DLP на коленке

Добры день, коллеги.

Давненько я не писал. За это время многое случилось. В частности, я пытался на коленке сделать псевдо DLP. А именно воспользоваться возможностями MS Exchange по поиску. 

У MS Exchange 2007 и выше есть возможность с помощью PowerShell поиска по всем ящикам определенной информации и выгрузка сообщений. Выгружать можно либо в заранее определенный почтовый ящик, либо в pst файл.

Экспорт производится с помощью командлета ExportMailbox. Подробно о его использовании можно посмотреть здесь. Поиск осуществляется по всем папкам почтового ящика. При этом есть возможность ввести ограничения с помощью опций ExcludeFolders или IncludeFolders. Список опций есть здесь. Можно ограничить временной период с помощью StartDate и EndDate. Можно искать отдельно по теме письма, телу письма, названиям вложений (SubjectKeywords, ContentKeywords, AttachmentFilenames). Либо по всем полям сразу (AllContentKeywords). 

Предварительно, необходимо получить администраторский доступ к почтовым ящикам. 

Для поиска и экспорта сообщений из всех ящиков на сервере я воспользовался такой командой:

Get-Mailbox -Server ИмяСервера | Export-Mailbox -IncludeFolders "\Отправленные" -TargetFolder База -TargetMailbox ИмяЯщикаКудаВыгружаем -AllContentKeywords ("*база*","*клиент*") -StartDate "05/12/2011" -AllowDuplicates -AllowMerge

Данная команда запрашивает имеющиеся ящики на сервере (Get-Mailbox -Server ИмяСервера) и для каждого выполняет экспорт (Export-Mailbox) в выделенную папку (TargetFolder База) выделенного ящика (-TargetMailbox ИмяЯщикаКудаВыгружаем) сообщений содержащих слова либо "база" либо "клиент"(-AllContentKeywords ("*база*","*клиент*")). Поиск идет по всем элементам письма (-AllContentKeywords ) в папке "Отправленные"(-IncludeFolders "\Отправленные") за период начиная с 5 декабря 2011 г. (-StartDate "05/12/2011").  При этом разрешено дублирование сообщений (-AllowDuplicates) и объединение писем в одну папку при выполнении нескольких запросов подряд (-AllowMerge). Если данную опцию убрать, то после каждого запроса будет формироваться новая папка вида "Recovered Data - <MailboxAlias> - <Timestamp>". При использовании опции -AllowMerge будет создана одна папка Recovered Data - <MailboxAlias>. Внутри данной папки будут созданы подпапки с именами почтовых ящиков, в которые будут выгружены сообщения прошедшие фильтр.

Выгруженные сообщения можно просматривать в MS Outlook. После выгрузки все папки выглядят одинаково и не понятно в каких есть сообщения, а в каких нет. Чтобы не заниматься открытием каждой папки для выгрузки желательно сделать отдельный ящик. Включать режим "Поиск по всем элементам почты" т.к. к сожалению MS Outlook не позволяет искать внутри папки и ее подпапок. И далее с помощью поиска выбирать сообщения для просмотра.

В общем, в отсутствии возможности внедрения нормальной системы DLP  есть возможность хоть как то контролировать процесс. Не очень удобно, не очень красиво. Но это лучше чем ничего.