Le fonctionnement d’ArchiveSink fait appel à deux récepteurs d’événements de transport : OnMessageSubmission et OnPostCategorize. Le premier événement, qui est contrôlé par l’entrée Enable PreCat (sous la sous-clé de Registre HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\A rchiveSink\id_sv\), est activé (à savoir, défini à 0x00000001) par défaut lors de l’installation de l’outil. Le deuxième événement, qui
Fonctionnement
est contrôlé par l’entrée Enable PostCat (sous la même sous-clé), est facultatif. En général, il suffit d’activer l’une des deux entrées, mais elles ne s’excluent pas mutuellement.
Par défaut, lorsque SMTP ou la banque d’informations (IS) soumet un message transitant par le serveur virtuel SMTP sur lequel réside ArchiveSink, l’événement On- MessageSubmission est déclenché. Ce déclenchement se produit une seule fois pour chaque message soumis au système de transport Exchange. Dans ce cas, ArchiveSink capture le message vers un fichier .eml et génère un fichier journal .xml correspondant. La figure 4 illustre un exemple de ce fichier, lequel spécifie clairement les informations d’expéditeur et de destinataire, ainsi qu’une référence croisée vers le fichier .eml associé. Tous les destinataires, y compris les destinataires Cci, sont capturés et indiqués.
Vous pouvez activer l’événement OnPostCategorize en affectant la valeur 0x00000001 à l’entrée Enable PostCat, laquelle est désactivée par défaut. Lorsque le catégoriseur Exchange chargé de déterminer les informations de routage final traite un message adressé à plusieurs destinataires, il oriente le message vers plusieurs instances. Par exemple, si j’adresse un message à deux destinataires (dave@microsoft. com et tony@microsoft.com), le catégoriseur crée deux instances du message, une pour chaque destinataire. Lorsque vous activez l’événement OnPostCategorize, Archive- Sink crée un ensemble de fichiers archive (à savoir, un fichier .eml et un fichier .xml) pour le message, puis crée un ensemble supplémentaire pour chaque instance. Ainsi, mon message vers les deux destinataires distincts aboutit à six fichiers archive, comme l’illustre la figure 5. Les fichiers supplémentaires ont le format de nom de fichier arch_ nombre aléatoire_postcat.eml et arch_nombre aléatoire_ postcat. xml. Notez que les noms diffèrent.
L’événement OnPostCategorize affiche également les destinataires réels au sein d’une liste de distribution (DL), en supposant que le serveur sur lequel s’exécute ArchiveSink développe la liste en question. Toutefois, le comportement par défaut (à savoir, activation uniquement de l’événement OnMessageSubmission) n’affiche pas les membres d’une liste de distribution car ces derniers sont déterminés seulement lors du processus de catégoriseur. Par conséquent, si vous souhaitez une journalisation plus exhaustive et précise, l’activation de la journalisation d’événement OnPost- Categorize est essentielle.
Téléchargez cette ressource
Guide de Sécurité IA et IoT
Compte tenu de l'ampleur des changements que l'IA est susceptible d'entraîner, les organisations doivent élaborer une stratégie pour se préparer à adopter et à sécuriser l'IA. Découvrez dans ce Livre blanc Kaspersky quatre stratégies efficaces pour sécuriser l'IA et l'IoT.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
