新鲜出炉—MDaemon的邮件归档审计功能
最近客户遇到了一个问题:“我的邮箱怎么能看到所有人的邮件啊!!!”,答:“可能是归档到公共文件夹中的anyone帐户权限设置的不对,把该帐户的权限设置成none就好了。”,通过这个问题我考虑到其实MDaemon的归档可以配合公共文件夹的权限设置达到将邮件归档审计的功能,并且可以按照权限对过去的邮件进行轻松的集中访问。已经通过测试,特将文档奉上,望各位高手多多指教!
MDaemon邮件归档审计功能
MDaemon归档功能介绍:
E-mail系统已经成为众多企业日常办公的必备应用。如何有效的管理E-mail系统,避免被他人恶意使用或借以从事违法活动成为每一个企业老板关心的问题。尤其是海外上市公司,他们必须根据萨班斯•奥克斯利法案(Sarbanes-Oxley Act)的要求,搭建能够对企业邮件进行归档、保存及审计管理的系统。因此,架构一个全面的E-mail系统除了具有收发邮件、垃圾邮件过滤和防病毒功能以外,也要具有邮件归档、备份和审计的能力。这样才能适应目前的应用潮流。
Altn公司的Mdaemon邮件系统就可以完全的满足上述的应用需求,除了收发邮件、垃圾邮件过滤和防病毒功能以外,我们仅仅利用Mdaemon邮件系统本身的管理条件就可以顺利的实现邮件归档、备份和按照权限查看,将所有内部和外部邮件归档到公共文件夹中,通过Worldclient的web登录界面按照权限对过去的邮件进行轻松的集中式访问。
从管理层的角度来看,企业老板不仅拥有了一套安全完整的企业邮件系统,也拥有了一套可以遵循法规对企业内部的使用者邮箱进行监管和审计的系统。在发生法律纠纷时,通过MDaemon归档功能快速查询企业所需的重要文档,并利用MDaemon的访问策略功能有效保证存储的email不会受到篡改。
MDaemon归档的主要特点:
l可以方便的备份MDaemon邮件服务器的邮件
l用户可以在任何允许上网的地方检索以前的邮件,甚至不需要安装outlook
l可以基于用户列表和用户来设定不同的查询和访问权限,实现邮件监控的目的
l允许管理员对旧邮件的恢复操作
l有助于遵守萨班斯•奥克斯利法案(Sarbanes-Oxley)、SEC 和其他法律法规
帐户分析:
此图中显示的除MDaemon系统帐户外的所有帐户都是自建用户可自定义。
归档地址:
backup:用于MDaemon归档路径,实际邮件收发禁止使用此地址,该帐户的密码应该复合强密码规则,即密码长度大于7位,并满足以下四个条件:数字,特殊符号,英文大写字符,英文小写字符,中的三个条件组成。
经理级地址:
admin:设定admin为经理帐号,查看范围包括自己和test1-test5的所有归档邮件,对自己的归档邮件有完全控制权限,对其他人的归档邮件只有查看的权限无删除邮件权限,因为admin为经理帐户有机密邮件,所以我们设定只有admin自己可以看到自己的归档邮件,其他所有员工包括管理员在内都不能通过公共文件夹看到该帐户的邮件。
部门级地址
test1—test5:为研发部门成员,这五个帐户只可以查看研发部门内成员的归档邮件,不能越级查看,研发组的权限均为查看和邮寄没有删除等操作权限。
最终实现效果
admin帐户登陆
Admin帐户登陆查看公共文件夹,如图显示,admin帐户不光可以查看到自己的归档文件夹,还可以查看test1-test5的归档文件夹,并可以删除自己归档文件夹中的邮件(这里是权限设置问题,后面会讲到)。
此图显示为admin帐户查看test1这个帐户归档文件夹中的邮件,但不能删除该文件夹中的邮件。
Test1帐户登陆
设定test1为研发部门成员,可以看到研发部门的所有成员的归档文件夹,但只可以查看邮件,没有任何修改权限也不能删除邮件,同时也看不到上级的归档文件夹(如andmin的归档文件夹)。
实施配置步骤
创建列表
创建研发部门列表,列表地址为yanfa@qast-mdaemon.com
研发列表成员
设置归档
归档地址为 backup@qast-mdaemon.com ,其中勾选归档到公共文件夹中选项,这样才能让服务器中所有帐号通过web共享访问归档文件夹。
归档入站邮件:会将入站邮件归档到公共文件夹中的Inbound to文件夹中,服务器处理过入站邮件后此文件夹会自动生成。
基于收件人地址归档:将入站邮件按收件人地址分类,以每个收件人地址为名称在收到入站邮件后自动生成文件夹,入站邮件就会存放在相应的收件人文件夹中。
归档外发的邮件:会将出站的邮件归档到公共文件夹中的Outbound from文件夹中,服务器处理过出站邮件后此文件夹会自动生成。
基于发件人地址归档:将出站邮件按发件人地址分类,以每个发件人地址为名称在处理过出站邮件后自动生成文件夹,出站邮件就会存放在相应的发件人文件夹中。
给每个MDaemon域提供各自的归档:如果存在次域,会以次域域名建立归档文件夹。
共享文件夹
启用公共文件夹
在MDaemon服务器中“设置”菜单中选择“共享文件夹”,启用公关文件夹。
查找相应帐户归档文件夹
要设置指定帐户归档文件夹的权限首先要在公共文件夹中找到该用户的入站邮件和出站邮件归档存放文件夹名称,然后配置访问控制列表设置权限。
入站归档邮件文件夹名称为:Mail Archive/Inbound to/邮件地址
出站归档邮件文件夹名称为:Mail Archive/Outbound from/邮件地址
访问控制列表
其中Default rights (anyone)的访问等级最好为none没有任何访问权限,因为如果给这个帐户权限那么系统中的所有用户都会有相应查看该文件夹的权限。
访问权限
这个区域是用来指定您希望授予共享文件夹权限的MDaemon用户帐号或组,以及为每一个人设置访问权限。您可以从共享IMAP文件夹对话框的公共文件夹标签中,到达此对话框(点击设置 – 共享的IMAP文件夹… – Public Folders)。双击需要的文件夹,或者点击文件夹,之后点击编辑访问控制列表,为此文件夹打开访问控制对话框。每一个条目列出帐号的邮件地址和关于您授权给用户每一个访问权的访问级别的一个字母的缩写。
邮件地址
直接输入Email地址或者点击帐户按钮选择希望赋予他们访问权限的MDaemon帐户或组。为帐户或组选择适当的权限后点击添加。
移除
从访问权列表中移除一个条目,选择需要的条目然后点击移除。
导入
利用导入功能,您可以添加一个已存在邮件列表的成员到访问权用户的列表中。选择您希望授予用户的访问权,点击导入,然后双击需要的列表。所有列表中的用户都将被添加到您设置的访问权列表中。
设置子
如果希望正在编辑的文件夹的子文件夹继承访问控制权限,选择用户或组,然后点击此按钮。假如用户或组对该文件夹已经有访问控制权限,点击按钮后,权限被替换。
访问权限
通过特定区域里面需要的选项,选择您希望授予个人用户或组的权力,然后为新的条目点击添加,或者替换已存在条目。
您可以授权以下访问权:
查询(l) - 用户在他们个人的IMAP文件夹列表中可以看到此文件夹
阅读(r) - 用户可以打开此文件夹和查看它的内容。
撰写(w) - 用户可以改变此文件夹中邮件的标记。
插入(i) - 用户可以添加或者复制邮件到此文件夹中。
创建(c) - 用户可以在此文件夹中创建下级文件夹。
删除(d) - 用户可以从此文件夹中删除邮件。
设置已读标志(s) - 用户可以改变此文件夹中邮件的已读/未读状态。
管理员(a) - 用户可以对文件夹进行ACL管理。
邮寄(p) - 用户可以直接发送邮件到此文件夹中(如果文件夹允许)。
添加
选定赋予访问控制权限的用户或组,点击添加将其添加到访问控制列表。
替换
为了调整一个已经存在的访问权条目,选择条目,将希望的更改添加到访问权中,然后点击替换。
帮助
点击帮助显示访问权列表和他们的定义。
注意:
访问权可以通过MDaemon对访问控制列表(ACL)的支持进行控制。ACL是Internet消息访问协议(IMAP4)的扩展,它可以使您为您的每一个IMAP消息文件夹创建一个访问列表成为可能,因此授予在您的邮件服务器上也有帐号的其他用户对您的文件夹的访问权。
在RFC2086中有完整的讨论,可以在以下地址中查看到:
http://www.rfc-editor.org/rfc/rfc2086.txt
各帐户权限设定
经理级归档文件夹权限设定
该文件夹为 admin@qast-mdaemon.com帐户的入站邮件归档存放的文件夹,前面已将admin设定为经理邮箱,那么该邮箱中的邮件除了经理帐户外其他帐户不能查看该帐户的归档邮件,所以这里设定的电子邮件地址除了系统默认生成的anyone外只有admin帐户,而且该帐户拥有完全控制权限。
部门级归档文件夹权限设定
截图为 test1@qast-mdaemon.com帐户的入站邮件归档存放的文件夹,该帐户为研发部门成员,经理级帐户和管理员帐户拥有相应的权限查看操作该帐户的归档邮件,同时研发部门的成员也应拥有相应的权限,下面介绍的是如果从列表中批量导入帐号且继承相应权限。
导入研发部门成员到电子邮件中
选中 admin@qast-mdaemon.com 帐户,点击导入,选择已存在的邮件列表 yanfa@qast-mdaemon.com,导入研发列表中的成员test1-test5,此时因为导入前选择的admin的电子邮件的访问权限为查询,阅读和邮寄,所以导入后的电子邮件也会继承该权限。鉴于审计方面的考虑,所以这些帐户都不拥有编辑修改性的权限。
以上文档只是初稿,还请高位大侠多多指教,如有问题反馈可发邮件给我。
邮箱:yvonne.lv@qast.com,咨询电话:010-51296060,联系人:吕兆雪
[ 本帖最后由 吕兆雪 于 2008-5-15 19:16 编辑 ] 能不能排下版呀,有点乱:P 原帖由 heieye104 于 2008-5-15 05:26 PM 发表 http://bbs.5dmail.net/images/common/back.gif
能不能排下版呀,有点乱:P
吸取意见,这就排 版主所说的这个,我在我们公司,我早就这样设置了,权限的设置我也早设置好了,就来体验一下我的吧!看图,要是谁有更好的,给点意见吧!!! 我也是前些日子刚弄出来的,之前没这么用过,弄出来后就写文档发出来了,共享吗,希望如果有谁知道更好的说出来大家讨论下:handshake 版式调整的还不错, md的功能还不少啊 ,这样的贴子要老总看到的结果倒霉的有两种人:一个是网管,另一个就是员工啦。哈哈。;P 吸取2楼的建议,已经重新排版,图也缩小了,不知大家看起来还乱不乱:loveliness: 原帖由 999819 于 2008-5-15 06:25 PM 发表 http://bbs.5dmail.net/images/common/back.gif
版主所说的这个,我在我们公司,我早就这样设置了,权限的设置我也早设置好了,就来体验一下我的吧!看图,要是谁有更好的,给点意见吧!!!
我仔细看了下你的截图,好像你理解的跟我这个文档表达的有些出入,你的截图好像是在公共文件夹下自建的文件夹让员工存邮件用的,但不是归档的邮件,我的截图是测试环境所以邮件不多,如果是真实环境这些文件夹下会存放你收发的所有邮件数量会很大,而且MDaemon的归档会自动生成文件夹Mail Archive和入站的文件夹Inbound to和出站的文件夹Outbound from,所有的帐户归档文件夹也都属于这两个文件夹的子文件夹,所以我觉得你的截图体现的并不是MDaemon的归档功能,只是公共文件夹功能。
如果说的不对,请补充,谢谢~ 无论测试结果如何,先奖励
鼓励原创技术贴
页:
[1]
2
