Exchange Server 是否能够充分防止邮箱文件夹中项目的回溯?我想从审计角度确定存在何种程度的风险/可以对 Exchange 数据库记录给予何种信任。
是否存在一个(错误)功能允许终端用户修改他们自己消息上的发送/接收日期字段?
除了手动编辑文件之外,是否有其他合理的方法可以让 Exchange Server 管理员进行这样的更改?
最重要的是:是否存在任何类型的“序列号”,我们可以用来审计 Exchange 记录以查找日期操纵的证据(例如,msg100 = 12 月 15 日,msg101 =12 月 10 日,msg102 = 12月16日)
答案1
我不确定这是否真的回答了您的问题,但查看 MailItem 的 MSDN 参考及其时间属性可能会让您知道您可以信任什么。
邮件项目
MailItem.创建时间
- 返回指示 Outlook 项目的创建时间的日期
- 只读。
- http://msdn.microsoft.com/en-us/library/aa211817(office.11).aspx
MailItem.LastModificationTime
- 返回指定 Microsoft Outlook 项目上次修改的日期和时间的日期。
- 只读。
- http://msdn.microsoft.com/en-us/library/aa171467(office.11).aspx
邮件项目.接收时间
- 返回或设置一个日期,表示收到邮件消息、会议项目或帖子的日期和时间。
- 对于 MeetingItem 对象而言是读/写;对于 MailItem 和 PostItem 对象而言是只读。
- http://msdn.microsoft.com/en-us/library/aa171873(office.11).aspx
是否存在某种“序列号”可供我们用来审计 Exchange 记录以寻找日期操纵的证据。
我不这么认为。如果您确实需要在此级别进行审计,您可能只需要保留每条消息/项目的单独副本。或者您可能需要想出一个好的备份/恢复方法。如果您怀疑有什么问题,请从您的档案中查看该人员邮箱的旧版本。