blog.icewolf.ch

Let's talk about IT!
posts - 1802, comments - 295, trackbacks - 0

My Links

Archives

Post Categories

icewolf

Mailbox Audit Log

Hallo zusammen,

Bei aktivierter Postfachüberwachung (Mailbox Auditing) für ein Postfach werden im Postfachüberwachungsprotokoll Informationen protokolliert, wenn ein Benutzer, bei dem es sich nicht um den Besitzer des Postfachs handelt, auf das Postfach zugreift. Jeder Protokolleintrag enthält Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie zum Status der Aktion. Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage beibehalten. Mithilfe des Postfachüberwachungsprotokolls können Sie feststellen, ob auf ein Postfach von einer Person zugegriffen wurde, bei der es sich nicht um den Besitzer des Postfachs handelt.

Um das Mailbox Auditing zu demonstrieren, habe ich mir auf einer Shared Mailbox FullAccess und SendAs Rechte vergeben.

So sieht ein Mail mit Send-As Rechten aus.

Anschliessend habe ich das SendAS Recht entfernt und mir SendOnBehalf Rechte gegeben

Set-Mailbox sharedmailbox@icewolf.ch -GrantSendOnBehalfTo a.bohren@icewolf.ch
Get-Mailbox sharedmailbox@icewolf.ch  | fl GrantSendOnBehalfTo

So sieht ein Mail mit Send-On-Behalf aus.

Manage mailbox auditing
Man sollte sicherstellen, das das auf der Organisationsebene nicht deaktiviert ist.
Get-OrganizationConfig | fl *audit*
Die Audit Logs einer Mailbox werden nur 90 Tage aufbewahrt.
Es wird zwischen Admin, Delegate und Owner Unterschieden.
Get-Mailbox sharedmbx@icewolf.ch | fl *audit*
Get-Mailbox sharedmbx@icewolf.ch | select -ExpandProperty AuditDelegate
Hinweis: Das Senden einer E-Mail aus einer persönlichen Mailbox (Owner) kann nicht geloggt werden.

Search-MailboxAuditLog

$Result = Search-MailboxAuditLog -Identity sharedmbx@icewolf.ch -LogonTypes Admin,Delegate -StartDate 08/24/2020 -EndDate 08/31/2020 -ShowDetails
$Result | fl Operation, OperationResult,LogonType, LogonUserDisplayName, ItemSubject, ClientIP, ItemInternetMessageId, LastAccessed

Die Mailbox Audit Logs kann man auch im Exchange Admin Center über ein GUI rausholen. Der Empfänger erhält dann ein XML File.

Exportieren von postfachüberwachungsprotokollen in Exchange Online
https://docs.microsoft.com/de-de/exchange/security-and-compliance/exchange-auditing-reports/export-mailbox-audit-logs?redirectedfrom=MSDN  

Grüsse
Andres Bohren

Print | posted on Tuesday, August 25, 2020 9:46 PM | Filed Under [ Exchange ]

Powered by:
Powered By Subtext Powered By ASP.NET