rechtskonforme Mailarchivierung

[LordDarkmage]

Hallo,

ich arbeite in einem kleinen Systemhaus und mache dort derzeit mein halbjähriges Praktikum, um meinen Fisi zuende zu machen. Nun kam das Thema Mailarchivierung auf. Aktuell ist eine Software im Einsatz, die nur auf Windows Servern funktioniert. Durch einen Kunden hat sich ergeben, dass eine Lösung für Linux gesucht wird. Ich habe Piler ins Auge gefasst und installiert. Es macht einen soliden Eindruck, aber wie sieht es mit Langzeiterfahrungen aus? Was passiert, wenn Piler viele Jahre im Einsatz ist und mit echten Massen klarkommen muss? Hat jemand Langzeiterfahrung bzw. was setzt ihr so ein?

Gruß aus Düsseldorf

[fork]

Ich habe Piler selbst nicht im Einsatz. Von daher hierzu keine Erfahrungen.

Grundsätzlich besteht evtl. auch die Möglichkeit Linux-Mailserver an die Windows-Lösung anzudocken per sender_always_bcc bzw. recipient_always_bcc. Damit kann man auf Domainbasis eine Zieladresse definieren, die alle Mails für diese Domains als BCC gesendet bekommt.

Ansonsten gibt es noch das kommerzielle Benno Mailarchiv(Die OSS-Version von Benno kann man in die Tonne treten), was eine Linux-Software ist und nochmal zusätzliche Möglichkeiten zur Anbindung von Linux Mailservern hat.

[LordDarkmage]

Danke für deine Antwort.

Wenn ich das richtig verstehe, dann ist die gesetzliche Anforderung, dass keine Veränderung stattfinden bzw. möglich sein darf. Von daher weiß ich nicht, ob das Weiterleiten auf eine andere Adresse so sinnvoll ist. Oder täusche ich mich?

Aktuell habe ich das für meine Testumgebung so eingerichtet, dass mittels always_bcc alle Mails an archiv@mydomain.tld gehen. Das macht es aber noch nicht sicher. Es ist ja dann nur eine Kopie in einem anderen Postfach. Aber Benno schaue ich mir gleich mal an, danke.

[fork]

Mit der von mir empfohlenen Methode werden alle E-Mails (Sende- und Empfangsrichtung) an das Archivpostfach geschickt. Dieses Archivpostfach ist der Eingang für die Mailarchivierung. Es wird also eine Kopie an das Archiv geschickt - also genau das was man will.

Wenn man die Anforderung sehr hart auslegt, dann könnte man vermutlich keinen einzigen Mailserver verwenden, weil dann mit Beginn der E-Mailannahme alles protokolliert und selbst die Protokolle kryptografisch gesichert erstellt und archiviert werden müssten - vom Betrieb selbst mal ganz abgesehen. Aber so peinlich genau wird das üblicherweise wohl nicht gesehen.

[LordDarkmage]

Danke für deine Antworten.

So funktioniert es ebenso bei unserer Windowslösung. Allerdings greift sich dann das Produkt den Inhalt des Archivpostfaches und sichert es verschlüsselt ab, dass nachträglich nichts mehr verändert werden kann. Und genau sowas brauche ich nun. Btw... Installation von Benno läuft :-)

[marce]

die "einfache Lösung" wäre ggf. Sicherung auf ein WORM-Medium - die Problematik "ist rechtssicher auch wirklich rechtssicher" stellt sich meist eh erst im Fall der Fälle - und ggf. variiert die Antwort auch von Gericht zu Gericht.

[fork]

Also was die Gesetzeskonformität betrifft, so ist diese für mich als Nutzer gegeben, wenn die Software hinsichtlich der GoDB zertifiziert ist. (Das ist natürlich bei den OpenSource-Produkten nicht der Fall - was natürlich nicht heissen muss, dass diese die Vorgaben nicht erfüllen - die Zertifizierung macht nur eben keiner.) Die Archivierung auf einmalbeschreibbare Medien ist insofern für mich deswegen nicht unnötig, wenn der Softwarehersteller sagt, dass die Software das kann.

Im Fall von Benno wird über alle Mails und deren Checksummen ein Journal erstellt und dieses Journal ist widerrum digital signiert. Das nächste Journal enthält widerrum eine Signatur des vorigen Journals, was dann im Endeffekt eine überprüfbare Kette von Signaturen von Beginn der Archivierung ermöglicht.

Wichtig bei der Sache ist, das eine rechtssichere Archivierung nicht ausreicht. GoBD erfordert eine Verfahrensdokumentation, die der Nutzer für seine IT erstellen muss, welche dann auch technische Informationen zur Methode der E-Maildatensicherung enthalten muss. Die kommerziellen Anbieter(z. B. Mailstore, Benno) bieten solche beschreibende Ergänzungen für die Verfahrensdokumentation an). Bei OSS-Software muss man hier als Softwarenutzer selbst aktiv werden.