Mailbox Audit Log
Hallo zusammen,
Bei aktivierter Postfachüberwachung (Mailbox Auditing) für ein Postfach werden im Postfachüberwachungsprotokoll Informationen protokolliert, wenn ein Benutzer, bei dem es sich nicht um den Besitzer des Postfachs handelt, auf das Postfach zugreift. Jeder Protokolleintrag enthält Angaben zur zugreifenden Person und zur Zugriffszeit, zu den Aktionen, die der Nicht-Besitzer ausgeführt hat, sowie zum Status der Aktion. Einträge im Postfachüberwachungsprotokoll werden standardmäßig für 90 Tage beibehalten. Mithilfe des Postfachüberwachungsprotokolls können Sie feststellen, ob auf ein Postfach von einer Person zugegriffen wurde, bei der es sich nicht um den Besitzer des Postfachs handelt.
Um das Mailbox Auditing zu demonstrieren, habe ich mir auf einer Shared Mailbox FullAccess und SendAs Rechte vergeben.
So sieht ein Mail mit Send-As Rechten aus.
Anschliessend habe ich das SendAS Recht entfernt und mir SendOnBehalf Rechte gegeben
So sieht ein Mail mit Send-On-Behalf aus.
$Result = Search-MailboxAuditLog -Identity sharedmbx@icewolf.ch -LogonTypes Admin,Delegate -StartDate 08/24/2020 -EndDate 08/31/2020 -ShowDetails
$Result | fl Operation, OperationResult,LogonType, LogonUserDisplayName, ItemSubject, ClientIP, ItemInternetMessageId, LastAccessed
Die Mailbox Audit Logs kann man auch im Exchange Admin Center über ein GUI rausholen. Der Empfänger erhält dann ein XML File.
Exportieren von postfachüberwachungsprotokollen in Exchange Online
https://docs.microsoft.com/de-de/exchange/security-and-compliance/exchange-auditing-reports/export-mailbox-audit-logs?redirectedfrom=MSDN
