none
MailFlow Verständnisfrage RRS feed

  • Frage

  • moin,

    wie kann man überprüfen wer eine interne Mail nach extern geschickt hat?

    ich dachte die MessageID ist ein ID die bei einem Mail auch wenn es weitergeleitet wird immer gleich bleibt?

    Der Betreff kann ja leicht geändert werden und wenn die MessageID nicht gleich bleibt ist es scheinbar unmöglich dies herauszufinden. NetworkID oder RunSpaceID habe ich auch schon gecheckt. RunSpaceID scheint Domain weite gleiche ID zu sein.



    Chris

    Sonntag, 3. Mai 2020 11:16

Antworten

  • Moin,

    Du meinst, es gab eine interne Mail und jemand hat sie *weitergeleitet*? Das ist verdammt schwierig, die Mail kann ja auch als Anhang weitergeleitet worden sein - dann trägt die extern versandte Mail gar keine Merkmale der ursprünglichen mehr....


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert -- Chris -- Sonntag, 3. Mai 2020 16:20
    Sonntag, 3. Mai 2020 12:06
  • Die Forensiker können auch nur das herauslesen, was da ist. Wenn Du für alle User Legal Hold einschaltest, kannst Du ja auch im Nachhinein die Postfächer durchsuchen und feststellen, in wessen gesendeten Objekten die fragliche Nachricht liegt. Oft löschen die Gateways versandte Nachrichten auch erst, wenn das Speicherquota erreicht ist - es könnte ja sein, dass jemand irgendwas aus der jüngsten Vergangenheit nachvollziehen möchte ;-) 

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert -- Chris -- Montag, 4. Mai 2020 05:30
    Sonntag, 3. Mai 2020 16:25

Alle Antworten

  • Moin,

    Du meinst, es gab eine interne Mail und jemand hat sie *weitergeleitet*? Das ist verdammt schwierig, die Mail kann ja auch als Anhang weitergeleitet worden sein - dann trägt die extern versandte Mail gar keine Merkmale der ursprünglichen mehr....


    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert -- Chris -- Sonntag, 3. Mai 2020 16:20
    Sonntag, 3. Mai 2020 12:06
  • ja leider. User A sendet intern User B und dieser schickt sie nach extern. Ich dachte immer die MessageID bleibt gleich. Aber musste heute leider anderes feststellen. Mich wundert immer wie die Forensiker so viel herauslesen können und wir schaffen nicht einmal einen einfachen Mail Flow.

    schade.


    Chris

    Sonntag, 3. Mai 2020 16:20
  • Die Forensiker können auch nur das herauslesen, was da ist. Wenn Du für alle User Legal Hold einschaltest, kannst Du ja auch im Nachhinein die Postfächer durchsuchen und feststellen, in wessen gesendeten Objekten die fragliche Nachricht liegt. Oft löschen die Gateways versandte Nachrichten auch erst, wenn das Speicherquota erreicht ist - es könnte ja sein, dass jemand irgendwas aus der jüngsten Vergangenheit nachvollziehen möchte ;-) 

    Evgenij Smirnov

    http://evgenij.smirnov.de

    • Als Antwort markiert -- Chris -- Montag, 4. Mai 2020 05:30
    Sonntag, 3. Mai 2020 16:25