Securepoint Support Forum

Einleitend:
Um die UMA als Archivierungslösung u. a. im Sinne von GDPdU überhaupt nutzen zu können, muss ein dicker Designfehler behoben werden. Bis dahin können wir nicht ruhigen Gewissens die UMA vermarkten bzw. selbst einsetzen.

Diesen Text habe ich auch in die Wunschbox eingegeben, das ist aber eher kein Feature-Request, sondern ein Konzeptionsfehler – daher auch hier:

http://www.securepoint.de/support-service/wunschbox.html

Beschreibung:
Nicht einem UMA-Konto zustellbare Nachrichten werden einfach verworfen und nicht archiviert. Das ist indiskutabel – schon im Sinne der GDPdU.

Testumgebung:
Exchange Online in einem Office365-Tarif
HUB-Betrieb
Keine AD-Anbindung, sondern lokale Benutzerverwaltung der UMA

Auf dem Exchange-Online-Server wurde speziell für die UMA ein Postfach eingerichtet, um den HUB-Betrieb zu ermöglichen. Alle ein- und ausgehenden E-Mails der teilnehmenden Konten schicken eine Kopie an das UMA-Postfach.

Das UMA-Postfach wird an die UMA über IMAP, mittels SSL gesichert, angebunden.

Details:
Kann die UMA anhand der Empfängerdaten eine E-Mail intern nicht zustellen, wird diese nicht archiviert, sondern unwiderruflich gelöscht. Das darf nicht sein, denn in dieser Betriebsrat kann das des Öfteren vorkommen. Hier nur zwei Fälle:

Newsletter/Massensendungen/BCC: Viele stellen über „BCC“ zu, d. h. in der „To-Zeile“ bzw. „Cc-Zeile“ steht vollkommen was anderes, insbesondere unbekannt für die UMA. Solche E-Mails werden von der UMA einfach gelöscht.

Empfang über Weiterleitung: Es gibt Systeme, bei denen viele E-Mail-Adressen nur als Weiterleitung existieren. Z. B. ist die Adresse „lieferant1@domäne.tld“ als Weiterleitung auf die real existierende Adresse „einkauf@domäne.tld“ realisiert. Schickt jemand eine E-Mail an „lieferant1@domäne.tld“, landet dies im Exchange im Postfach „einkauf@domäne.tld“, allerdings steht nirgends im Header diese E-Mail-Adresse, so dass diese E-Mail in der UMA nicht zustellbar ist und demnach gelöscht wird.

Stellen Sie sich vor, wir richten am E-Mailserver eine Weiterleitung für die Buchhaltung ein: „buchhaltung@domäne.tld“, die an mehrere Sachbearbeiter weitergeleitet wird. Diese E-Mails gingen alle verloren, da das UMA-Konto „Buchhaltung“ nicht eingerichtet wurde. Eine nachträgliche Zuordnung dieser E-Mail-Adresse bei bestehenden UMA-Konten ist nicht möglich, denn sie werden gelöscht.

Fazit:
Alles was im E-Mail-Postfach landet, das für den UMA-Betrieb verwendet wird, ***MUSS*** archiviert werden – das vollkommen unabhängig davon, ob eine E-Mail einem UMA-Benutzer zugestellt werden kann. Nicht zugestellte E-Mails ***MÜSSEN*** zumindest in einem Sammelpostfach gespeichert werden, damit sie nicht verloren gehen.

Welche der bemängelten Punkte sind gelöst worden und wie sieht deren Implementierung aus?

http://isential.de/temp/20150515securepoint-evaluierung-uma.pdf

Hallo,

wir haben uns Ihren Wünsche und Anregungen noch einmal geneu angeschaut. Natürlich sind hier sehr wichtige Punkte dabei (wie das Archivieren von E-Mails die keinem User zugeordnet werden konnten)! Wie von ihnen erwähnt gibt es ja auch schon entsprechende Wunschbox-Artikel hierzu und auch wir haben bereits interne Tickets zur Abarbeitung/Implementierung erstellt.

Da nun aber einige Änderungen großen Entwicklungsanspuch in Beschlag nehmen, kann zum jetzigen Zeitpunkt noch nicht gesagt werden ob und genau welche Ihrer Wunschpunkte noch in die 2.x.x Version fallen. Da sich die 3.x Version schon in Arbeit befindet und hier einige grundlegende Änderungen vorgenommen werden, fallen einige der Punke in diese Version und sind somit erst für einen wesentlich späteren Zeitpunkt vorgesehen.

Sobald wir hier genaueres haben schreibe ich gerne noch einen Post für Ende/Anfang nächsten Monats

Mit freundlichem Gruß
Marcel

Entweder werde ich blind oder ich habe etwas falsch verstanden: Herr Kopinski versicherte uns, dass nicht zustellbare E-Mails nicht mehr verloren gehen, sondern "irgendwo"gesammelt werden.Wo ist dieses "Irgendwo"? Wie kann ich nachträglich solche sich im"Irgendwo" befindlichen E-Mails Anwendern zuweisen?

Wir verwenden  den HUB-Modus mit Exchange-Online. Wir verwenden KEINE Weiterleitungsregel, da neben dem Aufwand gehen die Empfängerinformationen verloren, wenn diese im BCC übermittelt wurden. Daher verwenden wir das Journaling – hier geht die Empfängerinfo nicht verloren, denn neben der sich als Anlage befindliche Original-E-Mail, stehen im Text des entsprechenden Journals alle Empfänger in der Organisation, also die im BCC. So sieht z. B. eine Journalnachricht aus, die im BCC zwei Empfäünger der Organisation adressiert:

Text der Journal-E-Mail:

| Sender: info@domäne1.tld
| Subject: Test 7 (zwei Empfänger im BCC)
| Message-Id:
| <trinity-95091e36-b0b7-424b-befe-b10d2cf50edf-1465324349958@3capp-gmx-bs44>
| Recipient: joerg@domäne2.tld
| Recipient: info@domäne2.tld

Beide E-Mails verwirft die UMA! – Sie werden den Postfächern "joerg" und "info" nicht zugestellt!

Also, ein Abwarten auf eine Version 3 irgendwann geht gar nicht. Hier muss was schnellsten geschehen! Die Fehler wurden vor einem Jahr gemeldet und es nichts passiert, es sei denn, die Lösung wurde verdammt gut versteckt.

Darüber hinaus fanden wir keine Möglichkeit, über die globalen Regeln eine sog. "Abfangregel" zu machen, die alles was nicht hat zugestellt werden können, einem angegebenen Postfach zuweist.

Bitte um sofortige Stellungnahme!

Danke!

René Ketterer
isential gmbh

Hallo,

der "Text" einer E-Mail ist bei der Zuweisung einer E-Mail irrelevant! Ausgewertet wird hier nur der Header (From/To/CC). Diesen sollte man sich also mal am besten genau anschauen (als .eml/Quelltext) Die einstellbaren Globalen Archive-Regeln betreffen AUSSCHLIEßLICH das KOPIEREN eingehender Mails ins LZA. Die Regeln legen in keiner Weise fest wann und ob überhaupt eine Mails generell archiviert/einem Benutzer oder Postfach zugeordnet wird.
"Regeln" diesbezüglich und auch um Mails bei Eingang einem nicht dafür vorgesehenen User/Postfach zu zuweisen gibt es derzeit nicht!

Ich kann hier an dieser Stelle also nur meinen obigen Kommentar wiederholen: "Sobald wir hier genaueres haben schreibe ich gerne noch einen Post für Ende/Anfang diesen Monats"

Sollte nun im Header ihrer E-Mail also die entsprechende E-Mail Adresse stehen UND im AD ein hierzu passender User zur Archivierung angehakt sein, die E-Mail aber TROTZDEM nicht archiviert werden, so melden Sie sich bitte eine mal zur Lösung des Problems telefonisch bei unserem Support.

Danke!

Gruß
Marcel

Entschuldigen Sie bitte! Wie die UMA heute arbeitet, ist mir bekannt. Wenn die Arbeitsweise aber nicht zufriedenstellend ist, muss eine Lösung her. Da gibt es nichts zu diskutieren.

Beim HUB-Betrieb gibt es zwei Möglichkeiten in einer Exchange-Online-Umgebung:

1. Weiterleitungsregeln je Postfach auf ein internes oder externes Postfach. Hier gehen aber die Empfängerinfos verloren, wenn diese ursprünglich im BCC standen.

2. Journaling auf ein externes Postfach (unser Fall). Eine Journal-E-Mail beinhaltet die ursprüngliche Original-E-Mail als Dateianlage. Im Text der Journal-E-Mail stehen IMMER die Empfänger drauf. Das ist von Microsoft spezifiziert und man kann sich immer darauf verlassen, dass es so ist und sein wird. Daher kann das wohl ausgewertet werden – man muss es aber machen! Entweder auf der Admin-Oberfläche ein Haken beim HUB-Betrieb (z. B. MS-Exchange-Online-Journaling verwenden) oder selbst ermitteln, ob es sich um eine Journal-Nachricht handelt (z. B. wie wäre es damit: "X-MS-Exchange-Generated-Message-Source: Journal Agent"?)  – Eine Kombination beider Methoden wäre auch problemlos machbar.

Marcel, wenn Sie heute nur den Header auswerten und deswegen Ihnen solche E-Mails entgehen, dann müssen Sie entgegensteuern – das ist kein Naturgesetz! Entschuldigen Sie meine Bestimmtheit und Hartnäckigkeit, aber wir reden hier vom einem revisionssicheren Archiv nach GDPDU – Ausflüchte sind fehl am Platz, insbesondere wenn es sicher einfache technische Möglichkeiten gibt.

Und wenn nach allen Bemühungen doch noch E-Mails durchrutschen sollten, die intern nicht zustellbar sind, dann dürfen diese NICHT ins Datennirwana befördert werden, sondern irgendwo – von mir aus in einem Auffangpostfach – gesammelt werden, vom dem aus ich dann eine manuelle Zustellung veranlassen kann.

Nochmals und in aller Deutlichkeit: Ich gebe mir mit Ihrem Statement nicht zufrieden, insbesondere wenn mir was anderes von Ihrem Außendienst mitgeteilt wurde. Der Mangel ist eindeutig und nicht von der Hand zu weisen. Auch die Lösungsvorschläge sind kein Hexenwerk und sicher leicht zu implementieren. Das sage ich Ihnen als jemand, der auch ein bisschen von Softwareengineering eine Ahnung hat.

Gerne höre ich wieder von Ihnen.

Mit freundlichen Grüßen

René Ketterer

In https://support.securepoint.de/viewtopic.php?f=26&t=6718#p16795
habe ich gerade die Frage in den Raum gestellt, ob es für eingehende Mail nicht sinnvoll wäre, auf Seiten der UMA auch den Received-Header zu betrachten? Oder ist das nicht so einfach? - Delivered-To wäre ja im Hub-Setup schon wieder überschrieben.

Viele Grüße,
Sören