© Andrey Kuzmin , 123RF.com
Wenn die Finanzbeamten zur Buchprüfung anrücken, kann froh sein, wer seine E-Mail-Kommunikation effizient und rechtssicher archiviert. Spezielle Lösungen helfen dem Admin dabei. Dieser Artikel vergleicht fünf Softwarelösungen und eine Appliance, die auf freier Software aufbauen.
Handelsbriefe: So stuft der Gesetzgeber mindestens einen großen Teil der E-Mail-Kommunikation ein und sorgt damit für reichlich lästige Regelungen im Unternehmen. Da greifen dann Handels- und Steuerrecht und verpflichten Unternehmen, die Kommunikation für mindestens zehn Jahre vollständig digital zu archivieren – und zwar ein- und ausgehende Mails (siehe Kasten “Rechtsgrundlagen”).
Rechtsgrundlagen
Revisionssichere E-Mail-Archivierung regeln:
- Handelsgesetzbuch §§ 238, 239, 257
- Abgabenordnung (AO) § 147
- Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU)
- Grundsätze ordnungsgemäßer DV-gestützter Speicherbuchführung (GoBS)
- Umsatzsteuergesetz (UStG)
- Bundes- und Landesdatenschutzgesetze (BDSG, LDSG)
- Signaturgesetz § 15
- Gesetz zur Kontrolle und Transparenz im Unternehmen (KonTraG)
- Sarbanes Oxley Act (SOX)
- Basel-II-Richtlinie
Ungeahnte Tiefen
Doch das bringt neben organisatorischen auch einige technische Hürden in die Firma: Viele Mails schlummern in lokalen Postfächern der User. Sind die unstrukturiert abgelegt, lassen sich relevante und nicht relevante Mails nicht ohne Weiteres unterscheiden – im schlimmsten Fall ist Handarbeit notwendig. Damit aber sind die Anforderungen an eine digitale Betriebsprüfung schon nicht mehr erfüllt. Die täglich eingehende Spam-Flut erschwert das Aussortieren zusätzlich und bläht die Datenmengen auf.
Ein technisches Problem stellt die vom Gesetzgeber geforderte Revisionssicherheit dar. Diese besagt im Wesentlichen, dass ein elektronisches Dokument nicht mehr verändert werden darf. Somit muss sich verhindern lassen, dass selbst der allmächtige Root-Benutzer bewusst oder unbewusst Manipulationen vornehmen kann. Ein probates Mittel dazu liefern Kryptographie und Signaturen.
Die Hersteller moderner Archivierungssoftware für E-Mails haben diese Probleme erkannt und treiben einigen Aufwand, um mit ihren Lösungen die typischen Aufgaben und Probleme zu adressieren (Tabelle 1). Sie kümmern sich um das automatisierte dauerhafte Speichern, machen die Inhalte per zentraler Suche schnell auffindbar und sorgen für revisionssichere Ablage der Daten – und versprechen, sich auch an die Gesetzesvorgaben (siehe Kasten “Juristische Rahmenbedingungen für die elektronische Archivierung”) zu halten.
Tabelle 1
Fünf Produkte zur Mailarchivierung im Vergleich 1 = nur Community Edition 2 = nur kommerzielle Versionen
|
(Open) Benno Mailarchiv |
Mailarchiva |
Enkive |
Piler |
Heinlein Elements Mail-Archiv |
|
|---|---|---|---|---|---|
|
Basis |
|||||
|
Version |
2.0 |
v3 |
1.1 |
0.1.20 |
2.1 |
|
Varianten |
Community Edition, kommerzielle Version |
Open Source Edition, Enterprise Edition |
Community Edition |
Open Source Edition |
kommerzielle Version |
|
SaaS-Modell |
über Partner, Hosting Edition |
Hosting Edition |
Cloud Edition (geplant für 2013) |
nein |
nein |
|
Betriebssysteme |
Debian, Ubuntu, SLES, RHEL, UCS |
Windows, Linux, BSD, Solaris, OS X |
Linux |
Linux, BSD, Solaris |
Appliance (VM oder Hardware) |
|
Lizenz |
GPL1 |
GPL |
AGPL |
GPL |
Heinlein Support |
|
Mailserver |
|||||
|
Postfix, Exim, Sendmail, Qmail |
ja |
ja |
ja, jeder SMTP-Server |
ja, jeder SMTP-Server |
ja, jeder SMTP-Server |
|
Microsoft Exchange |
ja |
2000, 2003, 2007, 2010 |
2007, 2010 |
unbekannt |
ja |
|
|
nein |
ja2 |
nein |
nein |
nein |
|
Archivierung |
|||||
|
Mail-Standards |
POP3, IMAP, SMTP, Maildir, Milter |
POP3, IMAP, SMTP, Maildir, Milter |
SMTP, Maildir |
POP3, IMAP, SMTP, Maildir, Milter |
POP3, IMAP, SMTP |
|
Archivierungsregeln |
nein |
ja |
ja |
ja |
ja |
|
Aufbewahrungsregeln |
nein |
ja2 |
ja |
ja |
geplant |
|
Verschlüsselung |
nein |
AES-256 |
nein |
Blowfish |
ja (Fraunhofer) |
|
Nachweis Unverändertheit |
Prüfsummen und Log |
Signatur2 |
nein |
Signatur |
kryptographisch signierte Zeitstempel nach Signaturgesetz |
|
Kompression |
Bzip |
Zip |
nein |
Zlib |
nein |
|
Import |
POP3, IMAP, Maildir |
Maildir, PST, EML, MSG, Exchange, Google |
Maildir, Filedir, Mbox |
EML, Mailbox, PST |
POP3, IMAP, Maildir, Mbox, PST und weitere, konvertiert per SMTP-Stream |
|
Export |
EML |
EML, PDF2 |
Mbox |
EML |
EML, Maildir, Mbox, SQL-Dump |
|
Cluster-Suche |
nein |
ja2 |
ja |
nein |
ja |
|
Mandantenfähig |
Hosting Edition |
ja2 |
ja |
nein |
nein |
|
Deduplizierung |
ja, Mails und Anhänge |
ja, Mails und Anhänge2 |
ja, Mails und Anhänge |
ja, Mails und Anhänge |
nein |
|
CLI |
ja |
ja2 |
nein |
ja |
nein |
|
Client/Suche |
|||||
|
Webclient |
Ajax |
Ajax |
ja |
ja |
ja |
|
Volltextsuche |
ja |
ja |
ja |
ja |
ja |
|
Mehrsprachige Suche |
ja |
ja |
nein |
ja |
nein |
|
Weiterleitung |
ja |
ja |
nein |
ja |
ja |
|
Suche in Anhängen |
Word, PPT, Excel, PDF, RTF, Open Office, Zip, Gzip, Bzip2, Tar, Cpio, Ar, Metadaten aus Jpeg, Flash, MP3 |
Word, PPT, Excel, PDF, RTF, Zip, Tar, Gz, Open Office |
TXT, Word, PDF, PPT |
Word, PPT, Excel, PDF, RTF, Zip, Tar, Gz, Open Office |
nein (geplant) |
|
Berechtigungen |
ja |
ja2 |
nein |
ja |
ja, auf Domain- und Accountebene |
|
Audits |
ja |
ja |
ja |
ja |
ja |
|
(Open) Benno Mailarchiv |
Mailarchiva |
Enkive |
Piler |
Heinlein Elements Mail-Archiv |
|
|
Integration, Anpassung |
|||||
|
Authentisierung Web-GUI |
LDAP, MS AD, Univention Corporate Server (UCS), Novell E-Directory |
LDAP, MS AD, NTLM, Google, I-Mail |
LDAP |
LDAP, MS AD |
LDAP, MS AD, lokale Datenbank, XML-API, Univention Corporate Server (UCS), Novell E-Directory |
|
Storage |
Dateisystem |
Dateisystem |
Datenbank (Mongo DB) |
Dateisystem |
MySQL, PostgreSQL, Oracle (lokaler oder externer DB-Server) |
|
Lokalisierung |
Deutsch |
Deutsch, Englisch, Portugiesisch, Tschechisch, Chinesisch, Griechisch, Französisch, Niederländisch, Russisch, Japanisch, Koreanisch, Thai |
Englisch |
Ungarisch, Englisch |
Deutsch, andere auf Anfrage |
|
APIs |
REST, XML, Webservice-API mit Json-Unterstützung |
Webservices |
nein |
nein |
XML-API |
|
Virenscanner |
nein |
nein |
nein |
Clam AV |
ja, inkl. Antispam |
|
Backup |
nein |
ja2 |
nein |
ja |
Konfiguration ja, Archiv-DB per SQL-Dump |
|
Themes/Skins |
nein |
ja2 |
nein |
ja |
nein |
|
Preise |
|||||
|
Lizenzen |
120 Euro pro Jahr inkl. 5 Mailboxen (Small Business Edition); 18 Euro pro Mailbox und Jahr bei 20 Mailboxen (Standard Edition) |
1200 Euro für 50 Mailboxen |
kostenfrei |
kostenfrei |
ab 3600 Euro einmaliger Kaufpreis zur zeitlich unbeschränkten Nutzung, inkl. 25 User-Lizenzen |
|
Support |
Software-Maintenance im ersten Jahr inklusive, für Folgejahre separat buchbar |
18 Euro pro Jahr und Mailbox-Lizenz |
ab 500 US-$ pro Jahr je nach Anzahl Mailboxen |
nicht verfügbar |
Standard-Support: Maintenance für alle Updates und Telefon/Mail-Support, Enterprise-Support mit 24/7 bei 2 Stunden Reaktionszeit |
Juristische Rahmenbedingungen für die elektronische Archivierung
- Originäre elektronische Daten müssen elektronisch archiviert werden
- Keine Speicherung in Papierform (nicht als Ausdruck)
- Elektronisch auswertbare Daten müssen elektronisch auswertbar bleiben
- Anhänge müssen erhalten bleiben, und zwar im originären Format (beispielsweise als Excel-Tabelle)
- Keine Formatkonvertierung
- Ein nachträglicher Verlust der Daten muss unmöglich sein
- Keine nachträgliche (unbemerkte) Veränderung der Daten
- Datenveränderungen müssen rückgängig zu machen sein (Versionierung)
- Daten müssen in angemessener Zeit verfügbar gemacht werden können
- Migration auf neue Speichertechnologien muss möglich sein
- Der Speicher muss dem Wachstum dauerhaft gewachsen sein
Idealerweise fügen sie sich dabei nahtlos in das Unternehmensnetzwerk ein, verstehen sich mit allen gängigen Mailservern, bieten Webzugriff, gestufte Berechtigungen und können alle Daten transparent auf gängigen Speichermedien oder sogar in spezialisierten Archivsystemen ablegen. Dabei hat der Betreiber günstigstenfalls auch die Wahl der Infrastruktur, also beispielsweise zwischen privater Cloud oder gehosteter Lösung.
Verschiedene Ansätze
Die Philosophien der Hersteller sind sehr unterschiedlich: Reinen Standalone-Lösungen stehen um Mail-Archivierungsfunktionen erweiterte Dokumentenmanagement-Systeme gegenüber (etwa Agorum Core [1] oder Inovox/Alfresco [2]), teilweise existieren auf einzelne Mail- und Groupwareserver spezialisierte Lösungen wie für Microsoft Exchange, Zimbra, Kerio und Zarafa – und natürlich die großen Archivierungslösungen für alle Zwecke, die nebenbei auch E-Mails archivieren, etwa Openarchive [3].
Bei den fünf in diesem Artikel betrachteten Lösungen (zwei verbreitete, zwei Newcomer und eine Appliance) ist die grundlegende Arbeitsweise immer recht ähnlich (Abbildung 1): E-Mails gelangen entweder aktiv zum Archiv (per SMTP übermittelt) oder das Archivsystem ruft sie aus Quellen ab, zum Beispiel aus dem Mailstore des E-Mail- oder Groupware-Servers.
Abbildung 1: Aktiv oder passiv? In der Regel können die Mailarchivare sowohl Mails per SMTP annehmen (aktiv) als auch abfragen (passiv).
Das gelingt meist durch den POP3- oder IMAP-Abruf einer Sammel- oder mit Journaling-Mailboxen. Die Mails landen dabei dauerhaft samt Anhängen entweder im Dateisystem des Archivs oder in einer Datenbank. Tabelle 1 zeigt die Features der fünf Kandidaten Benno Mailarchiv, Mailarchiva, Enkive, Piler und Heinlein Elements Mail-Archiv.
Systeme, die eher aus der DMS-Schiene kommen, integrieren Mailclients und erlauben es dem User, Mails selektiv per Knopfdruck in das Archiv zu übertragen (wie zum Beispiel in Zarafas Web-App). Alle Systeme lassen sich per Webclient administrieren und für Audits nutzen, wofür sie ein entsprechendes Rechtemanagement mitbringen.
Die angegebenen Systeme behaupten zwar von sich, revisionssicher und gesetzeskonform gestrickt zu sein. Da nur ein Teil aus dem deutschen Rechtsraum stammt, ist vor allem bei den Produkten ausländischer Herkunft allerdings Vorsicht angebracht.
(Open) Benno Mailarchiv
Benno ist Open Source, aber auch dual lizenziert. Das heißt: Es ist sowohl als freie Community-Edition Open Benno Mailarchiv, aber auch als kommerziell lizenzierte Version Benno Mailarchiv [4] erhältlich. Während die beiden Versionen erfreulicherweise datenkompatibel sind, bleibt die streng gesetzeskonforme E-Mail-Archivierung gemäß GDPdU der kommerziellen Variante vorbehalten. Ebenso sind Herstellersupport, Softwarepflege und begleitende Dienstleistungen nur für die kommerzielle Variante verfügbar.
Das Benno-System versteht sich als Komplettpaket (Abbildung 2) und bevorzugt offene Standards. Für das Einsammeln der Mails nutzt es SMTP, POP3 oder IMAP, sodass eine Integration mit allen verbreiteten Mailservern möglich ist (Abbildung 3). Vorhandene oder ältere Mailbestände lassen sich direkt importieren, etwa aus dem Maildir-Format.
Abbildung 2: Benno Mailarchiv ist ein Komplettpaket für Mailarchivierung und liegt in zwei Versionen vor, einer freien und einer kommerziellen.
Abbildung 3: Ein typisches Setup für Bennos Archiv: Der gesamte Mailverkehr wird in einer separaten Mailbox gespeichert und von Benno dort abgerufen.
Benno legt die Maildaten in Containern direkt im Dateisystem ab, der Administrator kann das Archiv in Storage-Container aufteilen, etwa nach Jahren oder Domains. Eine Verschlüsselung der Daten ist nicht vorgesehen, der Hersteller verweist nur auf verschlüsselte Dateisysteme. Handarbeit ist gefragt.
Benno nimmt eine Volltextindexierung der E-Mails nebst Anlagen vor und setzt bei der Suche auf das bewährte Apache-Gespann aus Solr und Tika, sodass Anhänge in vielen Formaten (PDF, MS Office inklusive Office 2007, Open Office und andere) zügig durchsucht sind.
Weil Benno wie viele Vertreter seiner Zunft auf Java setzt, liefert Tomcat die Weboberfläche aus. Ein CLI komplettiert die Administration für Automatisierungszwecke. Das Management der Benutzerrechte für das in Abbildung 4 dargestellte Web-GUI erledigt LDAP oder ein Active-Directory-Connector.
Abbildung 4: Benno Mailarchiv ermöglicht eine effiziente und schnelle Suche.
Für Cloud-Fans ist ab der jüngst erschienenen Version 2.0 zusätzlich eine Hosted Edition verfügbar, mit der sich in einer einzigen Serverumgebung viele Kundenarchive parallel betreiben lassen. Die modulare Systemarchitektur gestattet es sogar, die Kernkomponenten auf verschiedene Rechner zu verteilen.
Die Installation ist einfach, Benno stellt keine großen Anforderungen an die technische Basis: Java und Python müssen ebenso an Bord sein wie Tomcat, für den Betrieb des Mailarchiv-Frontends zudem PHP 5, Smarty-Templates sowie ein Apache-2-Webserver. Dann reichen das Anlegen eines »benno« -Users und das Installieren der ».jar« -Dateien. Für die kommerzielle Variante steht sogar ein Repository (Debian, Ubuntu und UCS) bereit.
Der Zugriff auf die Weboberfläche erfolgt über die URL »http://localhost:8180/bennosearch« , wo das GUI dem Admin komfortable Konfigurationsmöglichkeiten sowie ein leistungsfähiges, einfach zu bedienendes System für die Suche in den Archivdaten bietet.
Benno präsentiert sich als ambitioniertes Komplettsystem auf Basis offener Software in Verbindung mit optionalem Herstellersupport. Für viele Zwecke mag auch die Community-Edition Open Benno ihren Zweck erfüllen, leider erschwert die fehlende Dokumentation den Umgang damit, der interessierte Admin muss sich mit diversen FAQs behelfen [4].
Mailarchiva
Mailarchiva ist ein umfassendes Archivierungssystem (Abbildung 5), das speziell auf größere Umgebungen mit vielen Mailboxen ausgerichtet ist und mit guten Skalierungsfähigkeiten wirbt. Dies gilt vor allem für die voll supportete Bezahlversion, zu der sich die deutlich abgespeckte Open Source Edition gesellt.
Abbildung 5: Mailarchiva integriert sich auch in komplexere Unternehmensnetzwerke.
Eine der Besonderheiten von Mailarchiva [6] ist die umfassende Unterstützung für MS Exchange, die sich aber – wie viele andere fortgeschrittene Features – nur in der Enterprise-Version findet: Mailarchiva arbeitet nativ mit allen Exchange-Versionen sowie multiplen Exchange-Stores. Outlook-Nutzer können auf das Archiv mit einem Plugin direkt aus dem Mailclient heraus zugreifen. Aber auch jenseits von Microsoft kontaktiert Mailarchiva viele gängige Mailserver wie Postfix, Sendmail, Qmail, I-Mail, Lotus Notes, Axigen, Communigate, Neon Insight, Zimbra, aber auch Google.
Diverse Importoptionen aus Maildir, PST, EML, MSG, Exchange und Google-Formaten füllen die Archive. Die Maildaten legt die Software komprimiert im Dateisystem ab und verschlüsselt sie außerdem mit AES. Im Volltextindex landen auch die Inhalte der Anhänge, Formate wie PDF, Word, Excel, Powerpoint und Open Office inklusive.
Das Web-GUI (Abbildung 6) bietet neben der üblichen Suchtechnik für Audits viel Komfort: Der Administrator kann hier alle wichtigen Systemparameter konfigurieren, Regeln für Archivierung und Aufbewahrung definieren, Zertifikate verwalten und das integrierte Backup anwerfen. Der Funktionsumfang reicht bis hin zum eingebauten Monitoring, das Daten im JMX-Format bereitstellt.
Abbildung 6: Der Mailarchiva-Webclient erlaubt die vollständige Konfiguration, aber auch detaillierte Suche.
Von Mailarchiva gibt es auch eine ISP-Edition für Hosting-Provider, die voll mandantenfähig aufgebaut ist. Sie enthält auch Funktionen für die automatisierte Abrechnung und Rechnungserstellung und will eine Komplettlösung auf die Beine stellen. Konsequenterweise bringt das US-amerikanische Produkt dann auch eine reibungslose Installation mit, bei der der Admin einfach das Setup-Archiv auspackt und ein Shellskript namens »./install« ausführt – fertig. Dann startet er den Mailarchiva-Dienst mit »sudo/etc/init.d/mailarchiva start« .
Die weitere Installation und Konfiguration der Enterprise Edition nimmt er per Browser über einen Setup-Wizard vor, der auf der URL »http://localhost:8090« lauscht. Hier vergibt er zunächst ein neues Administrator-Passwort und richtet einen privaten Key für die Verschlüsselung des Mailarchivs ein. Dann definiert er ein oder mehrere Volumes auf entsprechenden Dateisystemen, in denen er die Mails ablegen will. Jetzt beginnt die eigentliche Arbeit: Es gilt, sich per Web-GUI mit den weitreichenden Optionen der Mailbeschaffung für den Archivierungsvorgang zu beschäftigen.
Mailarchiva macht einen kompletten und ausgereiften Eindruck. Deutscher Herstellersupport ist gegeben, der kostenfreie Einstieg dürfte auch über die Community Edition gut gelingen.
Enkive
Enkive ist ein junges Projekt mit erst einer Major Release und ausschließlich als Open-Source-Community-Edition verfügbar. Immerhin gibt es optionalen Herstellersupport [7]. Waren die Vorversionen noch auf Alfresco DMS aufgebaut, wählten die Entwickler für die aktuelle Release ein deutlich schlankeres Java-Fundament. Enkive legt das Archiv in einer Mongo DB an und setzt auf Indri für Indexierung und Volltextsuche. Als weitere Voraussetzungen für die Installation müssen Admins noch Postfix, Jsvc und Swig bereitstellen. Dabei erweist sich die Dokumentation im Wiki der Webseite als wahre Wohltat und macht den Start einfach.
Um Enkive einzurichten, genügt es, das Binary abzulegen und das Startskript mit »/etc/init.d/enkive start« anzustoßen. Die zentrale Konfiguration erfolgt in der Datei »$ENKIVE_HOME/config/default/enkive.properties« . Nach dem Konfigurieren des Apache-Vhost erreicht der Admin die Enkive-Webkonsole unter »http://localhost:8888/ediscovery« . Diese dient vor allem der – in Abbildung 7 zu sehenden – komfortablen Suche im Archiv. Allerdings hinterlässt sie einen ein wenig trägen Eindruck.
Abbildung 7: Das Enkive-Web-GUI ist übersichtlich, gehört aber nicht zu den flottesten.
Enkive empfängt zu archivierendes Datenmaterial über SMTP-Forwarding (Abbildung 8). Für Postfix liegt ein entsprechender Enkive-Socketfilter bei, der für die automatische Weiterleitung aller Mails an das Enkive-Archiv zuständig ist. Laut Entwicklerteam soll es aber auch problemlos auch mit einigen anderen Mailservern funktionieren.
Abbildung 8: Enkive klinkt sich direkt in den Mailfluss ein.
In Enkive selbst kann der Admin über ein XML-Schema Filter konfigurieren, mit deren Hilfe er entscheidet, welche Mails in das Archiv gelangen. Für die tägliche Administration des Archivs, zum Beispiel die Prüfung oder den Neuaufbau des Indri-Volltextindex, steht eine Handvoll interaktiver Bash-Skripte zur Verfügung, ein Beispiel zeigt Listing 1.
Listing 1
mongodb-index-tool.sh
01 *** Index "attachment_id_index" does not appear to exist. 02 Options: 03 (c)reate index in the background 04 (c!)reate index in the foreground 05 (s)kip this index 06 (r)eport on other indexes without further prompts 07 (q)uit this program 08 Your choice:
Enkive ist schlank und recht einfach in den Griff zu bekommen, glänzt aber nicht durch großartigen Funktionsumfang. Hierzulande wiegt aber noch schwerer, dass es zentrale Themen wie Revisionssicherheit fast komplett links liegen lässt. Da das Projekt noch am Anfang steht, ist zu hoffen, dass die Weiterentwicklung Enkive zügig reifen lässt.
Piler
Piler bezeichnet sich selbst als “Enterprise Level E-Mail Archiving Application”. Das in C geschriebene, schlanke und quelloffene Softwareprojekt überrascht angesichts der niedrigen Releasenummer 0.1.20 durch eine lange Featureliste [8].
Piler bringt allerdings keinen Installer mit, was dazu führt, dass der Admin eine ganze Reihe an Installationsschritten durchlaufen muss, um alle Komponenten wie Open SSL, MySQL, einen Webserver mit PHP sowie Libzip zu installieren. Zwar vereinfacht die Aufgabe, dass es sich ausschließlich um Standardpakete handelt, aber ein wenig Geduld ist schon erforderlich: Das Piler-Binary muss der Admin kompilieren, die Konfigurationsdatei editieren, einen Encryption-Key erzeugen, das Datenbankschema anlegen, das Suchsystem Sphinx aufsetzen und konfigurieren.
Hat er so die Grundlagen für das Web-GUI eingerichtet, kann der Piler-Verwalter daran gehen, den SMTP-Strom anzuzapfen, um das Archiv mit Mails zu bevölkern. Bei einem Postfix-Mailserver genügt dafür schon folgender Eintrag in der Datei »main.cf« : »always_bcc = archive@piler.meine.Domain« .
Pilers Archivierungsmechanismen erweisen sich als effektiv und durchdacht: Neben Archivierungs- kann der Sysadmin auch Aufbewahrungs-Regeln definieren. Piler versteht sich dabei auf die Kommunikation mit allen gängigen Mailservern. Die Maildaten legt es komprimiert, mit Blowfish verschlüsselt sowie signiert im Dateisystem ab und erfüllt damit zentrale juristische Anforderungen an ein Archivierungssystem.
User-Berechtigungen für das Web-GUI lassen sich per LDAP oder Active Directory implementieren. Die Konsole gestattet eine übersichtliche und komfortable Suche (Abbildung 9), ermöglicht das Wühlen in vielen Dateiformaten und beispielsweise auch die Weiterleitung einer Mail direkt aus dem GUI heraus.
Abbildung 9: Piler hat ein schlichtes, aber durchaus effektives Web-GUI.
Übers GUI kann der Admin zudem Archivierungsregeln definieren, die bestimmen, wann Piler eine Mail ins Archiv aufnimmt oder sie verwirft. Die Regeln können auf Betreff-Patterns, aber auch auf Parametern wie Mailgröße oder Dateityp basieren (siehe Abbildung 10). In ähnlicher Weise vermag der Admin Regeln für die Aufbewahrungsdauer zu definieren. Ausgehend von denselben Parametern legt er dabei fest, nach welcher Zeitdauer Piler die betreffenden Mails aus dem Archiv entfernt.
Abbildung 10: Flexible Archivierungsregeln bestimmen, welche Mails den Weg ins Piler-Archiv finden sollen.
Piler macht einen durchdachten Eindruck. Wer sich durch das etwas langwierige Setup nicht abschrecken lässt, findet ein umfassendes und dabei schlankes System vor, das viele Anforderungen an die Mailarchivierung abdeckt.
Heinlein Elements Mail-Archiv
Seine Archivierungssoftware für E-Mails liefert der Hersteller Heinlein ausschließlich als Appliance, wahlweise als VM (».ovf« -Datei für VMware ESXi, läuft aber auch auf Xen) oder als Teil einer kompletten Hardware-Box. Im Kern besteht das System aus Open-Source-Komponenten und proprietärer Software und ist als Blackbox konzipiert: Die Auslieferung erfolgt mit vorkonfiguriertem Admin-User, die Erst-Konfiguration geschieht per Textmenü auf der Konsole. Alles weitere erledigt der Archiv-Admin über das aufgeräumte Web-GUI (Abbildung 11). Andere Zugänge zum System gibt es nicht.
Abbildung 11: Das Heinlein Elements Mail-Archiv ist ein Komplettsystem und wird ausschließlich als Linux-Appliance angeboten.
Die Appliance leistet mehr als nur Mailarchivierung – an Bord ist ein vollwertiger IMAP-Mailserver samt Webmailer sowie integriertem Monitoring. Dazu gehören auch ein Antispam- und Antiviren-Paket sowie das Tool Mailtrace [10]. Alle Programmteile verwaltet das Web-GUI, sogar System-Updates lassen sich per Mausklick einspielen. Als SMTP-Proxy ist ein Einsatz von Heinlein Mail-Archiv vor oder an beliebigen Mailservern möglich. Das System klinkt sich in den ein- und ausgehenden Mailverkehr ein und fängt den kompletten Datenstrom ab. Damit wird der rechtlichen Anforderung Sorge getragen, alle Dokumente vollständig und ohne Verlust abzulegen.
Über flexible Filterregeln steuert der Admin den zu archivierenden Inhalt (Abbildung 12). Damit kann er Spam- und irrelevante E-Mails gezielt ausschließen. Da Heinlein Mail-Archiv gemäß Herstellerempfehlung stets hinter der Spam- und Virenfilterung im Mailsystem des Kunden zu platzieren ist, reduziert sich der Datenmüll. Alternativ lässt sich Mail-Archiv um die Funktion von Heinleins Antispam ergänzen.
Abbildung 12: Archivierungsregeln lassen sich auch auf Mailbox-Ebene vergeben.
Die Archivierungsregeln – nicht, einfach oder revisionssicher archivieren – kann der Administrator auf Domain- bis hinunter zur User-Ebene definieren. Die Maildaten legt das System in einer PostgreSQL-Datenbank ab. Über ein integriertes DRBD sorgt es auf Wunsch für Ausfallsicherheit.
Weitaus den höchsten Aufwand aller Kandidaten treibt das Heinlein Mail-Archiv im Hinblick auf die Revisionssicherheit der archivierten Mails (Abbildung 13): Um diese zu gewährleisten, verwendet es Archi Soft vom Fraunhofer Institut für sichere Informationstechnologie (SIT), das alle Mails mit Signaturen stempelt. Archi Soft bildet dazu Hashbäume aller Dokumente und hasht diese einmal täglich mit dem Zeitstempel eines akkreditierten Zeitstempeldienstes. Die automatisierte Erneuerung der Signaturen sorgt dafür, dass diese auf Basis des aktuellen Verschlüsselungsverfahrens sicher und werthaltig bleiben [11].
Abbildung 13: Ein vom Fraunhofer Institut entwickeltes Signaturverfahren gewährleistet Revisionssicherheit.
Audits erfolgen wie bei den anderen Systemen übers Web-GUI. Als Besonderheit zeigt dieses GUI die Verifikationsergebnisse direkt an. Sie belegen, inwieweit bei der jeweiligen E-Mail Revisionssicherheit und Unveränderbarkeit gegeben ist. So erhält zum Beispiel ein Dokument, das im Archiv manipuliert wurde, eine rote Kennzeichnung.
Heinlein Mail-Archiv verbindet einfaches Setup, komfortable Konfiguration und Sicherheit, was die Archivierung und Rechtssicherheit angeht. Wer die juristischen Ansprüchen erfüllen will, erhält ein durchdachtes und solides System.
Fazit
Unternehmen finden in der freien Softwarewelt eine reichhaltige Auswahl mächtiger Lösungen für automatisierte Mailarchivierung. Damit sind die Probleme jedoch noch nicht gelöst. Zur Technik müssen sich entsprechende organisatorische Regelungen gesellen, um den rechtlichen Ansprüchen Genüge zu tun. Steht die Compliance an oberster Stelle, so fahren Unternehmen mit den auf deutsches Recht hin optimierten Lösungen von Benno und Heinlein am besten, zudem sind die Programme durchaus erschwinglich. (mfe)
Infos
- Agorum: http://www.agorum.com/start-seite/produkte/zusatzmodule-fuer-agorum-core/agorum-core-mail-adaptor-mail-archivierung-e-mails-archivieren.html
- Alfresco und Inovox: http://www.alfresco.com, http://www.inovox.de/produkte/email-archivierung/features/index.html
- Openarchive: http://www.openarchive.net
- (Open) Benno Mailarchiv: http://www.benno-mailarchiv.de, http://www.openbenno.org
- Benno-FAQ: http://www.openbenno.org/category/faq/
- Mailarchiva: http://www.mailarchiva.de
- Enkive: http://www.enkive.org
- Piler: http://www.mailpiler.org
- Heinlein Mail-Archiv: http://www.heinlein-support.de/mail-archiv
- Markus Feilner, “Postfacharbeiter”: Linux-Magazin 11/12, S. 32
- Fraunhofer-Whitepaper: http://sit.sit.fraunhofer.de/studies/de/whitepaper-archisoft-2009-de.pdf
- “Alles parat – E-Mails und wichtige Dokumente revisionssicher archivieren”: Titelthema Linux-Magazin 08/09, S. 27 bis 44
Der Autor
Andrej Radonic arbeitet (vor allem rund um Virtualisierung, Cloud und Groupware) als freier Journalist, Fachbuchautor und Vorstand der Intersales AG.
