Journale in Exchange Online

Wichtig

Bitte lesen Sie die Microsoft 365 Security Center und die Microsoft Purview-Complianceportal für Exchange-Sicherheits- und Compliance-Features. Sie sind im neuen Exchange Admin Center nicht mehr verfügbar.

Wenn möglich, empfehlen wir, die Microsoft 365-Aufbewahrung zu verwenden, um Daten direkt zu archivieren und zu verwalten, um Ihre Complianceanforderungen zu erfüllen. Einige Organisationen müssen jedoch möglicherweise eine Drittanbieterlösung verwenden, die alle E-Mails unabhängig speichert. Konfigurieren Sie journaling, um diese Daten außerhalb von Exchange zu speichern.

Überlegungen zum Journaling

Journaling ist ein älteres Feature von Exchange, das Daten außerhalb von Microsoft 365 verschiebt. Daher müssen Sie zusätzliche Vorsichtsmaßnahmen ergreifen, um sie zu schützen und auch jede Duplizierung zu beheben, die sich aus dieser Lösung ergeben könnte. Es liegt in Ihrer Verantwortung, alle Unzustellbarkeitsbestätigungen an das Journalpostfach zu überwachen und nachzuverfolgen, die aufgrund externer und abhängiger Dienste auftreten können.

Wenn Sie die Aufbewahrung von Microsoft 365 und andere Microsoft Purview Compliance-Lösungen verwenden, die die Daten in Ihrem Mandanten behalten, haben Sie diese zusätzlichen Verwaltungskosten nicht. Als modernere Compliancelösung sind sie nicht nur auf E-Mails beschränkt, sondern können auch das heutige Array von Kommunikations- und Produktivitäts-Apps wie Microsoft Teams verwalten.

Journalregeln

Folgende sind wichtige Aspekte von Journalregeln:

  • Journalregelbereich: Definiert, welche Nachrichten vom Journaling-Agent aufgezeichnet werden.
  • Journalempfänger: Gibt die SMTP-Adresse des Empfängers an, den Sie journalieren möchten.
  • Journalpostfach: Gibt ein oder mehrere Postfächer an, die zum Sammeln von Journalberichten verwendet werden.

In Exchange Online gibt es eine Beschränkung der Anzahl von Journalregeln, die Sie erstellen können. Ausführliche Informationen finden Sie unter Journal-, Transport- und Posteingangsregelbeschränkungen.

Journalregelbereich

Mithilfe von Journalregeln können Sie nur interne, nur externe oder sowohl interne als auch externe Nachrichten in einem Journal erfassen. In der folgenden Liste sind diese Bereiche beschrieben:

  • Nur interne Nachrichten: Journalregeln, deren Bereich so festgelegt ist, dass interne Nachrichten aufgezeichnet werden, die zwischen den Empfängern innerhalb Ihrer Exchange-Organisation gesendet werden.
  • Nur externe Nachrichten1: Journalregeln, deren Bereich so festgelegt ist, dass externe Nachrichten erfasst werden, die an Empfänger gesendet oder von Absendern außerhalb Ihrer Exchange-Organisation empfangen wurden.
  • Alle Nachrichten: Journalregeln, deren Bereich so festgelegt ist, dass alle Nachrichten erfasst werden, die unabhängig vom Ursprung oder Ziel durch Ihre Organisation geleitet werden. Dies umfasst Nachrichten, die möglicherweise bereits von Journalregeln in den internen und externen Bereichen verarbeitet wurden.

1 Wenn sich der Absender und die Empfänger beide in akzeptierten Domänen derselben Organisation befinden, werden die Nachrichten nicht als extern behandelt, auch wenn die x-ms-exchange-crosstenant-authas Kopfzeile in den Nachrichten den Wert aufweist anonymous. Dementsprechend werden diese Nachrichten nicht als extern aufgezeichnet.

Journalempfänger

Durch Angabe der SMTP-Adresse des Empfängers, der im Journal erfasst werden soll, können Sie zielgerichtete Journalregeln implementieren. Der Empfänger kann ein Postfach, eine Verteilergruppe, ein E-Mail-Benutzer oder ein Kontakt sein. Diese Empfänger unterliegen möglicherweise besonderen rechtlichen Bestimmungen oder sind in juristische Verfahren involviert, bei denen E-Mails und andere Kommunikationsmittel als Beweismittel erfasst werden. Durch gezielte Auswahl bestimmter Empfänger oder Empfängergruppen können Sie auf einfache Weise eine Journalerfassungsumgebung konfigurieren, die den Prozessen Ihrer Organisation entspricht und rechtliche Bestimmungen und Vorschriften erfüllt. Indem Sie nur bestimmte Empfänger auswählen, deren Nachrichten in einem Journal erfasst werden müssen, können Sie auch den erforderlichen Speicherplatz sowie andere Kosten in Zusammenhang mit der Aufbewahrung großer Datenmengen reduzieren.

Alle Nachrichten, die von den in einer Journalregel angegebenen Empfängern gesendet oder empfangen werden, werden im Journal erfasst. Wenn Sie eine Verteilergruppe als Journalempfänger angeben, werden alle Nachrichten in einem Journal erfasst, die an die Mitglieder oder von den Mitgliedern der Verteilergruppe gesendet werden. Wenn Sie keinen Empfänger angeben, werden alle Nachrichten, die zwischen Empfängern und Absendern ausgetauscht werden, die dem Journalregelbereich entsprechen, im Journal erfasst.

Hinweis

Die für den Journalempfänger angegebene SMTP-Adresse darf kein Platzhalterzeichen enthalten. Die SMTP-Adresse kann z. B. nicht als *@contoso.comaufgeführt werden.

Journalpostfach

Das Journalingpostfach dient zum Erfassen von Journalberichten. Wie das Journalingpostfach konfiguriert wird, hängt von den Richtlinien in Ihrer Organisation sowie den behördlichen und gesetzlichen Bestimmungen ab. Sie können ein Journalpostfach zum Erfassen der Nachrichten von allen in der Organisation konfigurierten Journalregeln angeben oder verschiedene Journalpostfächer für unterschiedliche Journalregeln oder Journalregelgruppen verwenden.

Sie können ein Exchange Online Postfach nicht als Journalpostfach festlegen. Sie können Journalberichte an ein lokales Archivierungssystem oder den Archivierungsdienst eines Drittanbieters senden. Wenn Sie eine Exchange-Hybridbereitstellung ausführen, bei der Ihre Postfächer zwischen lokalen Servern und Exchange Online aufgeteilt sind, können Sie ein lokales Postfach als Journalpostfach für Ihre Exchange Online- und lokalen Postfächer festlegen.

Journalpostfächer enthalten vertrauliche Informationen. Journalpostfächer müssen geschützt werden, da in ihnen Nachrichten gesammelt werden, die von Empfängern und an Empfänger in Ihrer Organisation gesendet werden. Diese Nachrichten werden möglicherweise in juristischen Verfahren benötigt oder unterliegen gesetzlichen Bestimmungen. Verschiedene Gesetze schreiben vor, dass Nachrichten nicht verändert werden dürfen, bevor sie an eine Untersuchungsbehörde übergeben werden. Es wird empfohlen, dass Sie Richtlinien erstellen, die regeln, wer in der Organisation auf die Journalpostfächer zugreifen kann und dass Sie den Zugriff nur auf die Personen beschränken, die unmittelbaren Bedarf für den Zugriff haben. Beraten Sie sich mit den Rechtsberatern Ihrer Organisation, um sicherzustellen, dass Ihre Journallösung allen Gesetzen und Bestimmungen entspricht, denen die Organisation unterliegt.

Wichtig

Wenn Sie eine Journalregel konfiguriert haben, durch die Journalberichte an ein Journalingpostfach gesendet werden, das ist nicht vorhanden ist oder ein ungültiges Ziel darstellt, bleibt der Journalbericht in der Transportwarteschlange auf Microsoft-Rechenzentrumsservern. Wenn dies der Fall ist, wenden sich Microsoft-Rechenzentrumsmitarbeiter an Ihre Organisation und bitten Sie, das Problem zu beheben, damit die Journalberichte an ein Journalingpostfach übermittelt werden können. Wenn Sie anschließend das Problem nicht innerhalb von zwei Tagen gelöst haben, wird die problematische Journalregel von Microsoft deaktiviert.

Alternatives Journalpostfach

Wenn das Journalpostfach nicht verfügbar ist, möchten Sie möglicherweise nicht, dass die nicht zustellbaren Journalberichte in E-Mail-Warteschlangen auf Postfachservern gesammelt werden. Stattdessen können Sie ein alternatives Journalpostfach zum Speichern dieser Journalberichte konfigurieren. Das alternative Journalpostfach empfängt die Journalberichte als Anlagen in den Unzustellbarkeitsberichten (auch als Unzustellbarkeitsberichte oder Unzustellbarkeitsnachrichten bezeichnet), die generiert werden, wenn das Journalpostfach oder der Server, auf dem es sich befindet, die Übermittlung des Journalberichts verweigert oder nicht mehr verfügbar ist. Wie beim Journalpostfach können Sie ein Exchange Online Postfach nicht als alternatives Journalpostfach festlegen.

Wenn das Journalpostfach wieder verfügbar ist, können Sie die Funktion " Erneut senden " in Outlook verwenden, um Journalberichte zur Übermittlung an das Journalpostfach zu übermitteln.

Wenn Sie ein alternatives Journalpostfach konfigurieren, werden alle Journalberichte, die abgelehnt werden oder nicht in der gesamten Exchange-Organisation übermittelt werden können, an das alternative Journalpostfach übermittelt. Sie müssen deshalb sicherstellen, dass das alternative Journalpostfach und der Postfachserver, auf dem es sich befindet, zahlreiche Journalberichte unterstützen können.

Achtung

Wenn Sie ein alternatives Journalpostfach konfigurieren, müssen Sie das Postfach überwachen, um sicherzustellen, dass Postfach und Journalpostfächer nicht gleichzeitig nicht verfügbar sind. Wenn das alternative Journalpostfach nicht verfügbar ist oder gleichzeitig Journalberichte zurückweist, gehen die zurückgewiesenen Journalberichte verloren und können nicht abgerufen werden. Aufgrund der bestehenden Einschränkungen beim Empfangen von E-Mails für Exchange Online Postfächer wird das Konfigurieren des alternativen Journalpostfachs als Exchange Online Postfach nicht unterstützt.

Da das alternative Journalpostfach alle abgelehnten Journalberichte für die gesamte Exchange Online Organisation sammelt, müssen Sie sicherstellen, dass dadurch keine Gesetze oder Vorschriften verletzt werden, die für Ihre Organisation gelten. Wenn Gesetze oder Vorschriften verhindern, dass Journalberichte, die an verschiedene Journalpostfächer gesendet werden, in demselben alternativen Journalpostfach gespeichert werden, können Sie möglicherweise kein alternatives Journalpostfach konfigurieren. Besprechen Sie dies mit Ihren gesetzlichen Vertretern, um festzustellen, ob Sie ein alternatives Journalpostfach verwenden können.

Beim Konfigurieren des alternativen Journalpostfachs müssen dieselben Kriterien wie beim Konfigurieren des Journalpostfachs beachtet werden.

Wichtig

Die alternativen Journalingpostfächer sollten als ein spezielles dediziertes Postfach behandelt werden. Alle Nachrichten, die direkt an das alternative Journalpostfach adressiert sind, werden nicht im Journal erfasst.

Journalberichte

Ein Journalbericht ist die Mitteilung, die der Journal-Agent generiert, wenn eine Nachricht einer Journalregel entspricht und an das Journalpostfach übermittelt werden soll. Die Originalnachricht, die der Journalregel entspricht, wird unverändert als Anlage in den Journalbericht aufgenommen. Der Text eines Journalberichts enthält Informationen aus der ursprünglichen Nachricht wie die E-Mail-Adresse des Absenders, den Betreff der Nachricht, die Nachrichten-ID und die E-Mail-Adressen der Empfänger. Dies wird auch als Umschlagjournaling bezeichnet und ist die einzige Journalmethode, die von Microsoft 365 und Office 365 unterstützt wird.

Journalberichte und IRM-geschützte Nachrichten

Bei der Implementierung von Journaling müssen Sie Journalberichte und IRM-geschützte Nachrichten berücksichtigen. IRM-geschützte Nachrichten wirken sich auf die Such- und Ermittlungsfunktionen von Archivierungssystemen von Drittanbietern aus, in die keine RMS-Unterstützung integriert ist. In Microsoft 365 und Office 365 können Sie die Journalberichtentschlüsselung so konfigurieren, dass eine Klartextkopie der Nachricht in einem Journalbericht gespeichert wird. Die Nachrichten und Anlagen werden entschlüsselt, wenn die Verschlüsselung aus der Organisation stammt. Journaling entschlüsselt keine Elemente, die von externen Organisationen verschlüsselt wurden.

Führen Sie die folgenden Schritte aus, um die Journalberichtsentschlüsselung für die Organisation zu aktivieren.

  1. Stellen Sie auf Ihrem lokalen Computer unter Verwendung eines Geschäfts-, Schul- oder Unikontos, das über globale Administrator- oder Complianceadministratorberechtigungen in Ihrer Organisation verfügt, eine Verbindung mit Exchange Online PowerShell her.

  2. Führen Sie das Set-IRMConfiguration Cmdlet aus, um die Journalbericht-Entschlüsselung zu aktivieren.

 Set-IRMConfiguration -JournalReportDecryptionEnabled $true

Legen Sie den JournalReportDecryptionEnabled Parameter fest, um die Entschlüsselung zu true aktivieren. Legen Sie den Parameter fest, um die Entschlüsselung zu false deaktivieren.

Wichtig

Die Journalberichtentschlüsselung unterstützt derzeit nicht die explizite Verwendung von OME-Brandingvorlagen. Wenn Sie eine E-Mail-Flussregel (auch als Transportregel bezeichnet) verwenden, um eine OME-Brandingvorlage anzuwenden, enthält der Journalbericht keine entschlüsselte Kopie der Nachricht. Derzeit funktioniert die Journalberichtsentschlüsselung nur mit der standardmäßigen OME-Brandingvorlage, die ohne eine Nachrichtenflussregel von Exchange Online angewendet wird. Mit anderen Worten: Die von OME implizit auf Nachrichten angewendete Brandingvorlage.

Problembehandlung

Wenn eine Nachricht dem Bereich mehrerer Journalregeln entspricht, werden alle übereinstimmenden Regeln ausgelöst.

  • Wenn die Übereinstimmungsregeln mit unterschiedlichen Journalpostfächern konfiguriert sind, wird ein Journalbericht an jedes Journalpostfach gesendet.
  • Wenn alle übereinstimmenden Regeln mit demselben Journalpostfach konfiguriert sind, wird nur ein Journalbericht an das Journalpostfach gesendet.

Das Journaling identifiziert Nachrichten immer als intern, wenn sich die E-Mail-Adresse im BEFEHL SMTP MAIL FROM in einer Domäne befindet, die als akzeptierte Domäne in Exchange Online konfiguriert ist. Diese Nachrichten umfassen gefälschte Nachrichten aus externen Quellen (Nachrichten, bei denen der X-MS-Exchange-Organization-AuthAs-Headerwert ebenfalls anonym ist). Journalregeln, die auf externe Nachrichten beschränkt sind, werden daher nicht durch gefälschte Nachrichten mit SMTP MAIL FROM-E-Mail-Adressen in akzeptierten Domänen ausgelöst.

Doppelte Journalberichtsszenarien in einer Exchange-Hybridumgebung

In einer Exchange-Hybridumgebung führen die folgenden Szenarien bekanntermaßen zu doppelten Journalberichten, und diese werden entwurfsbedingt berücksichtigt:

  1. Cloud in der Cloud: Alle Situationen, in denen E-Mails verzweigt werden, führen zu doppelten Journalen, z. B.:

    • Transport-Chipping (zu viele Empfänger in der Nachricht).
    • Interne und externe Empfänger befinden sich in derselben Nachricht – es werden zwei Gabeln für Spam-/Phishingzwecke erstellt (eine, in der interne Empfänger vorhanden sind, und eine, in der externe Empfänger vorhanden sind).
    • Alle zukünftigen Anforderungen, bei denen die Cloud die Nachricht verzweigen muss.
  2. Lokal in der Cloud: Einmal in lokalen Journalen und einmal in cloudbasierten Journalen. Dies kann verhindert werden, indem der PreventDupJournaling-Flight in einem Mandanten implementiert wird.

  3. Cloud lokal: Nachdem die Cloud lokale Journale aufgezeichnet hat. Wir können dieses Szenario nicht verhindern.

Liegt ein Problem vor? Bitten Sie in den Exchange-Foren um Hilfe. Besuchen Sie die Foren unter Exchange Online oder Exchange Online Protection.

Wenn Sie Probleme mit dem JournalingReportDNRTo-Postfach haben, finden Sie weitere Informationen unter Transport- und Postfachregeln in Exchange Online funktionieren nicht wie erwartet.