alpha-bravo: SMTP logging

Halihallo Forumer

Ach her je... Einige Mails sind bei mir über einen SMTP gewandert, wo sie nicht hätten durchwandern dürfen. Wäre froh, wenn mein Name hier nicht fällt (aber die meisten dürften wissen, wer ich bin)...

Die Mails enthalten (nach Beurteilung einer anderen Person) geschäftsinterne Daten, die nicht in bestimmte Hände fallen sollen. Jetzt wollte ich mich darüber informieren, ob die Inhalte der Mails mitgeloggt werden, oder nicht. Bzw. an welchen Einstellungen man dies erkennen kann (Datei?). Der SMTP-Rechner ist ne Win2k Maschine; SMTP-Service wahrscheinlich über IIS.
Dass die IP's mitgeloggt werden ist klar (bzw. wär mir egal), jedoch der Content? - Wie wahrscheinlich ist es, dass dieser auch irgendwo gespeichert ist?

Welche Daten bräuchtet ihr für eine "relevante" Aussage?

Viele Grüsse

alpha-bravo

  1. Halihallo Forumer

    Ach her je... Einige Mails sind bei mir über einen SMTP gewandert, wo sie nicht hätten durchwandern dürfen. Wäre froh, wenn mein Name hier nicht fällt (aber die meisten dürften wissen, wer ich bin)...

    PGP hilft dagegen 100%. Jedenfalls was den Zugriff auf den Inhalt angeht (die Tatsache, _dass_ eine Mail verschickt wurde, bleibt natürlich nicht geheim). Wer sensitive Daten unverschlüsselt per Mail verschickt, kann auch gleich eine Postkarte nehmen - die Postkarte hat nur den Nachteil, dass man sie nicht elektronisch erfassen kann. EMail ist also noch schlechter als eine Postkarte.

    Die Mails enthalten (nach Beurteilung einer anderen Person) geschäftsinterne Daten, die nicht in bestimmte Hände fallen sollen. Jetzt wollte ich mich darüber informieren, ob die Inhalte der Mails mitgeloggt werden, oder nicht. Bzw. an welchen Einstellungen man dies erkennen kann (Datei?). Der SMTP-Rechner ist ne Win2k Maschine; SMTP-Service wahrscheinlich über IIS.
    Dass die IP's mitgeloggt werden ist klar (bzw. wär mir egal), jedoch der Content? - Wie wahrscheinlich ist es, dass dieser auch irgendwo gespeichert ist?

    Anhand der empfangenen EMails kann man nicht feststellen, ob ein Mailserver eine lokale Kopie abgezweigt hat oder einen BCC-Empfänger hinzufügt. Dazu müsste man die Gewalt über den entsprechenden Mailserver haben, um nachzusehen (was in ein Stecknadelsuche im Heuhaufen ausarten kann).

    - Sven Rautenberg

    1. Halihallo Sven

      Ach her je... Einige Mails sind bei mir über einen SMTP gewandert, wo sie nicht hätten durchwandern dürfen. Wäre froh, wenn mein Name hier nicht fällt (aber die meisten dürften wissen, wer ich bin)...

      PGP hilft dagegen 100%. Jedenfalls was den Zugriff auf den Inhalt angeht (die Tatsache, _dass_ eine Mail verschickt wurde, bleibt natürlich nicht geheim). Wer sensitive Daten unverschlüsselt per Mail verschickt, kann auch gleich eine Postkarte nehmen - die Postkarte hat nur den Nachteil, dass man sie nicht elektronisch erfassen kann. EMail ist also noch schlechter als eine Postkarte.

      Hm. Ich verstehe...

      Die Mails enthalten (nach Beurteilung einer anderen Person) geschäftsinterne Daten, die nicht in bestimmte Hände fallen sollen. Jetzt wollte ich mich darüber informieren, ob die Inhalte der Mails mitgeloggt werden, oder nicht. Bzw. an welchen Einstellungen man dies erkennen kann (Datei?). Der SMTP-Rechner ist ne Win2k Maschine; SMTP-Service wahrscheinlich über IIS.
      Dass die IP's mitgeloggt werden ist klar (bzw. wär mir egal), jedoch der Content? - Wie wahrscheinlich ist es, dass dieser auch irgendwo gespeichert ist?

      Anhand der empfangenen EMails kann man nicht feststellen, ob ein Mailserver eine lokale Kopie abgezweigt hat oder einen BCC-Empfänger hinzufügt. Dazu müsste man die Gewalt über den entsprechenden Mailserver haben, um nachzusehen (was in ein Stecknadelsuche im Heuhaufen ausarten kann).

      Die Gewalt hätte ich. Nur weiss ich nicht, wo ich da nachsehen soll. Ich schätze mal, dass die Contents in irgendeiner .log gespeichert werden, nachder ich suchen muss? - Aber mal ganz allgemein: Ist es üblich, dass der Content mitgeloggt wird, oder nicht?

      Viele Grüsse

      alpha-bravo

      1. Aloha!

        Die Gewalt hätte ich. Nur weiss ich nicht, wo ich da nachsehen soll. Ich schätze mal, dass die Contents in irgendeiner .log gespeichert werden, nachder ich suchen muss? - Aber mal ganz allgemein: Ist es üblich, dass der Content mitgeloggt wird, oder nicht?

        Nein, üblich ist es nicht. Und wenn der fragliche Server _dein_ Server ist, dürfte es unwahrscheinlich sein, dass sowas konfiguriert ist - wenn du es nicht gemacht hast.

        Allerdings ist zu bedenken, dass es durchaus für firmeninterne Mailserver üblich sein kann, alle Mails zusätzlich zu speichern, um an zentraler Stelle diese Info abgreifen zu können. Nach deutschem Recht müsste diese Datensammlung den Mitarbeitern (also auch dir) aber wohl bekanntgemacht werden - genauso wie z.B. das Mitloggen aller geführten Telefonate mit exakter (d.h. unverkürzter) Rufnummer.

        - Sven Rautenberg

        1. Halihallöle Sven

          Übrigens: Sorry, dass ich mich hier so geheimnisvoll verhalte, aber Vorsicht ist besser als...

          Die Gewalt hätte ich. Nur weiss ich nicht, wo ich da nachsehen soll. Ich schätze mal, dass die Contents in irgendeiner .log gespeichert werden, nachder ich suchen muss? - Aber mal ganz allgemein: Ist es üblich, dass der Content mitgeloggt wird, oder nicht?

          Nein, üblich ist es nicht. Und wenn der fragliche Server _dein_ Server ist, dürfte es unwahrscheinlich sein, dass sowas konfiguriert ist - wenn du es nicht gemacht hast.

          Meiner ist es nicht, aber ich bin mit "fast" Admin-Rechten ausgestattet.

          Allerdings ist zu bedenken, dass es durchaus für firmeninterne Mailserver üblich sein kann, alle Mails zusätzlich zu speichern, um an zentraler Stelle diese Info abgreifen zu können.

          Hm. Ich glaube, dass dies bei diesem Server nicht zutrifft. Ich wüsste nicht, warum ein Interesse daran bestünde, die Contents der Mails aufzubewahren.

          Also, ich mach mich mal auf die Suche nach dem .log...

          Viele Grüsse

          alpha-bravo

          1. Moin,

            versuchs doch erstmal über die MMC und den IIS-Virtual SMTP Node,
            über die Eigenschaften kannst du verschiedenes erkennen, wie zum Beispiel auch ob logging überhaupt eingeschaltet ist.
            Irgendwo dort in der nähe läßt sich auch einstellen, was geloggt werden soll und wie die Logs aufbewahrt werden.

            Meistens irgendwie unter winnt/system32/..../iis.../

            Ich habs grad nicht vor mir, sonst könnte nich noch konkretere Hinweise geben.

            Gruß,
            Frank

            1. Halihallöchen Frank

              versuchs doch erstmal über die MMC und den IIS-Virtual SMTP Node,
              über die Eigenschaften kannst du verschiedenes erkennen, wie zum Beispiel auch ob logging überhaupt eingeschaltet ist.
              Irgendwo dort in der nähe läßt sich auch einstellen, was geloggt werden soll und wie die Logs aufbewahrt werden.

              Meistens irgendwie unter winnt/system32/..../iis.../

              Perfekt. Werd ich gleich nachschaun. Im Moment läuft immer noch die Suche... Einige Gigabytes nach Content durchforsten dauert halt ein klei wenig... Aber M$ ist ja auch Multitaskingfähig, soweit ich gehört hab ;)

              Ich habs grad nicht vor mir, sonst könnte nich noch konkretere Hinweise geben.

              Reicht schon. Ich werd mich bestimmt zurechtfinden, ist ja alles M$ => schöne Dialoge... ;-)

              Viele Grüsse und Danke

              alpha-bravo

      2. Hallo Du Armer,

        Die Gewalt hätte ich. Nur weiss ich nicht, wo ich da nachsehen soll.
        Ich schätze mal, dass die Contents in irgendeiner .log gespeichert
        werden, nachder ich suchen muss?

        Du hast aber den Vorteil, daß Du offenbar den Inhalt der besagten Mail(s)
        zumindest teilweise kennst, ja?

        Wäre es nun eine UNIX-Kiste, dann würde ich vorschlagen, mit einer
        Kombination aus "find" und "grep" über das gesamte Dateisystem drüber
        zu laufen und nach signifikanten Fetzen aus dem Inhalt zu suchen - denn
        _wenn_ ein Protokoll vorhanden ist, dann ist die Chance gut, daß es eine
        ganz triviale ASCII-Datei ist und nichts Verschlüsseltes.

        Bei einer Windows-Kiste müßte etwas Vergleichbares durch ein relativ
        einfaches Perl-Skript zu lösen sein. ("File::Find" etc.) Dazu müßte
        halt ein Perl-Interpreter drauf - ActivePerl ist aber schnell installiert.

        Wenn der entsprechende SMTP-Server abgeschaltet ist, sollte er keine
        wie auch immer geartete Log-Datei mehr gesperrt halten. Die Laufzeit
        des Skripts würde ich auf wenige Minuten schätzen - dafür kann man
        den SMTP-Server also notfalls mal gezielt herunter fahren.

        Viele Grüße
              Michael
        ("viel Erfolg bei der Suche" wäre wohl nicht ganz passend ...)

        1. Halihallo Michael

          Hallo Du Armer,

          Ja, ja, man hat's nicht leicht im Leben :-))

          Die Gewalt hätte ich. Nur weiss ich nicht, wo ich da nachsehen soll.
          Ich schätze mal, dass die Contents in irgendeiner .log gespeichert
          werden, nachder ich suchen muss?

          Du hast aber den Vorteil, daß Du offenbar den Inhalt der besagten Mail(s)
          zumindest teilweise kennst, ja?

          Ja, ich kenne die Inhalte. Ich hab sie ja selber verfasst :-)

          Bei einer Windows-Kiste müßte etwas Vergleichbares durch ein relativ
          einfaches Perl-Skript zu lösen sein. ("File::Find" etc.) Dazu müßte
          halt ein Perl-Interpreter drauf - ActivePerl ist aber schnell installiert.

          Hm. Ja, wenn das log wirklich als Textdatei vorliegt hab ich kein Problem... Start->Suchen->Enthaltener Text... fertig :-)
          Da bräuchte man nicht einmal perl zu können ;)

          Wenn der entsprechende SMTP-Server abgeschaltet ist, sollte er keine
          wie auch immer geartete Log-Datei mehr gesperrt halten. Die Laufzeit
          des Skripts würde ich auf wenige Minuten schätzen - dafür kann man
          den SMTP-Server also notfalls mal gezielt herunter fahren.

          ich werd mich dann mal auf die Suche machen...

          ("viel Erfolg bei der Suche" wäre wohl nicht ganz passend ...)

          Trozdem Danke, mal schau'n, was ich rauskrieg :-)

          Viele Grüsse

          alpha-bravo

  2. Halihallo Forumer

    Hm. Vielen Dank für eure Ideen und Tipps. Ich kann jetzt mit grösser Wahrscheinlichkeit ausschliessen, dass meine Mails mitgeloggt wurden. Die SMTP-Konfig hab ich zwar noch nicht gefunden (Frank hat mich ja darauf aufmerksam gemacht), aber keine Datei enthält anscheinend Daten von meinen Mails => kein Content-logging.

    Viele Grüsse und Danke

    alpha-bravo