01/2013

Sichere und rechtskonforme Mailarchivierung Sysadmin Ordentlich verstaut Mailarchivierung

52 Wenn die Finanzbeamten zur Buchprüfung anrücken, kann froh sein, wer seine E-Mail-Kommunikation effizient und rechtssicher archiviert. Spezielle Lösungen helfen dem Admin dabei. Dieser Artikel vergleicht fünf Soft-

warelösungen und eine Appliance, die auf freier Software aufbauen. Andrej Radonic www.-magazin.de

Suche schnell auffindbar und sorgen für revisionssichere Ablage der Daten – und versprechen, sich auch an die Gesetzes- vorgaben (siehe Kasten „Juristische Rahmenbedingungen für elektronische Archivierung“) zu halten. Idealerweise fügen sie sich dabei naht- los in das Unternehmensnetzwerk ein, verstehen sich mit allen gängigen Mail- servern, bieten Webzugriff, gestufte Berechtigungen und können alle Daten transparent auf gängigen Speichermedien oder sogar in spezialisierten Archivsys- temen ablegen. Dabei hat der Betreiber günstigstenfalls auch die Wahl der Inf- rastruktur, also beispielsweise zwischen privater Cloud oder gehosteter Lösung.

Verschiedene Ansätze © Andrey Kuzmin , 123RF.com Kuzmin © Andrey Die Philosophien der Hersteller sind sehr Handelsbriefe: So stuft der Gesetzgeber triebsprüfung schon nicht mehr erfüllt. unterschiedlich: Reinen Standalone-Lö- mindestens einen großen Teil der E-Mail- Die täglich eingehende Spam-Flut er- sungen stehen um Mail-Archivierungs- Kommunikation ein und sorgt damit für schwert das Aussortieren zusätzlich und funktionen erweiterte Dokumentenma- reichlich lästige Regelungen im Unterneh- bläht die Datenmengen auf. nagement-Systeme gegenüber (etwa Ago- men. Da greifen dann Handels- und Steu- Ein technisches Problem stellt die vom rum Core [1] oder Inovox/Alfresco​ [2]), errecht und verpflichten Unternehmen, Gesetzgeber geforderte Revisionssicher- teilweise existieren auf einzelne Mail- und die Kommunikation für mindestens zehn heit dar. Diese besagt im Wesentlichen, Jahre vollständig digital zu archivieren dass ein elektronisches Dokument nicht Rechtsgrundlagen – und zwar ein- und ausgehende Mails mehr verändert werden darf. Somit muss Revisionssichere E-Mail-Archivierung regeln: (siehe Kasten „Rechtsgrundlagen“). sich verhindern lassen, dass selbst der n Handelsgesetzbuch §§ 238, 239, 257 allmächtige Root-Benutzer bewusst oder n Abgabenordnung (AO) § 147 Ungeahnte Tiefen unbewusst Manipulationen vornehmen n Grundsätze zum Datenzugriff und zur kann. Ein probates Mittel dazu liefern Prüfbarkeit digitaler Unterlagen (GDPdU) n Grundsätze ordnungsgemäßer DV-ge- Doch das bringt neben organisatorischen Kryptographie und Signaturen. stützter Speicherbuchführung (GoBS) auch einige technische Hürden in die Die Hersteller moderner Archivierungs­ n Umsatzsteuergesetz (UStG) Firma: Viele Mails schlummern in lokalen software für E-Mails haben diese Pro- n Bundes- und Landesdatenschutzgesetze Postfächern der User. Sind die unstruktu- bleme erkannt und treiben einigen (BDSG, LDSG) riert abgelegt, lassen sich relevante und Aufwand, um mit ihren Lösungen die n Signaturgesetz § 15 nicht relevante Mails nicht ohne Weiteres typischen Aufgaben und Probleme zu ad- n Gesetz zur Kontrolle und Transparenz im unterscheiden – im schlimmsten Fall ist ressieren (Tabelle 1). Sie kümmern sich Unternehmen (KonTraG) Handarbeit notwendig. Damit aber sind um das automatisierte dauerhafte Spei- n Sarbanes Oxley Act (SOX) die Anforderungen an eine digitale Be- chern, machen die Inhalte per zentraler n Basel-II-Richtlinie 01/2013 Sysadmin Groupwareserver spezialisierte Lösungen Die angegebenen Sys- SMTP- wie für Microsoft Exchange, , Ke- teme behaupten zwar Mailstore rio und – und natürlich die großen von sich, revisions- Webclient Attach- Suche Index Archivierungslösungen für alle Zwecke, sicher und gesetzes- ments Audit die nebenbei auch E-Mails archivieren, konform gestrickt zu

etwa Openarchive [3]. sein. Da nur ein Teil Mailarchivierung Bei den fünf in diesem Artikel betrach- aus dem deutschen Abbildung 1: Aktiv oder passiv? In der Regel können die Mailarchivare teten Lösungen (zwei verbreitete, zwei Rechtsraum stammt, sowohl Mails per SMTP annehmen (aktiv) als auch abfragen (passiv). 53 Newcomer und eine Appliance) ist die ist vor allem bei den grundlegende Arbeitsweise immer recht Produkten ausländischer Herkunft aller- IMAP, sodass eine Integration mit allen ähnlich (Abbildung 1): E-Mails gelangen dings Vorsicht angebracht. verbreiteten Mailservern möglich ist (Ab- bildung 3 entweder aktiv zum Archiv (per SMTP ). Vorhandene oder ältere Mail- www.linux-magazin.de übermittelt) oder das Archivsystem ruft E (Open) Benno Mailarchiv bestände lassen sich direkt importieren, sie aus Quellen ab, zum Beispiel aus dem etwa aus dem Maildir-Format. Mailstore des E-Mail- oder Groupware- Benno ist Open Source, aber auch dual Benno legt die Maildaten in Containern Servers. lizenziert. Das heißt: Es ist sowohl als direkt im Dateisystem ab, der Adminis- Das gelingt meist durch den POP3- oder freie Community-Edition Open Benno trator kann das Archiv in Storage-Con- IMAP-Abruf einer Sammel- oder mit Jour- Mailarchiv, aber auch als kommerziell tainer aufteilen, etwa nach Jahren oder naling-Mailboxen. Die Mails landen dabei lizenzierte Version Benno Mailarchiv [4] Domains. Eine Verschlüsselung der Da- dauerhaft samt Anhängen entweder im erhältlich. Während die beiden Versio- ten ist nicht vorgesehen, der Hersteller Dateisystem des Archivs oder in einer nen erfreulicherweise datenkompatibel verweist nur auf verschlüsselte Dateisys- Datenbank. Tabelle 1 zeigt die Features sind, bleibt die streng gesetzeskonforme teme. Handarbeit ist gefragt. der fünf Kandidaten Benno Mailarchiv, E-Mail-Archivierung gemäß GDPdU der Benno nimmt eine Volltextindexierung Mailarchiva, Enkive, Piler und Heinlein kommerziellen Variante vorbehalten. der E-Mails nebst Anlagen vor und setzt Elements Mail-Archiv. Ebenso sind Herstellersupport, Soft- bei der Suche auf das bewährte Apache- Systeme, die eher aus der DMS-Schiene warepflege und begleitende Dienstleis- Gespann aus Solr und Tika, sodass An- kommen, integrieren Mailclients und er- tungen nur für die kommerzielle Variante hänge in vielen Formaten (PDF, MS Office lauben es dem User, Mails selektiv per verfügbar. inklusive Office 2007, Open Office und Knopfdruck in das Archiv zu übertragen Das Benno-System versteht sich als Kom- andere) zügig durchsucht sind. (wie zum Beispiel in Zarafas Web-App). plettpaket (Abbildung 2) und bevorzugt Weil Benno wie viele Vertreter seiner Alle Systeme lassen sich per Webclient offene Standards. Für das Einsammeln Zunft auf Java setzt, liefert Tomcat die administrieren und für Audits nutzen, der Mails nutzt es SMTP, POP3 oder Weboberfläche aus. Ein CLI komplettiert wofür sie ein entsprechendes Rechtema- die Administration für nagement mitbringen. Automatisierungszwe- Benno Core Index Benno Search cke. Das Management (Backend) (Frontend) Juristische Rahmenbedingungen der Benutzerrechte für Repository für die elektronische Archivierung Ablage Webclient das in Abbildung 4 Indexierung REST-Schnittstelle n Originäre elektronische Daten müssen SMTP-Server User-DB Benutzer- dargestellte Web-GUI elektronisch archiviert werden Logging und verwaltung erledigt LDAP oder n Keine Speicherung in Papierform (nicht Integrität J2EE/Spring ein Active-Directory- als Ausdruck) Admintools J2SE Connector. n Elektronisch auswertbare Daten müssen Für Cloud-Fans ist ab elektronisch auswertbar bleiben Abbildung 2: Benno Mailarchiv ist ein Komplettpaket für Mailarchivierung der jüngst erschiene- n Anhänge müssen erhalten bleiben, und zwar im originären Format (beispiels- und liegt in zwei Versionen vor, einer freien und einer kommerziellen. nen Version 2.0 zu- weise als Excel-Tabelle) n Keine Formatkonvertierung n Ein nachträglicher Verlust der Daten muss Internet unmöglich sein n Keine nachträgliche (unbemerkte) Verän- MTA derung der Daten Fetchmail (, Exchange, Benno-SMTP n Datenveränderungen müssen rückgängig Sammelmailbox Archiv , ...) oder Journaling- zu machen sein (Versionierung) Mailboxen n Daten müssen in angemessener Zeit ver- fügbar gemacht werden können Intranet n Migration auf neue Speichertechnologien muss möglich sein n Der Speicher muss dem Wachstum dauer- Abbildung 3: Ein typisches Setup für Bennos Archiv: Der gesamte Mailverkehr wird in einer separaten Mail- haft gewachsen sein box gespeichert und von Benno dort abgerufen.

Dateisysteme Dateisysteme 01/2013 Sysadmin sätzlich eine Hosted Edition verfügbar, nische Basis: Java und Python müssen Der Zugriff auf die Weboberfläche erfolgt mit der sich in einer einzigen Server- ebenso an Bord sein wie Tomcat, für den über die URL [http://​­localhost:8180/​ umgebung viele Kundenarchive parallel Betrieb des Mailarchiv-Frontends zudem ­bennosearch], wo das GUI dem Admin betreiben lassen. Die modulare System- PHP 5, Smarty-Templates sowie ein Apa- komfortable Konfigurationsmöglichkei- architektur gestattet es sogar, die Kern- che-2-Webserver. Dann reichen das Anle- ten sowie ein leistungsfähiges, einfach

Mailarchivierung komponenten auf verschiedene Rechner gen eines »benno«-Users und das Instal- zu bedienendes System für die Suche in zu verteilen. lieren der ».jar«-Dateien. Für die kommer- den Archivdaten bietet. 54 Die Installation ist einfach, Benno stellt zielle Variante steht sogar ein Repository Benno präsentiert sich als ambitionier- keine großen Anforderungen an die tech- (Debian, Ubuntu und UCS) bereit. tes Komplettsystem auf Basis offener

Tabelle 1: Fünf Produkte zur Mailarchivierung im Vergleich 1 = nur Community Edition 2 = nur kommerzielle Versionen

www.linux-magazin.de (Open) Benno Mailarchiv Mailarchiva Enkive Piler Heinlein Elements Mail-Archiv Basis Version 2.0 v3 1.1 0.1.20 2.1 Varianten Community Edition, kom- Open Source Edition, Community Open Source kommerzielle Version merzielle Version Enterprise Edition Edition Edition SaaS-Modell über Partner, Hosting Hosting Edition Cloud Edition nein nein Edition (geplant für 2013) Betriebssysteme Debian, Ubuntu, SLES, Windows, Linux, BSD, Linux Linux, BSD, Appliance (VM oder Hard- RHEL, UCS Solaris, OS X Solaris ware) Lizenz GPL1 GPL AGPL GPL Heinlein Support Mailserver Postfix, Exim, Send- ja ja ja, jeder SMTP- ja, jeder SMTP- ja, jeder SMTP-Server mail, Server Server Microsoft Exchange ja 2000, 2003,​ 2007,​ 2010​ 2007, 2010 unbekannt ja Google nein ja2 nein nein nein Archivierung Mail-Standards POP3, IMAP, SMTP, Mail- POP3, IMAP, SMTP, Mail- SMTP, Maildir POP3, IMAP, SMTP, POP3, IMAP, SMTP dir, Milter dir, Milter Maildir, Milter Archivierungsregeln nein ja ja ja ja Aufbewahrungsregeln nein ja2 ja ja geplant Verschlüsselung nein AES-256 nein Blowfish ja (Fraunhofer) Nachweis Unverän- Prüfsummen und Log Signatur2 nein Signatur kryptographisch signierte dertheit Zeitstempel nach Signatur- gesetz Kompression Bzip Zip nein Zlib nein Import POP3, IMAP, Maildir Maildir, PST, EML, MSG, Maildir, Filedir, EML, Mailbox, POP3, IMAP, Maildir, Mbox, Exchange, Google Mbox PST PST und weitere, konver- tiert per SMTP-Stream Export EML EML, PDF2 Mbox EML EML, Maildir, Mbox, SQL- Dump Cluster-Suche nein ja2 ja nein ja Mandantenfähig Hosting Edition ja2 ja nein nein Deduplizierung ja, Mails und Anhänge ja, Mails und Anhänge2 ja, Mails und An- ja, Mails und nein hänge Anhänge CLI ja ja2 nein ja nein Client/​Suche Webclient Ajax Ajax ja ja ja Volltextsuche ja ja ja ja ja Mehrsprachige Suche ja ja nein ja nein Weiterleitung ja ja nein ja ja Suche in Anhängen Word, PPT, Excel, PDF, Word, PPT, Excel, PDF, TXT, Word, PDF, Word, PPT, nein (geplant) RTF, Open Office, Zip, RTF, Zip, Tar, Gz, Open PPT Excel, PDF, RTF, Gzip, Bzip2, Tar, Cpio, Office Zip, Tar, Gz, Ar, Metadaten aus Jpeg, Open Office Flash, MP3 Berechtigungen ja ja2 nein ja ja, auf Domain- und ​ Account­ebene Audits ja ja ja ja ja 01/2013 Sysadmin Software in Verbindung mit optionalem Herstellersupport. Für viele Zwecke mag auch die Community-Edition Open Benno ihren Zweck erfüllen, leider erschwert die fehlende Dokumentation den Umgang

damit, der interessierte Admin muss sich Mailarchivierung mit diversen FAQs behelfen [4]. 55 E Mailarchiva

Mailarchiva ist ein umfassendes Archi- Abbildung 5 vierungssystem ( ), das spe- www.linux-magazin.de ziell auf größere Umgebungen mit vielen Mailboxen ausgerichtet ist und mit guten Skalierungsfähigkeiten wirbt. Dies gilt vor allem für die voll supportete Bezahlver- Abbildung 4: Benno Mailarchiv ermöglicht eine effiziente und schnelle Suche. sion, zu der sich die deutlich abgespeckte Open Source Edition gesellt. Versionen sowie multiplen Exchange- Notes, Axigen, Communigate, Neon In- Eine der Besonderheiten von Mailarchiva Stores. Outlook-Nutzer können auf das sight, Zimbra, aber auch Google. [6] ist die umfassende Unterstützung für Archiv mit einem Plugin direkt aus dem Diverse Importoptionen aus Maildir, PST, MS Exchange, die sich aber – wie viele Mailclient heraus zugreifen. Aber auch EML, MSG, Exchange und Google-Forma- andere fortgeschrittene Features – nur jenseits von Microsoft kontaktiert Mail- ten füllen die Archive. Die Maildaten legt in der Enterprise-Version findet: Mailar- archiva viele gängige Mailserver wie die Software komprimiert im Dateisystem chiva arbeitet nativ mit allen Exchange- Postfix, , Qmail, I-Mail, Lotus ab und verschlüsselt sie außerdem mit

Tabelle 1: Fünf Produkte zur Mailarchivierung im Vergleich (Fortsetzung) 1 = nur Community Edition 2 = nur kommerzielle Versionen (Open) Benno Mailarchiv Mailarchiva Enkive Piler Heinlein Elements Mail-Archiv Integration, Anpassung Authentisierung LDAP, MS AD, Univention LDAP, MS AD, NTLM, LDAP LDAP, MS AD LDAP, MS AD, lokale Daten- Web-GUI Corporate Server (UCS), Google, I-Mail bank, XML-API, Univention Novell E-Directory Corporate Server (UCS), Novell E-Directory Storage Dateisystem Dateisystem Datenbank Dateisystem MySQL, PostgreSQL, Oracle (Mongo DB) (lokaler oder externer DB- Server) Lokalisierung Deutsch Deutsch, Englisch, Englisch Ungarisch, Eng- Deutsch, andere auf Anfrage Portugiesisch, Tsche- lisch chisch, Chinesisch, Griechisch, Franzö- sisch, Niederländisch, Russisch, Japanisch, Koreanisch, Thai APIs REST, XML, Webservice- Webservices nein nein XML-API API mit Json-Unterstüt- zung Virenscanner nein nein nein Clam AV ja, inkl. Antispam Backup nein ja2 nein ja Konfiguration ja, Archiv-DB per SQL-Dump Themes/​Skins nein ja2 nein ja nein Preise Lizenzen 120 Euro pro Jahr inkl. 5 1200 Euro für 50 Mail- kostenfrei kostenfrei ab 3600 Euro einmaliger Mailboxen (Small Busi- boxen Kaufpreis zur zeitlich unbe- ness Edition); 18 Euro schränkten Nutzung, inkl. pro Mailbox und Jahr bei 25 User-Lizenzen 20 Mailboxen (Standard Edition) Support Software-Maintenance 18 Euro pro Jahr und ab 500 US-$ pro nicht verfügbar Standard-Support: Mainte­ im ersten Jahr inklusive, Mailbox-Lizenz Jahr je nach An- nance für alle Updates und für Folgejahre separat zahl Mailboxen Telefon/​Mail-Support, Enter- buchbar prise-Support mit 24/​7 bei 2 Stunden Reaktionszeit 01/2013 Sysadmin AES. Im Volltextindex landen auch die Administrator Inhalte der Anhänge, Formate wie PDF, Auditor Word, Excel, Powerpoint und Open Office inklusive. Active Directory LDAP Administration SAN Das Web-GUI (Abbildung 6) bietet neben via Web- interface Mailarchivierung der üblichen Suchtechnik für Audits viel Microsoft Exchange Kerberos/NTLM v2/LDAP Audit Archive Komfort: Der Administrator kann hier Exchange-Web-Dev- und 56 alle wichtigen Systemparameter konfigu- Webservices-Import Mailarchiva-Server rieren, Regeln für Archivierung und Auf- Fibre Channel bewahrung definieren, Zertifikate verwal- SMTP-Journaling

ten und das integrierte Backup anwerfen. Andere Mailserver NAS Archivsuche via End-User

www.linux-magazin.de Der Funktionsumfang reicht bis hin zum Webinterface oder Outlook eingebauten Monitoring, das Daten im Milter JMX-Format bereitstellt. IMAP-Journaling Von Mailarchiva gibt es auch eine ISP- Edition für Hosting-Provider, die voll Microsoft Exchange Backup-Server als Mailserver Sendmail, Postfix mandantenfähig aufgebaut ist. Sie enthält auch Funktionen für die automatisierte Abbildung 5: Mailarchiva integriert sich auch in komplexere Unternehmensnetzwerke. Abrechnung und Rechnungserstellung und will eine Komplettlösung auf die GUI mit den weitreichenden Optionen für Indexierung und Volltextsuche. Als Beine stellen. Konsequenterweise bringt der Mailbeschaffung für den Archivie- weitere Voraussetzungen für die Instal- das US-amerikanische Produkt dann auch rungsvorgang zu beschäftigen. lation müssen Admins noch Postfix, Jsvc eine reibungslose Installation mit, bei Mailarchiva macht einen kompletten und und Swig bereitstellen. Dabei erweist sich der der Admin einfach das Setup-Archiv ausgereiften Eindruck. Deutscher Herstel- die Dokumentation im Wiki der Webseite auspackt und ein Shellskript namens »./ lersupport ist gegeben, der kostenfreie als wahre Wohltat und macht den Start install« ausführt – fertig. Dann startet er Einstieg dürfte auch über die Community einfach. den Mailarchiva-Dienst mit »sudo/etc/ Edition gut gelingen. Um Enkive einzurichten, genügt es, das init.d/mailarchiva start«. Binary abzulegen und das Startskript mit Die weitere Installation und Konfigura- E Enkive »/etc/init.d/enkive start« anzustoßen. tion der Enterprise Edition nimmt er per Die zentrale Konfiguration erfolgt in der Browser über einen Setup-Wizard vor, Enkive ist ein junges Projekt mit erst Datei »$ENKIVE_HOME/config/default/ der auf der URL »http://localhost:8090«​­ einer Major Release und ausschließlich enkive.properties«. Nach dem Konfigurie- lauscht. Hier vergibt er zunächst ein als Open-Source-Community-Edition ren des Apache-Vhost erreicht der Admin neues Administrator-Passwort und richtet verfügbar. Immerhin gibt es optionalen die Enkive-Webkonsole unter »http://​ einen privaten Key für die Verschlüsse- Herstellersupport [7]. Waren die Vorver- ­localhost:8888/​­ediscovery«. Diese dient lung des Mailarchivs ein. Dann definiert sionen noch auf Alfresco DMS aufgebaut, vor allem der – in Abbildung 7 zu se- er ein oder mehrere Volumes auf ent- wählten die Entwickler für die aktuelle henden – komfortablen Suche im Archiv. sprechenden Dateisystemen, in denen er Release ein deutlich schlankeres Java- Allerdings hinterlässt sie einen ein wenig die Mails ablegen will. Jetzt beginnt die Fundament. Enkive legt das Archiv in trägen Eindruck. eigentliche Arbeit: Es gilt, sich per Web- einer Mongo DB an und setzt auf Indri Enkive empfängt zu archivierendes Datenmaterial über SMTP-Forwarding (Abbildung 8). Für Postfix liegt ein ent- sprechender Enkive-Socketfilter bei, der für die automatische Weiterleitung aller Mails an das Enkive-Archiv zuständig ist. Laut Entwicklerteam soll es aber auch problemlos auch mit einigen anderen Mailservern funktionieren.

Der Autor Andrej Radonic arbeitet (vor allem rund um Virtuali­ sierung, Cloud und Group- ware) als freier Journalist, Fachbuchautor und Vor- Abbildung 6: Der Mailarchiva-Webclient erlaubt die vollständige Konfiguration, aber auch detaillierte Suche. stand der Intersales AG. 01/2013 Sysadmin Die Maildaten legt es komprimiert, mit Blowfish verschlüsselt sowie signiert im Dateisystem ab und erfüllt damit zentrale juristische Anforderungen an ein Archi- vierungssystem.

User-Berechtigungen für das Web-GUI Mailarchivierung lassen sich per LDAP oder Active Direc- tory implementieren. Die Konsole gestat- 57 tet eine übersichtliche und komfortable Suche (Abbildung 9), ermöglicht das Wühlen in vielen Dateiformaten und bei-

spielsweise auch die Weiterleitung einer www.linux-magazin.de Mail direkt aus dem GUI heraus. Übers GUI kann der Admin zudem Ar- Abbildung 7: Das Enkive-Web-GUI ist übersichtlich, gehört aber nicht zu den flottesten. chivierungsregeln definieren, die bestim- men, wann Piler eine Mail ins Archiv In Enkive selbst kann der Admin über Piler bringt allerdings keinen Installer aufnimmt oder sie verwirft. Die Regeln ein XML-Schema Filter konfigurieren, mit mit, was dazu führt, dass der Admin können auf Betreff-Patterns, aber auch deren Hilfe er entscheidet, welche Mails eine ganze Reihe an Installationsschritten auf Parametern wie Mailgröße oder Da- in das Archiv gelangen. Für die tägliche durchlaufen muss, um alle Komponenten teityp basieren (siehe Abbildung 10). Administration des Archivs, zum Beispiel wie Open SSL, MySQL, einen Webser- In ähnlicher Weise vermag der Admin die Prüfung oder den Neuaufbau des ver mit PHP sowie Libzip zu installieren. Regeln für die Aufbewahrungsdauer zu Indri-Volltextindex, steht eine Handvoll Zwar vereinfacht die Aufgabe, dass es definieren. Ausgehend von denselben Pa- interaktiver Bash-Skripte zur Verfügung, sich ausschließlich um Standardpakete rametern legt er dabei fest, nach welcher ein Beispiel zeigt Listing 1. handelt, aber ein wenig Geduld ist schon Zeitdauer Piler die betreffenden Mails aus Enkive ist schlank und recht einfach in erforderlich: Das Piler-Binary muss der dem Archiv entfernt. den Griff zu bekommen, glänzt aber nicht Admin kompilieren, die Konfigurations- Piler macht einen durchdachten Ein- durch großartigen Funktionsumfang. datei editieren, einen Encryption-Key er- druck. Wer sich durch das etwas langwie- Hierzulande wiegt aber noch schwerer, zeugen, das Datenbankschema anlegen, rige Setup nicht abschrecken lässt, findet dass es zentrale Themen wie Revisions- das Suchsystem Sphinx aufsetzen und ein umfassendes und dabei schlankes sicherheit fast komplett links liegen lässt. konfigurieren. System vor, das viele Anforderungen an Da das Projekt noch am Anfang steht, ist Hat er so die Grundlagen für das Web-GUI die Mailarchivierung abdeckt. zu hoffen, dass die Weiterentwicklung eingerichtet, kann der Piler-Verwalter da- Enkive zügig reifen lässt. ran gehen, den SMTP-Strom anzuzapfen, E Heinlein Elements um das Archiv mit Mails zu bevölkern. Mail-Archiv E Piler Bei einem Postfix-Mailserver genügt da- für schon folgender Eintrag in der Datei Seine Archivierungssoftware für E-Mails Piler bezeichnet sich selbst als „Enterprise »main.cf«: »always_bcc = archive@piler. liefert der Hersteller Heinlein ausschließ- Level E-Mail Archiving Application“. Das meine.Domain«. lich als Appliance, wahlweise als VM in C geschriebene, schlanke und quell­ Pilers Archivierungsmechanismen er- (».ovf«-Datei für VMware ESXi, läuft aber offene Softwareprojekt überrascht an- weisen sich als effektiv und durchdacht: auch auf Xen) oder als Teil einer komplet- gesichts der niedrigen Releasenummer Neben Archivierungs- kann der Sysadmin ten Hardware-Box. Im Kern besteht das 0.1.20 durch eine lange Featureliste [8]. auch Aufbewahrungs-Regeln definieren. System aus Open-Source-Komponenten Piler versteht sich und proprietärer Software und ist als dabei auf die Kom- Blackbox konzipiert: Die Auslieferung er- munikation mit allen folgt mit vorkonfiguriertem Admin-User, gängigen Mailservern. die Erst-Konfiguration geschieht per Text-

Listing 1: »mongodb‑index‑tool.sh«

01 *** Index „attachment_id_index“ does not appear to exist. 02  Options: 03  (c)reate index in the background 04  (c!)reate index in the foreground 05  (s)kip this index 06  (r)eport on other indexes without further prompts 07  (q)uit this program © Enkive LLC © Enkive Abbildung 8: Enkive klinkt sich direkt in den Mailfluss ein. 08  Your choice: 01/2013 Sysadmin chiv im Hinblick auf die Revisionssicher- heit der archivierten Mails (Abbildung 13): Um diese zu gewährleisten, verwen- det es Archi Soft vom Fraun­hofer Institut für sichere Informationstechnologie

Mailarchivierung (SIT), das alle Mails mit Signaturen stem- pelt. Archi Soft bildet dazu Hashbäume 58 aller Dokumente und hasht diese einmal täglich mit dem Zeitstempel eines akkre- ditierten Zeitstempeldienstes. Die auto- matisierte Erneuerung der Signaturen

www.linux-magazin.de sorgt dafür, dass diese auf Basis des ak- tuellen Verschlüsselungsverfahrens sicher und werthaltig bleiben [11]. Audits erfolgen wie bei den anderen Sys- temen übers Web-GUI. Als Besonderheit Abbildung 9: Piler hat ein schlichtes, aber durchaus effektives Web-GUI. zeigt dieses GUI die Verifikationsergeb- nisse direkt an. Sie belegen, inwieweit bei menü auf der Konsole. Alles weitere er- Über flexible Filterregeln steuert der der jeweiligen E-Mail Revisionssicherheit ledigt der Archiv-Admin über das aufge- Admin den zu archivierenden Inhalt (Ab- und Unveränderbarkeit gegeben ist. So räumte Web-GUI (Abbildung 11). Andere bildung 12). Damit kann er Spam- und erhält zum Beispiel ein Dokument, das Zugänge zum System gibt es nicht. irrelevante E-Mails gezielt ausschließen. im Archiv manipuliert wurde, eine rote Die Appliance leistet mehr als nur Mailar- Da Heinlein Mail-Archiv gemäß Herstel- Kennzeichnung. chivierung – an Bord ist ein vollwertiger lerempfehlung stets hinter der Spam- und Heinlein Mail-Archiv verbindet einfa- IMAP-Mailserver samt Webmailer sowie Virenfilterung im Mailsystem des Kunden ches Setup, komfortable Konfiguration integriertem Monitoring. Dazu gehören zu platzieren ist, reduziert sich der Da- und Sicherheit, was die Archivierung und auch ein Antispam- und Antiviren-Paket tenmüll. Alternativ lässt sich Mail-Archiv Rechtssicherheit angeht. Wer die juristi- sowie das Tool Mailtrace [10]. Alle Pro- um die Funktion von Heinleins Antispam schen Ansprüchen erfüllen will, erhält grammteile verwaltet das Web-GUI, sogar ergänzen. ein durchdachtes und solides System. System-Updates lassen sich per Maus- Die Archivierungsregeln – nicht, ein- klick einspielen. Als SMTP-Proxy ist ein fach oder revisionssicher archivieren Fazit Einsatz von Heinlein Mail-Archiv vor – kann der Administrator auf Domain- oder an beliebigen Mailservern möglich. bis hinunter zur User-Ebene definieren. Unternehmen finden in der freien Soft- Das System klinkt sich in den ein- und Die Maildaten legt das System in einer warewelt eine reichhaltige Auswahl ausgehenden Mailverkehr ein und fängt PostgreSQL-Datenbank ab. Über ein in- mächtiger Lösungen für automatisierte den kompletten Datenstrom ab. Damit tegriertes DRBD sorgt es auf Wunsch für Mailarchivierung. Damit sind die Prob- wird der rechtlichen Anforderung Sorge Ausfallsicherheit. leme jedoch noch nicht gelöst. Zur Tech- getragen, alle Dokumente vollständig Weitaus den höchsten Aufwand aller nik müssen sich entsprechende organi- und ohne Verlust abzulegen. Kandidaten treibt das Heinlein Mail-Ar- satorische Regelungen gesellen, um den

Abbildung 10: Flexible Archivierungsregeln bestimmen, welche Mails den Weg ins Abbildung 11: Das Heinlein Elements Mail-Archiv ist ein Komplettsystem und wird Piler-Archiv finden sollen. ausschließlich als Linux-Appliance angeboten. Abbildung 12: Archivierungsregeln lassen sich auch auf Mailbox-Ebene vergeben. rechtlichen Ansprüchen Genüge zu tun. [5] Benno-FAQ: [http://​­www.​­openbenno.​­org/​ Steht die Compliance an oberster Stelle, ­category/​­faq/] so fahren Unternehmen mit den auf deut- [6] Mailarchiva: [http://​­www.​­mailarchiva.​­de] sches Recht hin optimierten Lösungen [7] Enkive: [http://​­www.​­enkive.​­org] von Benno und Heinlein am besten, zu- [8] Piler: [http://​­www.​­mailpiler.​­org] dem sind die Programme durchaus er- [9] Heinlein Mail-Archiv: [http://​­www.​ schwinglich. (mfe) n ­heinlein‑support.​­de/​­mail‑archiv] [10] Markus Feilner, „Postfacharbeiter“: Linux-Magazin 11/​12, S. 32 Infos [11] Fraunhofer-Whitepaper: [1] Agorum: [http://​­www.​­agorum.​­com/​­start- [http://​­sit.​­sit.​­fraunhofer.​­de/​­studies/​­de/​ seite/produkte/​­ zusatzmodule​­ ‑fuer‑agorum ­whitepaper‑archisoft‑2009‑de.​­pdf] ‑core/​­agorum‑core‑mail‑adaptor‑mail- [12] „Alles parat – E-Mails und wichtige Doku­ archivierung‑e‑mails‑archivieren.​­html] mente revisionssicher archivieren“: Titel­ [2] Alfresco und Inovox: [http://​­www.​­alfresco.​ thema Linux-Magazin 08/09, S. 27 bis 44 ­com], [http://​­www.​­inovox.​­de/​­produkte/​ ­‑archivierung/​­features/​­index.​­html] DELUG-DVD [3] Openarchive: [http://​­www.​­openarchive.net]​­ Auf der Delug-DVD finden Sie DELUG-DVD [4] (Open) Benno Mailarchiv: vier der fünf in diesem Artikel beschriebenen [http://​­www.​­benno‑mailarchiv.​­de], Softwarepakete in eigenen Unterverzeichnis- [http://​­www.​­openbenno.​­org] sen, meist als Tar.gz-Archive.

Abbildung 13: Ein vom Fraunhofer Institut entwickeltes Signaturverfahren gewährleistet Revisionssicherheit.