Autor Thema: ---  (Gelesen 9463 mal)

Offline r0xy

  • Frischling
  • *
  • Beiträge: 4
---
« am: 02.10.17 - 09:11:37 »
----
« Letzte Änderung: 28.05.21 - 09:50:37 von r0xy »

Offline Pfefferminz-T

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 1.204
Re: Forensik + E-Mail Header
« Antwort #1 am: 02.10.17 - 11:35:32 »
Also als erstes steht im Log des Servers ob und wann Mails zugestellt werden. Sofern Message Tracking aktiviert ist, kann man es auch darüber prüfen. Und dann gibt es noch die einfache Möglichkeit, aus dem Backup eine zeitgenaue Wiederherstellung (z.Bsp. 12.04.2017 14:49) zu machen, so dass man sehen kann ob das Dokument in der Datenbank war. Bin mir nicht sicher, ob in der EML auch der Zeitstempel (Dokument erstellt) drin ist.

Serialize ist der Schritt der Konvertierung von SMTP -> Notes. Dem Domino Server ist es dabei vollkommen egal, ob die Mail von extern oder von einem internen SMTP-Dienst oder Client kommt.
Grüsse,
Thorsten

Offline r0xy

  • Frischling
  • *
  • Beiträge: 4
Re: Forensik + E-Mail Header
« Antwort #2 am: 02.10.17 - 12:05:36 »
Serialize ist der Schritt der Konvertierung von SMTP -> Notes. Dem Domino Server ist es dabei vollkommen egal, ob die Mail von extern oder von einem internen SMTP-Dienst oder Client kommt.

Danke. Was würde es dann bedeuten, wenn das Datum bei "Serialize" ein späteres ist wie das bei "Itemize"?

Offline Tode

  • Moderatoren
  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 6.883
  • Geschlecht: Männlich
  • Geht nicht, gibt's (fast) nicht... *g*
Re: Forensik + E-Mail Header
« Antwort #3 am: 02.10.17 - 12:08:07 »
Als der Admin die EML exportiert hat, musste sein Client die Mail Serializen, um sie umwandeln zu können. Das ist genau das, was da steht...
Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen... das klingt dann so: "Tooode" (langes O, das r, s und n werden verschluckt, das t wird zum badischen d)

Offline Sven Hasselbach

  • Senior Mitglied
  • ****
  • Beiträge: 316
  • Geschlecht: Männlich
    • blog@hasselba.ch
Re: Forensik + E-Mail Header
« Antwort #4 am: 02.10.17 - 12:46:47 »
Je mehr ich über die Situation nachdenke, desto absurder wird das Kopfkino, was bei Euch da eigentlich los ist...

Die nötige kriminelle Energie und technisches Wissen vorausgesetzt, kann man eMail, deren Empfang und alles weitere Problemlos fälschen, ändern, verschwinden lassen, usw. Insbesondere mit Admin-Zugriff, und auch Zeitstempel sind da kein Problem.

Zeitstempel in NSFs sagen nur sehr wenig über den tatsächlichen Inhalt einer Mail aus (in der analogen Welt: Einschreiben mit Rückschein und leerem Blatt Papier drinne). es gibt auch nur Indizien, daß Benutzer B in seiner MailDB ein Dokument erstellt, geändert oder gelöscht hat. Ist nicht gerade selten in der eigenen Mailbox.

Und Admin A kann auch die Backups "fälschen", wenn er jemandem was unterschieben will.

Letztlich ist Notes von Haus in der typischen Installationsweise nicht revisionssicher; da muß man schon ein bischen mehr Gehirnschmalz reinstecken, und wenn das getan worden wäre, würde man wohl kaum über Zeitstempel in EML-Dateien diskutieren.

P.S.
Wenn die Mail soooooo wichtig war, erkläre Chef A doch mal das "Senden mit Lesebestätigung".

Offline r0xy

  • Frischling
  • *
  • Beiträge: 4
Re: Forensik + E-Mail Header
« Antwort #5 am: 02.10.17 - 14:00:03 »
Als der Admin die EML exportiert hat, musste sein Client die Mail Serializen, um sie umwandeln zu können. Das ist genau das, was da steht...

Das Bedeutet aber, dass die E-Mail aus dem Client des LotusNotes-Admins exportiert wurde und nicht unter der Anmeldung des Mitarbeiter B oder?


Offline Sven Hasselbach

  • Senior Mitglied
  • ****
  • Beiträge: 316
  • Geschlecht: Männlich
    • blog@hasselba.ch
Re: Forensik + E-Mail Header
« Antwort #6 am: 02.10.17 - 14:06:37 »
Zitat
X-MIMETrack: Itemize by SMTP Server on LNSERVER/DOMAIN(Release 8.5.2FP1|November 29, 2010) at
 12.04.2017 14:48:12,
   Serialize by Notes Client on POTUS/WHITEHOUSE/GOV(Release 9.0.1FP10|November
 18, 2021) at 11.06.2017 06:08:56
Content-Type: multipart/mixed;

Sieht mir eher nach Donald Trump aus. Wusste gar nicht, daß die Notes haben im Oval Office...

Offline ronka

  • Senior Mitglied
  • ****
  • Beiträge: 377
  • Was macht der hier denn, muß der überall sein ?
    • das nächste DominoCamp kommt in Juni 2023
Re: Forensik + E-Mail Header
« Antwort #7 am: 02.10.17 - 22:31:17 »
Als der Admin die EML exportiert hat, musste sein Client die Mail Serializen, um sie umwandeln zu können. Das ist genau das, was da steht...

Das Bedeutet aber, dass die E-Mail aus dem Client des LotusNotes-Admins exportiert wurde und nicht unter der Anmeldung des Mitarbeiter B oder?

Das bedeutet das der Admin das email aus einen für ihm zugängliche quelle exportiert hat. Aus welcher Datenbank ist dort (jedenfalls in diesen zeilen) nicht ersichtlich.
Das kann er aus der Empfänger datenbank, aber auch aus der Sender Datenbank gemacht haben.

Um sicher zu stellen das es aus der "richtige" datenbank gewesen ist, hätte er (besser) einen doclink schicken können, damit wäre der Inhalt der doclink (einen textdatei) dann mit den Repliek ID und Document ID versehen gewesen.

Grundsätzlich kann in der Datenbank von User B, WENN DER DAS EMAIL FINDET, gesehen werden WANN das email dort angekommen ist, und zwar über den Dokument eigenschaften. Dort steht wann das Dokument erstellt würde (beim absender), wann das Dokument vom Server empfangen würde (erstellungsdatum), und wann es in den Repliek angekommen ist (hinzugefügt in dieser Datenbank). Wenn die letzte beide identisch sind, heißt dieses das es in den Datenbank als erstes hinzugefügt würde, wenn die beide nicht identisch sind, ist das dokument zuerst in einen andere Datenbank hinzugefügt und danach über replikation in der Datenbank gelandet.


PS.
Sieht mir eher nach Donald Trump aus. Wusste gar nicht, daß die Notes haben im Oval Office...

Clinton & Obama haben beide tatsächlich Notes und Domino verwendet, Bush hat zwischendurch wieder Exchange gemacht, und dabei viele tausenden emails verschwinden lassen. Was Trump tatsächlich verwendet ? Jederfalls haben mehrere seine stab personen ihren Google accounts schon geknackt bekommen.
PPSS. Hilary's private Mailserver war/ist übrigens weiterhin ein Domino System (so sagt wenigstens ein kumpel von mir)
« Letzte Änderung: 02.10.17 - 22:53:31 von ronka »
das neueste von Notes und Domino auf den DominoCamp vom 19 bis 21 Juni 2023 auf www.DominoCamp.de

Offline WildVirus

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 658
  • Geschlecht: Männlich
Re: Forensik + E-Mail Header
« Antwort #8 am: 03.10.17 - 14:57:33 »
@Sven
Wenn die Mail soooooo wichtig war, erkläre Chef A doch mal das "Senden mit Lesebestätigung".
Den P.S.-Vermerk verstehe ich nicht. Was besagt denn die Lesebestätigung ?

Zum einen kann sie unterdrückt werden, zum zweiten sagt der Personalrat, dass das Verhaltenskontrolle ist und zum dritten kann sie ausgelöst werden, ohne dass der Mitarbeiter sie gelesen hat.

Der Name ist nämlich falsch, korrekt wäre "Öffnungsbestätigung". Sie wird ausgelöst, wenn die Mail aufgemacht wird. D.h. nicht, dass sie gelesen wird.

Das ganze Vorgehen von dem Chef und dem Admin ist haarsträubend und inakzeptabel.

CU,
Axel

Offline ronka

  • Senior Mitglied
  • ****
  • Beiträge: 377
  • Was macht der hier denn, muß der überall sein ?
    • das nächste DominoCamp kommt in Juni 2023
Re: Forensik + E-Mail Header
« Antwort #9 am: 03.10.17 - 19:31:53 »
Eine Zustellungsbestätigung wäre in diesen fall mehr als Ausreichend, aber WENN das email so wichtig war, und der Chef einen Admin einen EML datei erstellen läßt, würde ich mir denken das dieses email von draussen gekommen sein mußte.

Das kann aber nur den r0xy am ende sagen, oder ist WildVirus der gleiche User mit einen zweiten Account `?´
das neueste von Notes und Domino auf den DominoCamp vom 19 bis 21 Juni 2023 auf www.DominoCamp.de

Offline WildVirus

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 658
  • Geschlecht: Männlich
Re: Forensik + E-Mail Header
« Antwort #10 am: 03.10.17 - 20:04:17 »
Hallo Rudi,

kann Dich beruhigen, mit r0xy habe ich nichts zu tun.

Ich kann nur seit ich Notes mache (irgendwann mitter der 90er) nicht verstehen, warum jemand einer Lesebestätigung soviel Bedeutung beimisst.

Wenn ich eine Mail aus dem Eingangsordner offen habe, sie in einen Ordner ablege und direkt meinen Rechner sperre und aus dem Raum gehe, öffnet Notes die nächste Mail im Ordner und löst die Lesebestätigung aus. Ich habe sie nicht gelesen, aber der Empfänger hat eine Nachricht, dass ich sie gelesen habe. Das ist in meinen Augen absoluter Bullshit.

Und wenn mich damit jemand auf irgendetwas "festnageln" will, viel Spaß.

CU,
Axel

Offline ronka

  • Senior Mitglied
  • ****
  • Beiträge: 377
  • Was macht der hier denn, muß der überall sein ?
    • das nächste DominoCamp kommt in Juni 2023
Re: Forensik + E-Mail Header
« Antwort #11 am: 03.10.17 - 23:48:01 »
Hi,

ich sehe es genau so das einen "Lesebestätigung" einen ding ist ohne wirkliche bedeutung, und das ich den genau so ausgeschaltet hatte während meine Arbeitszeit als Arbeitnehmer.

ABER, im Normal fall ist es einen sinnvolle weg zu sehen ob ein mail geöffnet würde, und ja leider ist der Vorschau dies bezüglich schon zu viel.

Deshalb auch meine Meldung mit den Zustellung. Der wird von Server ausgelöst, und damit hat der User noch nichts zu tun.

Dazu bleibt die Frage am r0xy, handelt es sich um einen Interne mail, oder einen von Extern.

Dazu die frage von mir, WENN der Chef meint das es ein wichtige email wäre, woher weiss der davon ?

Gibt es dazu in den Firma von Manager-A Admin-A und Anwender-B einen Betriebsrat ?

Den Datumswerten zu folge dürften bestenfalls mittels backup an den Log's dran gekommen werden, es sind ja schon mehrere monaten her. Ob das überhaupt noch gewollt ist so Tief zu graben ?

So viele Fragen die nur den r0xy beantworten könnte.

PS. Wie du weisst mache ich seit 1992 Notes, und damit habe ich mich über mehr als 2 Jahrzehnten ins detail beschäftigt, ich weiss wo die macken und stärken des Systems sind, und habe auch schon mehrfach ähnliche (wenn nicht identische) Forensik machen müssen. Etwa was Jedes mal übrigens bis zur entlastung der "beschuldigten" gefuhrt hat, die aber Trotzdem dann deren Job los waren, entweder gewollt mit einen Abfindung, oder ungewollt ohne Abfindung. Es gibt in solche fällen eigentlich keine gewinner.
das neueste von Notes und Domino auf den DominoCamp vom 19 bis 21 Juni 2023 auf www.DominoCamp.de

Offline r0xy

  • Frischling
  • *
  • Beiträge: 4
Re: Forensik + E-Mail Header
« Antwort #12 am: 04.10.17 - 07:27:52 »
Hallo zusammen,

vielen Dank, ihr habt mir sehr geholfen, da erst einmal zu verstehen.

Liebe Grüße
Martin

Offline Sven Hasselbach

  • Senior Mitglied
  • ****
  • Beiträge: 316
  • Geschlecht: Männlich
    • blog@hasselba.ch
Re: Forensik + E-Mail Header
« Antwort #13 am: 04.10.17 - 09:44:48 »
Zitat von: WildVirus
Den P.S.-Vermerk verstehe ich nicht. Was besagt denn die Lesebestätigung ?
Sie besagt erstmal gar nichts. Aber wenn ich eine unglaublich wichtige Mail verschicke, die ja anscheinend Konsequenzen für die Firma hat (sonst würde es ja kaum so hochkochen), dann hätte der Chef im Vorfeld eine Info gehabt, ob Mitarbeiter B die Mail erhalten hat und ggf. zum Telefonhörer gegriffen, um dem Mitarbeiter mitzuteilen, dass da was wichtiges zu tun oder zu lassen ist - und nicht zwei Monate später vor dem Problem gestanden, dass Mitarbeiter B sie nicht beachtet hat. Chef A hat also seinen Job nicht richtig gemacht, und will wahrscheinlich alles auf den Mitarbeiter B abwälzen...

Eine Empfangsbestätigung ist übrigens keine Verhaltenskontrolle, wenn sie nur bei bestimmten Mails aktiviert ist (analog dazu: Nachhaken bei jemanden, ob er etwas bereits erledigt hat, ist nur dann Verhaltenskontrolle, wenn man das bei jedem Schritt tut).

Zitat von: ronka
habe auch schon mehrfach ähnliche (wenn nicht identische) Forensik machen müssen
Die Forensik ist halt auch etwas umfangreicher, als mal den internen Admin und einer revisions-unsicheren Umgebung in die Logs schauen zu lassen, und in die Mail DB des Mitarbeiters rein zu gucken (garniert mit nem EML-Export einer Mail... Setzen , 6!).
Was sollen die Logs den auch Aussagen? Das da ne Mail kam?

Und wie schon geschrieben: N bischen kriminelle Energie, und die Datumsstempel sind nichts mehr wert - einfach mal ne VM starten, das Datum "anpassen" und die nötigen IDs zu Hand nehmen, und - tadaa - Logs und Mailfiles passen zur jeweiligen gewünschten Aussage. Dann halt noch die Backups "modifizieren"...

Zitat von: ronka
WENN das email so wichtig war, und der Chef einen Admin einen EML datei erstellen läßt, würde ich mir denken das dieses email von draussen gekommen sein mußte.
Wenn daß der Fall wäre, hätte man wohl ne Mail vom Absender, denn der wird ja wohl mitgeteilt haben, daß er ne Mail geschickt hat, und diese ggf. auch vorlegen. Dann würde die Forensik auch Sinn machen. Hier sieht es doch eher so aus, als hätte der Chef eine wichtige Anweisung erteilt ("Gebäude nicht abreißen" / "Einkauf stoppen!" / whatever), und der Admin wollte die Mail zum Beweis aus dem Mailfile exportieren.


 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz