none
Как отследить кто шлет от имени (Send As)? RRS feed

  • Вопрос

  • Доброго времени суток!

    В организации есть пользователи которым позволено отсылать письма от имени других пользователей (Send As). 

    т.е. например user1@contoso.com SEND AS user2@contoso.com и юзеру 3 приходит сообщение как бы от имени user2@contoso.com.

    Если посмотреть в свойствах такого принятого письма то там sender = user2@contoso.com, в Log Explorer тоже нет инфы о user1, journal rules тоже не спасает. 

    Вопрос, как отслеживать/логировать такие отсылки от имени (видеть кто и от чьего имени посылал письмо)?

    Буду признателен за помощь! 

    20 февраля 2012 г. 21:26

Ответы

Все ответы

  • Можно воспользоваться Mailbox Audit Logging - http://technet.microsoft.com/en-us/library/ff459237.aspx

    20 февраля 2012 г. 23:10
  • Если User1 это Mailbox, то можно так-же воспользоваться функционалом SendOnBehalf, настроив соответствующие параметры у Mailbox User2
    21 февраля 2012 г. 4:08
  • to Dmitry E. McArov

    Я сходил по ссылке но на сколько понял функции логирования включаются для каждого ящика отдельно и просмотр логов потом тоже через шел.

    Если это не так то пожалуйста поправьте меня. Есть ли вариант с отслеживанием НЕ через шел?

    21 февраля 2012 г. 9:55
  • Да. Это так. Как раз и подразумевалось, что включается аудит для нужных ящиков, а потом это обрабатывается скриптом, например.

    Другой вариант - отслеживать событие 1016 от MSExchangeIS Mailbox Store в журнале событий.

    21 февраля 2012 г. 10:08
  • На сколько я понял имеется ввиду http://msexchange.ru/articles/Auditing-Mailbox-Access-Exchange-System-Manager-Event-Viewer.html сейчас попробовал отослать от имени другого пользователя письмо и далее отследить событие 1016 . Результатов нет. Быть может необходимо что либо явно включить?

    21 февраля 2012 г. 11:31
  • А вы где искали это событие?

    21 февраля 2012 г. 11:39
  • Искал в Application/Security/Setup/System

    http://www.imageup.ru/img243/889086/event.jpg

    • Изменено AlexunderG 21 февраля 2012 г. 12:10
    21 февраля 2012 г. 12:09
  • Проверил на тестовом стенде. Да действительно надо включить дополнительное логирование. Извиняюсь, что ввел в заблуждение.

    Включил вот так:

    Теперь в журнале можно отловить событие "send as".

    З.Ы. Про уровень логирования -
    http://technet.microsoft.com/en-us/library/dd335139.aspx
    • Изменено Dmitry E. McArov 21 февраля 2012 г. 12:27
    • Помечено в качестве ответа AlexunderG 21 февраля 2012 г. 13:37
    21 февраля 2012 г. 12:26
  • Супер!

    То что нужно.

    Спасибо!

    Ещё вопрос, я приаттачиваю задание к этому типу эвента чтобы при возникновении оных он слал письмо на определенный email.

    Все ок работает, но письма приходят пустые. т.е. по ним нельзя понять кто/кому/от имени кого посылал письмо, только сам факт.

    Возможно ли в тело письма либо во вложение либо как то ещё добавлять инфу о событии?

    21 февраля 2012 г. 13:07
  • Ну тут навскидку уже не скажу. Не пробовал. Теоретически, можно на триггер повесить скрипт, который будет собирать инфу о нужном событии, а уже потом полученную инфу отсылать своими средствами.


    21 февраля 2012 г. 13:35
  • В любом случае вы помогли.

    Спасибо!

    21 февраля 2012 г. 13:37
  • А стоит так усложнять? Есть возможность использовать Send of Behalf Of - тогда все видно кто отправлял письмо.

    Сазонов Илья http://isazonov.wordpress.com/

    22 февраля 2012 г. 3:19
    Модератор
  • Представьте что user1 должен по работе отправлять письма send as user2. Представьте так же что таких юзеров много и все они по работе должны отправлять от имени других.

    Что если кто либо из них захочет например "слить" какую либо конфиденциальную информацию от имени другого пользователя (грубо говоря подставив его).

    Вот для таких случаеи в полезно будет отследить кто, когда и откуда это сделал.


    • Изменено AlexunderG 22 февраля 2012 г. 7:22
    22 февраля 2012 г. 7:13
  • Вопрос был: почему бы не использовать  Send of Behalf Of

    Сазонов Илья http://isazonov.wordpress.com/

    22 февраля 2012 г. 9:09
    Модератор
  • Илья, мой ответ вам был : ...user1 должен по работе отправлять письма send as user2....

    т.е. его usera1 бизнесс процесс подразумевает отправку писем именно send as а не Send of Behalf Of.  Почему не наоборот или вообще как то по другому это не ко мне вопрос. =)

    22 февраля 2012 г. 11:47