s.mihai Asked: 2009-06-24 09:59:05 +0800 CST2009-06-24 09:59:05 +0800 CST 2009-06-24 09:59:05 +0800 CST 监控传出/传入电子邮件 772 您是否知道我可以在我们的计算机上安装任何免费软件,以便静默记录(到文件夹或转发到另一个电子邮件地址)所有从该计算机接收/发送的电子邮件?这个想法是将所有电子邮件存储到一个文件夹中,然后将数据解析为存档。 我想监控 POP3 和 SMTP(因为 webmail 被禁止)。 最好的问候,迈克。 更新: 我想在客户端上安装它(Windows XP Professional) windows email monitoring smtp pop3 6 个回答 Voted Bill Weiss 2009-06-24T11:28:57+08:002009-06-24T11:28:57+08:00 如果机器都在一个网络上,那么最好通过网络分接头来完成。为什么? 用户不能删除软件 你不知道的机器都被覆盖了 用户无法删除日志 磁盘崩溃(在客户端上)无法破坏您的日志 重新安装不会破坏您的日志 用户无法通过引导 CD 或您拥有的东西来解决问题 等等。 使用 tcpdump 捕获端口 25/110/etc 然后进行一些后期处理一点也不难。 Avery Payne 2009-06-24T22:01:26+08:002009-06-24T22:01:26+08:00 这是您的 MTA 的一项功能。几乎所有 MTA 都具有密件抄送功能,可以转发通过相关系统的每封电子邮件的副本或发送电子邮件。将此与额外的过滤相结合,您就有了一个基本的审计系统。唯一不起作用的情况是当电子邮件通过直接连接(防火墙 NAT、代理等)发送到其他人的邮件服务器时。 即使没有要控制的 MTA,您也可以找到将 BCC 发送到另一个地址的电子邮件客户端,作为其功能的一部分。并且通常有电子邮件文件夹的本地缓存副本,可以在员工的计算机上检索和检查。 在您开始执行此操作之前,您需要检查您所在国家和司法管辖区的合法性,因为在某些地方,这显然是非法的,可能会导致对您提出相当恶劣的指控。 即使在美国,数据网络几乎是雇主的财产,并受到雇主的严格控制,但仍有一些州要求向员工披露他们的活动可以并且将受到监控。不披露这一点通常不会导致刑事指控,但可能会让你陷入巨额的民事诉讼中。即使数据网络属于雇主(并被视为他们的财产,可以随意使用),但在某些情况下您可能会侵犯员工的隐私,这是您不想走的路原因。在继续之前请仔细考虑此操作。 如果你最终入狱或被提起民事诉讼,好吧,你被警告了。我不对结果负责。 Evan Anderson 2009-06-24T11:51:32+08:002009-06-24T11:51:32+08:00 听起来您正在尝试(a)过度设计它,(b)靠“便宜”过日子,或者(c)对那些没有意识到他们的流量被记录的人做一些讨厌的事情。 我严重怀疑您是否会为您正在寻找的东西找到现成的解决方案。任何商业产品都将针对部署在网络阻塞点,而不是您所描述的网络边缘。(基本上,您正在寻找一个分布式的“Carnivore”电子邮件点击系统。) 在一个瓶颈点,类似“smtp-gated”代理(参见http://smtp-proxy.klolik.org/)可以用来记录电子邮件消息(可能通过填充其病毒扫描界面)。POP3 可能有一些类似的东西,但我没有想出任何东西。如果您不想透明地进行操作,那么这会带来更多的可能性。 您可以与编码人员签订合同,编写一些客户端 SMTP 和 POP3 代理 shim 来完成您正在寻找的工作。要透明地做到这一点,将涉及在网络驱动程序堆栈中进行一些相当低级的处理。要做到这一点,您只需将传出的 SMTP 和 POP3 指向“localhost”,并使用适当的 POP3 和 SMTP 服务器配置代理软件,以便在连接进入 localhost 时连接到该服务器。本地代理将实现一个 POP3 和 SMTP 状态机,允许捕获通过代理的消息。 如果这一切都是针对单个域完成的,您可能会考虑从 Google Postini ( http://www.google.com/postini/ ) 之类的人那里注册电子邮件归档服务,然后通过它们路由所有传入和传出的邮件,它将被存档的地方。 samt 2009-07-05T04:46:28+08:002009-07-05T04:46:28+08:00 要求 存档所有传入/传出的电子邮件交换 在工作站上安装 (Windows XP) 听起来好像您的目标机器可能是移动的,需要基于主机的解决方案? 存档电子邮件 任何邮件服务器都应该能够满足您的归档要求(即至少允许将电子邮件的抄送方向发送到其他内部邮箱。)对于 Windows LAN,有大量的 Freeish 邮件服务器,类似hMailserver的东西可能能够满足您的需求. Bill Weiss指出了 Postfix。 对于 3 到 5 个用户(您可能无法控制您的邮件服务器)的小型网络,使用Gmail / Google Apps for business等托管服务将为您提供归档要求,并具有人们可以从任何地方连接的灵活性. 但这确实是有代价的。Postini 至少有 100 个用户。 在工作站上 正如Avery Pain所指出的,这通常是您的邮件客户端 (MTA) 的“功能”。对于免费的客户端,例如 Mozilla Thunderbird,这可以通过以下方式完成: 盲抄本(在帐户设置 | 副本和文件夹中); 过滤规则将所有传入邮件复制到上面的密件抄送文件夹 但是你知道用户可以改变这一点。您可以有一个“服务”来检查上述设置并在更改时恢复到适当的设置? 加密邮件流量 如果您的任何员工在办公室外使用他们的 Windows XP Pro 机器,您应该要求他们的邮件在邮件客户端和邮件服务器之间进行加密。如果您不在自己的场所托管自己的邮件服务器,则至少应要求对邮件流量进行加密。默认情况下,Gmail 等托管服务会执行此操作(pop 和 smtp。) 加密邮件流量无疑使“监听/监控”概念更具挑战性。只需查看流量/将其转储到文件并稍后读取(例如 tcpdump),就会在您的档案中生成精美的加密数据。 价值主张 根据在本地安装邮件服务器的程度/难度(即它是否需要新机器、许可证等),可能最具成本效益的解决方案是使用托管服务,例如美元10.00 美元/月 (Google) 或 20 美元~50 美元/年 ( pobox.com ) 一个帐户。每年只需 200.00 美元即可满足您的所有归档要求! 如果您提供存档服务作为服务/法规遵从性的一部分,那么您可能需要与托管服务提供商一起审查隐私等方面的 SLA。人。 Kevin Kuphal 2009-06-24T11:00:38+08:002009-06-24T11:00:38+08:00 如果您在您的环境中使用托管交换机,则可以使用交换机的端口镜像功能,使用 Wireshark 之类的嗅探器捕获该计算机生成的所有流量。您可以将输入捕获限制为 SMTP 或 POP3,它将捕获通过这些端口传输的所有数据。 如果您正在寻找要在计算机上安装的东西,请查看Sonar之类的产品,它可以满足您的需求。 John Gardeniers 2009-07-17T04:34:49+08:002009-07-17T04:34:49+08:00 我建议到目前为止最简单的方法是为这两种协议设置代理并将其配置为保存每条消息的副本。我不知道合适的产品,但我确信有可用的数量。 如果您在每个工作站上安装一个应用程序,您只会为自己创建更多的工作,结果令人怀疑。
如果机器都在一个网络上,那么最好通过网络分接头来完成。为什么?
等等。
使用 tcpdump 捕获端口 25/110/etc 然后进行一些后期处理一点也不难。
这是您的 MTA 的一项功能。几乎所有 MTA 都具有密件抄送功能,可以转发通过相关系统的每封电子邮件的副本或发送电子邮件。将此与额外的过滤相结合,您就有了一个基本的审计系统。唯一不起作用的情况是当电子邮件通过直接连接(防火墙 NAT、代理等)发送到其他人的邮件服务器时。
即使没有要控制的 MTA,您也可以找到将 BCC 发送到另一个地址的电子邮件客户端,作为其功能的一部分。并且通常有电子邮件文件夹的本地缓存副本,可以在员工的计算机上检索和检查。
在您开始执行此操作之前,您需要检查您所在国家和司法管辖区的合法性,因为在某些地方,这显然是非法的,可能会导致对您提出相当恶劣的指控。 即使在美国,数据网络几乎是雇主的财产,并受到雇主的严格控制,但仍有一些州要求向员工披露他们的活动可以并且将受到监控。不披露这一点通常不会导致刑事指控,但可能会让你陷入巨额的民事诉讼中。即使数据网络属于雇主(并被视为他们的财产,可以随意使用),但在某些情况下您可能会侵犯员工的隐私,这是您不想走的路原因。在继续之前请仔细考虑此操作。
如果你最终入狱或被提起民事诉讼,好吧,你被警告了。我不对结果负责。
听起来您正在尝试(a)过度设计它,(b)靠“便宜”过日子,或者(c)对那些没有意识到他们的流量被记录的人做一些讨厌的事情。
我严重怀疑您是否会为您正在寻找的东西找到现成的解决方案。任何商业产品都将针对部署在网络阻塞点,而不是您所描述的网络边缘。(基本上,您正在寻找一个分布式的“Carnivore”电子邮件点击系统。)
在一个瓶颈点,类似“smtp-gated”代理(参见http://smtp-proxy.klolik.org/)可以用来记录电子邮件消息(可能通过填充其病毒扫描界面)。POP3 可能有一些类似的东西,但我没有想出任何东西。如果您不想透明地进行操作,那么这会带来更多的可能性。
您可以与编码人员签订合同,编写一些客户端 SMTP 和 POP3 代理 shim 来完成您正在寻找的工作。要透明地做到这一点,将涉及在网络驱动程序堆栈中进行一些相当低级的处理。要做到这一点,您只需将传出的 SMTP 和 POP3 指向“localhost”,并使用适当的 POP3 和 SMTP 服务器配置代理软件,以便在连接进入 localhost 时连接到该服务器。本地代理将实现一个 POP3 和 SMTP 状态机,允许捕获通过代理的消息。
如果这一切都是针对单个域完成的,您可能会考虑从 Google Postini ( http://www.google.com/postini/ ) 之类的人那里注册电子邮件归档服务,然后通过它们路由所有传入和传出的邮件,它将被存档的地方。
要求
听起来好像您的目标机器可能是移动的,需要基于主机的解决方案?
存档电子邮件
任何邮件服务器都应该能够满足您的归档要求(即至少允许将电子邮件的抄送方向发送到其他内部邮箱。)对于 Windows LAN,有大量的 Freeish 邮件服务器,类似hMailserver的东西可能能够满足您的需求. Bill Weiss指出了 Postfix。
对于 3 到 5 个用户(您可能无法控制您的邮件服务器)的小型网络,使用Gmail / Google Apps for business等托管服务将为您提供归档要求,并具有人们可以从任何地方连接的灵活性. 但这确实是有代价的。Postini 至少有 100 个用户。
在工作站上
正如Avery Pain所指出的,这通常是您的邮件客户端 (MTA) 的“功能”。对于免费的客户端,例如 Mozilla Thunderbird,这可以通过以下方式完成:
但是你知道用户可以改变这一点。您可以有一个“服务”来检查上述设置并在更改时恢复到适当的设置?
加密邮件流量
如果您的任何员工在办公室外使用他们的 Windows XP Pro 机器,您应该要求他们的邮件在邮件客户端和邮件服务器之间进行加密。如果您不在自己的场所托管自己的邮件服务器,则至少应要求对邮件流量进行加密。默认情况下,Gmail 等托管服务会执行此操作(pop 和 smtp。)
加密邮件流量无疑使“监听/监控”概念更具挑战性。只需查看流量/将其转储到文件并稍后读取(例如 tcpdump),就会在您的档案中生成精美的加密数据。
价值主张
根据在本地安装邮件服务器的程度/难度(即它是否需要新机器、许可证等),可能最具成本效益的解决方案是使用托管服务,例如美元10.00 美元/月 (Google) 或 20 美元~50 美元/年 ( pobox.com ) 一个帐户。每年只需 200.00 美元即可满足您的所有归档要求!
如果您提供存档服务作为服务/法规遵从性的一部分,那么您可能需要与托管服务提供商一起审查隐私等方面的 SLA。人。
如果您在您的环境中使用托管交换机,则可以使用交换机的端口镜像功能,使用 Wireshark 之类的嗅探器捕获该计算机生成的所有流量。您可以将输入捕获限制为 SMTP 或 POP3,它将捕获通过这些端口传输的所有数据。
如果您正在寻找要在计算机上安装的东西,请查看Sonar之类的产品,它可以满足您的需求。
我建议到目前为止最简单的方法是为这两种协议设置代理并将其配置为保存每条消息的副本。我不知道合适的产品,但我确信有可用的数量。
如果您在每个工作站上安装一个应用程序,您只会为自己创建更多的工作,结果令人怀疑。