AtNotes Übersicht Willkommen Gast. Bitte einloggen oder registrieren.
18.10.17 - 09:37:52
Übersicht Hilfe Regeln Glossar Suche Einloggen Registrieren
News:
Schnellsuche:
+  Das Notes Forum
|-+  Lotus Notes / Domino 8
| |-+  ND8: Administration & Userprobleme (Moderatoren: Axel, Thomas Schulte, koehlerbv)
| | |-+  Forensik + E-Mail Header
« vorheriges nächstes »
Seiten: [1] Nach unten Drucken
Autor Thema: Forensik + E-Mail Header  (Gelesen 541 mal)
r0xy
Frischling
*
Offline Offline

Beiträge: 4


« am: 02.10.17 - 09:11:37 »

Guten Morgen zusammen,

ich bin ein Neuling auf dem Gebiet Lotus Notes und betreue es seit kurzem mit (Lernphase).
Nun stehe ich vor einer kleinen Aufgabe und möchte die wie folgt beschreiben.

Chef A, und LN-Administrator A können beide Mitarbeiter B nicht wirklich leiden Smiley

Mitarbeiter B behauptet, dass er eine sehr wichtige E-Mail nicht erhalten hat. Das Glaubt Chef A nicht und fragt den LN-Admin A.
LN-Admin A reagiert nach einiger Zeit und behauptet, dass die E-Mail angekommen ist und hängt diese als *.EML Datei an Chef A an.

Dem Header entnehme ich nun

Zitat
X-MIMETrack: Itemize by SMTP Server on LNSERVER/DOMAIN(Release 8.5.2FP1|November 29, 2010) at
 12.04.2017 14:48:12,
   Serialize by Notes Client on LN-ADMIN/MUNICH/DOMAIN(Release 8.5.2FP4|November
 18, 2011) at 11.06.2017 06:08:56
Content-Type: multipart/mixed;


Laut dem Header wurde die E-Mail am 12.04.2017 14:48:1 zugestellt. Was aber bedeutet "Serialize"? Das Datum liegt schon etwas in der Zukunft und enthält den Namen des LN-Admins

Laut www-01.ibm.com/support/docview.wss?uid=swg27002572 heißt es "takes an Internet mail message". Bedeutet "Internet" in dem Fall eine E-Mail von einem externen Server oder kann das auch ein "interner" Server z.B. ein lokaler SMTP sein?
Den Punkt "Serialize" verstehe ich leider nicht ganz.

Die Zweite Frage wäre nunmehr, kann man so eine E-Mail nachträglich mit abgeänderten Daten (früheres Datum) dem Mitarbeiter B unterschieben?

Zum Schluss wäre für mich noch interessant, ob sich feststellen lassen kann, ob eine Notes-Datenbank des Mitarbeiter B dahingehend geprüft werden kann, ob hier E-Mails nachträgl. also, nach dem 12.04.2107 hinzugefügt, wiederhergestellt, gelöscht oder andere Einstellungen vorgenommen wurden etc.

Ich bedanke mich bereits jetzt für eure Bemühungen. Ihr würdet mir als Anfänger sehr helfen.

Grüße
Martin
« Letzte Änderung: 02.10.17 - 10:09:53 von r0xy » Gespeichert
Pfefferminz-T
Gold Platin u.s.w. member:)
*****
Offline Offline

Beiträge: 946


« Antworten #1 am: 02.10.17 - 11:35:32 »

Also als erstes steht im Log des Servers ob und wann Mails zugestellt werden. Sofern Message Tracking aktiviert ist, kann man es auch darüber prüfen. Und dann gibt es noch die einfache Möglichkeit, aus dem Backup eine zeitgenaue Wiederherstellung (z.Bsp. 12.04.2017 14:49) zu machen, so dass man sehen kann ob das Dokument in der Datenbank war. Bin mir nicht sicher, ob in der EML auch der Zeitstempel (Dokument erstellt) drin ist.

Serialize ist der Schritt der Konvertierung von SMTP -> Notes. Dem Domino Server ist es dabei vollkommen egal, ob die Mail von extern oder von einem internen SMTP-Dienst oder Client kommt.
Gespeichert

Grüsse,
Thorsten
r0xy
Frischling
*
Offline Offline

Beiträge: 4


« Antworten #2 am: 02.10.17 - 12:05:36 »

Serialize ist der Schritt der Konvertierung von SMTP -> Notes. Dem Domino Server ist es dabei vollkommen egal, ob die Mail von extern oder von einem internen SMTP-Dienst oder Client kommt.

Danke. Was würde es dann bedeuten, wenn das Datum bei "Serialize" ein späteres ist wie das bei "Itemize"?
Gespeichert
Tode
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 5785


Geht nicht, gibt's (fast) nicht... *g*


« Antworten #3 am: 02.10.17 - 12:08:07 »

Als der Admin die EML exportiert hat, musste sein Client die Mail Serializen, um sie umwandeln zu können. Das ist genau das, was da steht...
Gespeichert

Gruss
Torsten (Tode)

P.S.: Da mein Nickname immer mal wieder für Verwirrung sorgt: Tode hat NICHTS mit Tod zu tun. So klingt es einfach, wenn ein 2- Jähriger versucht "Torsten" zu sagen...

Mit jedem Tag meines Lebens erhöht sich zwangsweise die Zahl derer...
... denen ich am AdminCamp ein Bier schulde... Wenn ich hier jemanden angehe: Das ist nie persönlich, sondern immer gegen die "Sparwut" der Firmen gedacht, die ungeschultes Personal in die Administration unternehmenskritischer Systeme werfen... Sprecht mich einfach am AdminCamp an, ich zahle gerne zur "Wiedergutmachung" das ein oder andere Bierchen an der Bar
Sven Hasselbach
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 292



WWW
« Antworten #4 am: 02.10.17 - 12:46:47 »

Je mehr ich über die Situation nachdenke, desto absurder wird das Kopfkino, was bei Euch da eigentlich los ist...

Die nötige kriminelle Energie und technisches Wissen vorausgesetzt, kann man eMail, deren Empfang und alles weitere Problemlos fälschen, ändern, verschwinden lassen, usw. Insbesondere mit Admin-Zugriff, und auch Zeitstempel sind da kein Problem.

Zeitstempel in NSFs sagen nur sehr wenig über den tatsächlichen Inhalt einer Mail aus (in der analogen Welt: Einschreiben mit Rückschein und leerem Blatt Papier drinne). es gibt auch nur Indizien, daß Benutzer B in seiner MailDB ein Dokument erstellt, geändert oder gelöscht hat. Ist nicht gerade selten in der eigenen Mailbox.

Und Admin A kann auch die Backups "fälschen", wenn er jemandem was unterschieben will.

Letztlich ist Notes von Haus in der typischen Installationsweise nicht revisionssicher; da muß man schon ein bischen mehr Gehirnschmalz reinstecken, und wenn das getan worden wäre, würde man wohl kaum über Zeitstempel in EML-Dateien diskutieren.

P.S.
Wenn die Mail soooooo wichtig war, erkläre Chef A doch mal das "Senden mit Lesebestätigung".
Gespeichert

r0xy
Frischling
*
Offline Offline

Beiträge: 4


« Antworten #5 am: 02.10.17 - 14:00:03 »

Als der Admin die EML exportiert hat, musste sein Client die Mail Serializen, um sie umwandeln zu können. Das ist genau das, was da steht...

Das Bedeutet aber, dass die E-Mail aus dem Client des LotusNotes-Admins exportiert wurde und nicht unter der Anmeldung des Mitarbeiter B oder?

Gespeichert
Sven Hasselbach
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 292



WWW
« Antworten #6 am: 02.10.17 - 14:06:37 »

Zitat
X-MIMETrack: Itemize by SMTP Server on LNSERVER/DOMAIN(Release 8.5.2FP1|November 29, 2010) at
 12.04.2017 14:48:12,
   Serialize by Notes Client on POTUS/WHITEHOUSE/GOV(Release 9.0.1FP10|November
 18, 2021) at 11.06.2017 06:08:56
Content-Type: multipart/mixed;

Sieht mir eher nach Donald Trump aus. Wusste gar nicht, daß die Notes haben im Oval Office...
Gespeichert

ronka
Aktives Mitglied
***
Offline Offline

Beiträge: 105


Was macht der hier denn, muß der überall sein ?


WWW
« Antworten #7 am: 02.10.17 - 22:31:17 »

Als der Admin die EML exportiert hat, musste sein Client die Mail Serializen, um sie umwandeln zu können. Das ist genau das, was da steht...

Das Bedeutet aber, dass die E-Mail aus dem Client des LotusNotes-Admins exportiert wurde und nicht unter der Anmeldung des Mitarbeiter B oder?

Das bedeutet das der Admin das email aus einen für ihm zugängliche quelle exportiert hat. Aus welcher Datenbank ist dort (jedenfalls in diesen zeilen) nicht ersichtlich.
Das kann er aus der Empfänger datenbank, aber auch aus der Sender Datenbank gemacht haben.

Um sicher zu stellen das es aus der "richtige" datenbank gewesen ist, hätte er (besser) einen doclink schicken können, damit wäre der Inhalt der doclink (einen textdatei) dann mit den Repliek ID und Document ID versehen gewesen.

Grundsätzlich kann in der Datenbank von User B, WENN DER DAS EMAIL FINDET, gesehen werden WANN das email dort angekommen ist, und zwar über den Dokument eigenschaften. Dort steht wann das Dokument erstellt würde (beim absender), wann das Dokument vom Server empfangen würde (erstellungsdatum), und wann es in den Repliek angekommen ist (hinzugefügt in dieser Datenbank). Wenn die letzte beide identisch sind, heißt dieses das es in den Datenbank als erstes hinzugefügt würde, wenn die beide nicht identisch sind, ist das dokument zuerst in einen andere Datenbank hinzugefügt und danach über replikation in der Datenbank gelandet.


PS.
Sieht mir eher nach Donald Trump aus. Wusste gar nicht, daß die Notes haben im Oval Office...

Clinton & Obama haben beide tatsächlich Notes und Domino verwendet, Bush hat zwischendurch wieder Exchange gemacht, und dabei viele tausenden emails verschwinden lassen. Was Trump tatsächlich verwendet ? Jederfalls haben mehrere seine stab personen ihren Google accounts schon geknackt bekommen.
PPSS. Hilary's private Mailserver war/ist übrigens weiterhin ein Domino System (so sagt wenigstens ein kumpel von mir)
« Letzte Änderung: 02.10.17 - 22:53:31 von ronka » Gespeichert
WildVirus
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 624



« Antworten #8 am: 03.10.17 - 14:57:33 »

@Sven
Wenn die Mail soooooo wichtig war, erkläre Chef A doch mal das "Senden mit Lesebestätigung".
Den P.S.-Vermerk verstehe ich nicht. Was besagt denn die Lesebestätigung ?

Zum einen kann sie unterdrückt werden, zum zweiten sagt der Personalrat, dass das Verhaltenskontrolle ist und zum dritten kann sie ausgelöst werden, ohne dass der Mitarbeiter sie gelesen hat.

Der Name ist nämlich falsch, korrekt wäre "Öffnungsbestätigung". Sie wird ausgelöst, wenn die Mail aufgemacht wird. D.h. nicht, dass sie gelesen wird.

Das ganze Vorgehen von dem Chef und dem Admin ist haarsträubend und inakzeptabel.

CU,
Axel
Gespeichert
ronka
Aktives Mitglied
***
Offline Offline

Beiträge: 105


Was macht der hier denn, muß der überall sein ?


WWW
« Antworten #9 am: 03.10.17 - 19:31:53 »

Eine Zustellungsbestätigung wäre in diesen fall mehr als Ausreichend, aber WENN das email so wichtig war, und der Chef einen Admin einen EML datei erstellen läßt, würde ich mir denken das dieses email von draussen gekommen sein mußte.

Das kann aber nur den r0xy am ende sagen, oder ist WildVirus der gleiche User mit einen zweiten Account `?´
Gespeichert
WildVirus
Gold Platin u.s.w. member:)
*****
Offline Offline

Geschlecht: Männlich
Beiträge: 624



« Antworten #10 am: 03.10.17 - 20:04:17 »

Hallo Rudi,

kann Dich beruhigen, mit r0xy habe ich nichts zu tun.

Ich kann nur seit ich Notes mache (irgendwann mitter der 90er) nicht verstehen, warum jemand einer Lesebestätigung soviel Bedeutung beimisst.

Wenn ich eine Mail aus dem Eingangsordner offen habe, sie in einen Ordner ablege und direkt meinen Rechner sperre und aus dem Raum gehe, öffnet Notes die nächste Mail im Ordner und löst die Lesebestätigung aus. Ich habe sie nicht gelesen, aber der Empfänger hat eine Nachricht, dass ich sie gelesen habe. Das ist in meinen Augen absoluter Bullshit.

Und wenn mich damit jemand auf irgendetwas "festnageln" will, viel Spaß.

CU,
Axel
Gespeichert
ronka
Aktives Mitglied
***
Offline Offline

Beiträge: 105


Was macht der hier denn, muß der überall sein ?


WWW
« Antworten #11 am: 03.10.17 - 23:48:01 »

Hi,

ich sehe es genau so das einen "Lesebestätigung" einen ding ist ohne wirkliche bedeutung, und das ich den genau so ausgeschaltet hatte während meine Arbeitszeit als Arbeitnehmer.

ABER, im Normal fall ist es einen sinnvolle weg zu sehen ob ein mail geöffnet würde, und ja leider ist der Vorschau dies bezüglich schon zu viel.

Deshalb auch meine Meldung mit den Zustellung. Der wird von Server ausgelöst, und damit hat der User noch nichts zu tun.

Dazu bleibt die Frage am r0xy, handelt es sich um einen Interne mail, oder einen von Extern.

Dazu die frage von mir, WENN der Chef meint das es ein wichtige email wäre, woher weiss der davon ?

Gibt es dazu in den Firma von Manager-A Admin-A und Anwender-B einen Betriebsrat ?

Den Datumswerten zu folge dürften bestenfalls mittels backup an den Log's dran gekommen werden, es sind ja schon mehrere monaten her. Ob das überhaupt noch gewollt ist so Tief zu graben ?

So viele Fragen die nur den r0xy beantworten könnte.

PS. Wie du weisst mache ich seit 1992 Notes, und damit habe ich mich über mehr als 2 Jahrzehnten ins detail beschäftigt, ich weiss wo die macken und stärken des Systems sind, und habe auch schon mehrfach ähnliche (wenn nicht identische) Forensik machen müssen. Etwa was Jedes mal übrigens bis zur entlastung der "beschuldigten" gefuhrt hat, die aber Trotzdem dann deren Job los waren, entweder gewollt mit einen Abfindung, oder ungewollt ohne Abfindung. Es gibt in solche fällen eigentlich keine gewinner.
Gespeichert
r0xy
Frischling
*
Offline Offline

Beiträge: 4


« Antworten #12 am: 04.10.17 - 07:27:52 »

Hallo zusammen,

vielen Dank, ihr habt mir sehr geholfen, da erst einmal zu verstehen.

Liebe Grüße
Martin
Gespeichert
Sven Hasselbach
Senior Mitglied
****
Offline Offline

Geschlecht: Männlich
Beiträge: 292



WWW
« Antworten #13 am: 04.10.17 - 09:44:48 »

Zitat von: WildVirus
Den P.S.-Vermerk verstehe ich nicht. Was besagt denn die Lesebestätigung ?
Sie besagt erstmal gar nichts. Aber wenn ich eine unglaublich wichtige Mail verschicke, die ja anscheinend Konsequenzen für die Firma hat (sonst würde es ja kaum so hochkochen), dann hätte der Chef im Vorfeld eine Info gehabt, ob Mitarbeiter B die Mail erhalten hat und ggf. zum Telefonhörer gegriffen, um dem Mitarbeiter mitzuteilen, dass da was wichtiges zu tun oder zu lassen ist - und nicht zwei Monate später vor dem Problem gestanden, dass Mitarbeiter B sie nicht beachtet hat. Chef A hat also seinen Job nicht richtig gemacht, und will wahrscheinlich alles auf den Mitarbeiter B abwälzen...

Eine Empfangsbestätigung ist übrigens keine Verhaltenskontrolle, wenn sie nur bei bestimmten Mails aktiviert ist (analog dazu: Nachhaken bei jemanden, ob er etwas bereits erledigt hat, ist nur dann Verhaltenskontrolle, wenn man das bei jedem Schritt tut).

Zitat von: ronka
habe auch schon mehrfach ähnliche (wenn nicht identische) Forensik machen müssen
Die Forensik ist halt auch etwas umfangreicher, als mal den internen Admin und einer revisions-unsicheren Umgebung in die Logs schauen zu lassen, und in die Mail DB des Mitarbeiters rein zu gucken (garniert mit nem EML-Export einer Mail... Setzen , 6!).
Was sollen die Logs den auch Aussagen? Das da ne Mail kam?

Und wie schon geschrieben: N bischen kriminelle Energie, und die Datumsstempel sind nichts mehr wert - einfach mal ne VM starten, das Datum "anpassen" und die nötigen IDs zu Hand nehmen, und - tadaa - Logs und Mailfiles passen zur jeweiligen gewünschten Aussage. Dann halt noch die Backups "modifizieren"...

Zitat von: ronka
WENN das email so wichtig war, und der Chef einen Admin einen EML datei erstellen läßt, würde ich mir denken das dieses email von draussen gekommen sein mußte.
Wenn daß der Fall wäre, hätte man wohl ne Mail vom Absender, denn der wird ja wohl mitgeteilt haben, daß er ne Mail geschickt hat, und diese ggf. auch vorlegen. Dann würde die Forensik auch Sinn machen. Hier sieht es doch eher so aus, als hätte der Chef eine wichtige Anweisung erteilt ("Gebäude nicht abreißen" / "Einkauf stoppen!" / whatever), und der Admin wollte die Mail zum Beweis aus dem Mailfile exportieren.

Gespeichert

Seiten: [1] Nach oben Drucken 
« vorheriges nächstes »
Gehe zu:  


Einloggen mit Benutzername, Passwort und Sitzungslänge

Powered by MySQL Powered by PHP Powered by SMF 1.1.21 | SMF © 2006, Simple Machines Prüfe XHTML 1.0 Prüfe CSS
Impressum Atnotes.de - Powered by Syslords Solutions - Datenschutz | Partner: