地址、邮件主题、邮件 ID 以及收件人电子邮件地址。 这也称为信封日记,是 Microsoft 365 和 Office 365 支持的唯一日记方法。

日记报告和受 IRM 保护的邮件

在实现日记功能时,必须考虑日记报告和受 IRM 保护的邮件。 受 IRM 保护的消息将影响未内置 RMS 支持的第三方存档系统的搜索和发现功能。 在 Microsoft 365 和 Office 365 中,可以配置日记报告解密,以将邮件的明文副本保存在日记报告中。 如果加密源自组织,则解密邮件和附件。 日记不会解密由外部组织加密的项目。

若要为组织启用日记报告解密,请完成以下步骤。

  1. 在本地计算机上,使用组织中具有全局管理员或合规性管理员权限的工作或学校帐户连接到 Exchange Online PowerShell

  2. Set-IRMConfiguration运行 cmdlet 以启用日记报告解密。

 Set-IRMConfiguration -JournalReportDecryptionEnabled $true

JournalReportDecryptionEnabled 参数设置为 true 以启用解密。 将 参数设置为 false 以禁用解密。

重要

日记报告解密目前不支持显式使用 OME 品牌模板。 如果使用邮件流规则 (也称为传输规则) 来应用 OME 品牌模板,则日记报告将不包含邮件的解密副本。 目前,日记报告解密仅适用于默认的 OME 品牌模板,该模板通过Exchange Online应用了邮件流规则。 换句话说,OME 隐式应用于消息的品牌模板。

故障排除

当邮件与多个日记规则的范围匹配时,将触发所有匹配的规则。

  • 如果为匹配规则配置了不同的日记邮箱,则将日记报告发送到每个日记邮箱。
  • 如果所有匹配规则都配置了同一日记邮箱,则只会向日记邮箱发送一份日记报告。

如果 SMTP MAIL FROM 命令中的电子邮件地址位于在 Exchange Online 中配置为接受域的域中,则日记始终将邮件标识为内部邮件。 这些邮件包括来自外部源的欺骗邮件 (其中 X-MS-Exchange-Organization-AuthAs 标头值也是匿名) 的邮件。 因此,范围限定为外部邮件的日记规则不会由接受域中具有 SMTP MAIL FROM 电子邮件地址的欺骗邮件触发。

混合 Exchange 环境中的重复日记报告方案

在混合 Exchange 环境中,已知以下方案会导致重复日记报告,这些情况在设计上是考虑的:

  1. 云到云:电子邮件分叉的任何情况都会导致重复日记,例如:

    • 传输切分 (邮件) 上过多的收件人。
    • 同一封邮件中存在内部和外部收件人 - 为垃圾邮件/钓鱼目的创建两个分支 (一个是内部收件人,另一个是) 存在外部收件人。
    • 任何未来都需要云需要为消息创建分支的位置。

  2. 本地到云:一次是本地日志,一次是云日志。 可以通过在Exchange Online租户中实现 PreventDupJournaling 外部测试版来防止这种情况。 若要启用此外部测试版,需要向 Microsoft 开具支持票证。

是否有任何疑问? 在 Exchange 论坛中寻求帮助。 访问 Exchange OnlineExchange Online Protection 的论坛。

如果无法使用 JournalingReportDNRTo 邮箱,请参阅 Transport and Mailbox Rules in Exchange Online don't work as expected(Exchange Online 中的传输和邮箱规则不按预期运行)。