将日志邮件转送到 Google 保险柜

您可以对 Google Workspace 和 Gmail 进行设置,以将 Microsoft Exchange 日志邮件保留在 Google 保险柜中。使用保险柜的入站电子邮件日志接收设置来指定要保留哪些邮件以及要将邮件保留多久。您还可以为日志指定 IP 地址范围,并为未发送到保险柜的电子邮件创建自定义邮件。

要将用户的邮件保留在保险柜中,相应用户必须拥有已启用 Gmail 的 Google Workspace 账号。

详细了解 Microsoft Exchange 日志

借助日记功能,您可以保存贵组织中的电子邮件的副本(“日志”),然后将它们发送到 Exchange 服务器的邮箱中。日志功能与归档功能不同,日志功能会记录用户的邮件,而归档功能则是将邮件副本存储在独立的环境中,从而达到遵从法规、保留数据或维护服务器的目的。

Exchange 日记邮件包含原始邮件,包括全部标头和信封信息。信封信息包括发件人和所有收件人(包括密送收件人和分发列表中的收件人)。大多数法规都要求您必须提供这些信息。

第 1 步:在 Google Workspace 中设置接收账号

  1. 创建一个采用您的域名,但不供贵组织任何用户使用的账号和电子邮件地址。例如,如果您的域名是 solarmora.com,则可以添加电子邮件地址,例如 exchange-journal@solarmora.com。

    该账号必须拥有支持保险柜的 Google Workspace 许可。如需查看相应账号是否支持保险柜,请参阅许可要求

  2. 将账号归入其所属的组织部门。有关详细步骤,请访问添加组织部门将用户移至某个组织部门

  3. (可选)该账号未与贵组织中的任何用户关联,并且贵组织中的用户不应向该电子邮件地址发送邮件。因此,您不妨将其隐藏在目录下。有关详细步骤,请参阅在目录中隐藏用户

第 2 步:在保险柜中设置 Gmail 邮件保留功能

  1. 登录 vault.google.com
  2. 依次点击保留然后自定义规则然后创建
  3. 服务下方,选择 Gmail,然后点击继续
  4. 组织部门下,选择您在第 1 步:设置接收账号中创建的组织部门。
  5. 点击继续

  6. 条件下方,指定受此设置影响的邮件:

    • 发送日期:如果您仅指定开始日期,规则会应用于指定日期之后发送的所有邮件。如果您仅指定结束日期,规则会应用于指定日期之前发送的所有邮件。

    • 字词:使用字词指定要保留的邮件。例如,要仅保留外部用户发来的邮件,请输入 NOT from:*@your-domain。或者,要仅保留发送给外部用户的邮件,请输入 NOT to:*@your-domain**。

      您可以使用除通配符 (*) 之外的所有受支持的搜索运算符。如果您的关键词组或值以连字符开头(例如 -1000%),请将其用引号括起来,以免被解读为 NOT 运算符。您无法通过 is:chat 将 Gmail 保留规则应用于 Google Chat 中的聊天消息。如需为聊天消息设置保留规则,请设置 Chat 保留规则。我们建议您使用保险柜搜索功能测试您的字词,以确保您的保留规则能如预期的那样与数据相匹配。

  7. 点击继续

  8. 保留期下,设置邮件的保留时长:

    • 无限期:永久保留受此规则影响的邮件。

    • 保留期限:在您指定的时间过后删除邮件。输入天数(1 至 36,500)。

      日志邮件可能会快速累积,而无法手动删除。我们建议您在保留期限到期后完全清除所有邮件。这样,您就不会保留不再需要的邮件,而且可能节省电子取证费用。

  9. 如果您在第 8 步中设置了保留期限,请选择在保留期限结束后如何处理邮件:

    • 仅完全清除已永久删除的邮件:删除已从用户的“已删除邮件”中删除的邮件。
    • 完全清除 Gmail 邮箱中的邮件和已永久删除的邮件。此规则不会影响草稿:删除所有邮件,包括 Gmail 中未删除的邮件。系统不会删除草稿或电子邮件模板。
    • 完全清除 Gmail 邮箱中的邮件和已永久删除的邮件。此规则会完全清除草稿。:删除所有邮件,包括未删除的邮件、草稿和电子邮件模板,请选择第三个选项。

重要提示:请勿对您在第 1 步:设置接收账号中设置的电子邮件地址设置保全。保全会禁止删除任何邮件。

第 3 步:设置 Gmail 以接受日志邮件

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后应用然后Google Workspace然后Gmail然后转送

    需要拥有“Gmail 设置”管理员权限

  2. (可选)如要将设置仅应用于部分用户,请在侧边选择一个组织部门(对于部门来说这是常用选项)或配置群组(高级)。

    群组设置会覆盖组织部门的设置。了解详情

  3. 滚动到保险柜的入站电子邮件日志接收设置,然后选中启用复选框。
  4. 启用框下方的设置中,按以下步骤操作:
    设置选项 您需要采取的措施
    通过以下地址接收日志邮件。

    输入您在第 1 步:在 Google Workspace 中设置接收地址中设置的电子邮件地址。
    只接受来自此发件人的日志邮件

    (可选)除了您在此处输入的首选发件人,拒绝任何发件人的邮件。该地址必须与 Exchange 服务器用于发送日志邮件的地址完全一致。如果您使用多个 Exchange 服务器,我们建议您将此字段留空。
    无法递送的日志邮件的退信地址 输入电子邮件地址即可接收日志邮件的系统退信。请注意,日志系统退信可能会影响电子邮件服务器的性能。
    拒绝未经 DKIM/SPF 验证身份的日志邮件 (可选)选择此选项可避免未经 DKIM 和 SPF 身份验证的日记邮件。这是默认选项。
    拒绝收件人无法识别的日志邮件

    (可选)选择此选项可防止不包含任何可识别收件人的日志邮件。这是默认选项。

    如果无法识别的用户当中存在使用别名或未获得保险柜许可的用户,Exchange 会继续记录相应事件并重新尝试发送邮件您会收到重复的 Exchange 错误。

    如果您未选择该选项,那么系统会拒绝发送给无法识别的用户的日志邮件,直接将其丢弃而不会显示任何通知。这样一来,您就无法确认哪些用户的邮件未保留。因此,如果存在应获得保险柜许可但实际上未获得的用户,您就无法找出这些用户。为避免出现这种情况,我们建议所有受影响的用户都分配保险柜许可。
    IP 地址/范围 (可选)仅接受来自特定 IP 范围的日志邮件。范围之外的邮件会被拒绝。点击添加,输入 Exchange 服务器的 IP 地址范围,然后点击保存

    如果这些 IP 范围不是由多位客户共用的托管 IP 范围,请在入站邮件网关中加入日志 IP 范围。有关详情,请参阅设置入站邮件网关
    修改默认拒绝通知 (可选)为日志系统退信创建自定义邮件。系统退信既包含自定义文字,也包含默认的退信文字。
  5. 点击保存
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

您可以在管理控制台审核日志中跟踪更改。

第 4 步:设置 Exchange 服务器以转发日志邮件

如果您使用的是 Exchange Online,请改为按照这些步骤操作。

1. 准备工作

  • 如果您之前设置了 Exchange 日志功能,您可能已经完成了其中几个步骤。不过,我们建议您还是按照该流程的每个步骤操作,从而确保 Exchange 日志功能得以正确配置。
  • Google Workspace 支持团队不会针对本地邮件服务器或第三方产品提供支持服务。如果有 Exchange 方面的问题,请咨询 Exchange 管理员。
  • 以上说明旨在处理常见的 Exchange 情况。您对 Exchange 配置所做的任何更改都必须咨询您的 Exchange 管理员。

2. 创建 SMTP 联系人并配置设置

要将日志邮箱中的日志邮件转发到接收地址,您必须向 Microsoft Active Directory 添加新的联系人或更新现有的联系人。Microsoft 会将该联系人视为自定义 SMTP 收件人,因为 Exchange 日志服务器会通过 SMTP 将所有日志邮件转发到您的接收地址。

创建新的 SMTP 联系人

  1. 打开 Active Directory 用户和计算机
  2. 右键点击您想要创建联系人的组织部门,然后依次点击新建然后联系人
    自定义 SMTP 收件人的电子邮件地址必须与您在通过以下地址接收日志邮件字段添加的电子邮件地址一致(见本页上文部分)。
  3. 输入以下信息:
    • First Name:Google
    • 姓氏:保险柜
    • 显示名称:Google 保险柜
  4. 点击确定
  5. 在邮箱服务器上,打开 Exchange 管理控制台。
  6. 展开收件人配置,右键点击邮件联系人,然后选择新建邮件联系人
  7. 点击现有联系人,选择您刚刚创建的 Google 保险柜联系人,然后点击确定
  8. 点击下一步
  9. 外部电子邮件地址部分,点击修改,然后输入与您所创建的接收地址相同的地址(见本页面上文部分),例如 exchange-journal@solarmora.com
  10. 依次点击确定然后下一步然后新建

配置邮件格式设置

在 Exchange 2007 中,日志报告以 S/TNEF 格式发送。在 Exchange 2007 SP1 和 Exchange 2010 中,您可以使用 S/TNEF 或 MIME 格式发送日志报告。您还可以使用 MIME 格式输出日志报告。仅 Exchange 2007 SP1 和更高版本的 Exchange 支持 MIME。早期版本不受支持。如需详细了解 Exchange 版本,请参阅相关 Microsoft 文档。

  1. 在邮箱服务器上,打开 Exchange 管理控制台。
  2. 展开收件人配置,然后选择邮件联系人
  3. 选择“SMTP 联系人”然后点击属性
  4. 点击常规,然后在使用 MAPI 富文本格式部分,点击从不
    完成设置后,系统会使用 MIME(而不是 S/TNEF)发送日志报告。

3. 设置日志邮箱并创建分发列表

您可以在一个或多个 Exchange 服务器上设置多个日志邮箱和邮箱数据库。设置日志邮箱时,您必须将其放置在不打算启用日志功能的邮箱数据库中。

设置日志邮箱并创建日志分发列表

  1. 在邮箱服务器上,打开 Exchange 管理控制台。
  2. 展开收件人配置,右键点击邮箱,然后选择新建邮箱
  3. 依次点击用户邮箱然后下一步
  4. 选择新用户然后 点击下一步
  5. 选择您要创建日志邮箱的组织部门。
  6. 对于名字,请输入 Archive
  7. 对于姓氏,请输入 Master
  8. 对于名称,请输入 Archive Master
  9. 对于用户登录名(用户正文名),请输入 AMaster
  10. 输入并确认该用户的密码。
  11. 取消选中用户下次登录时必须更改密码对应的复选框然后点击下一步
  12. 选择相应的邮箱数据库、通讯记录管理策略和 Exchange ActiveSync 邮箱策略然后点击下一步
  13. 检查配置摘要。如果您需要进行更改,请点击返回
  14. 点击新建以创建邮箱。
  15. 在“Active Directory”中,创建新分发列表(组),然后将其命名为日志收件人
  16. 将下列成员添加到该分发列表(群组):
    1. SMTP 联系人 - SMTP 联系人地址应与您在创建 SMTP 联系人(见本页面上文部分)。
    2. Archive Master - 您在第 8 步创建了此内容(见本页面上文部分)。

4. 开启日记功能

您可以启用标准或高级日志功能,具体取决于 Exchange 的版本。通过标准日志功能,您可以为每个相关的邮箱数据库配置日志功能。通过高级日志功能,您可以配置相关规则,以识别邮件已被记录的发件人和收件人。如需详细了解您所使用的 Exchange 版本支持的日志记类型,请参阅相关 Microsoft 文档。

根据您的组织规模和配置的相关规则,您可能会拥有一个或多个日志邮箱。如果您拥有大量日志邮箱,且其中包含较大容量的日志报告,您可能需要为这些邮箱数据库指定特定资源。

启用标准日志功能

  1. 打开 Exchange 管理控制台。
  2. 展开服务器配置 然后选择邮箱
  3. 选择您要启用日志功能的邮箱数据库的服务器。
  4. 右键点击邮箱数据库然后点击属性
  5. 依次点击常规然后日志收件人
  6. 对于将日记报告发送到,点击浏览,选择日志收件人(您创建的日志邮件收件人的分发列表),然后点击确定
  7. 点击确定
    用户在此邮箱数据库上的所有日记邮件现已发送到“日记收件人”分发列表。
  8. 为您要启用日志功能的每个邮箱数据库重复上述步骤。

启用高级日记功能

  1. 确保已在中心传输服务器上启用日志代理:
    • 发出 Get-TransportAgent 命令。如果系统未返回代理名称,说明代理未启用。
    • 如需启用日志代理,请发出 Enable-TransportAgent -Identity "Journaling agent" 命令。
  2. 在集线器传输服务器上,打开 Exchange 管理控制台。
  3. 展开组织配置,然后选择集线器传输
  4. 依次点击日志然后新建日记规则,然后输入日记规则的名称。
  5. 对于将日记报告发送到,点击浏览,选择日志收件人(您创建的日志邮件收件人的分发列表)。
  6. 范围部分,选择日志规则的应用范围。
    • 要为单个收件人(针对收件人的日志邮件)应用规则,请点击浏览,然后选择相应收件人。
    • 要为多个收件人(针对收件人的日志邮件)应用规则,请点击浏览,然后选择相应分发列表。
  7. 依次点击新建然后完成
    用户在此集线器传输服务器上的所有日记邮件现已发送到 AMaster。
  8. 针对您要启用日志功能的每台集线器传输服务器重复上述步骤。

5. 创建用于删除日志邮箱中的邮件的政策

为确保拥有足够的存储空间存储日志报告,您必须创建一个“托管内容设置”规则,以便按照您指定的时间间隔自动删除收件箱文件夹中的所有邮件。

我们建议您一开始将该间隔设置为每隔 7 天。然后,在您开启日志功能后的最初几周内监控日志邮箱的大小,之后再根据需要调整时间间隔。如果您希望在预定时间备份所有的日志报告,请设置合适的时间间隔,以确保日志报告在备份前不会遭到删除。

第 1 步:为收件箱文件夹创建托管内容设置

  1. 在 Exchange 管理控制台中,展开组织配置,然后选择邮箱
  2. 点击管理默认文件夹,然后选择收件箱
  3. 在操作窗格中,点击新的托管内容设置,打开新的托管内容设置向导。
  4. 名称部分,输入 Google 保险柜内容设置
  5. 对于邮件类型,请选择所有邮箱内容
  6. 选中保留期长度对应的复选框。
  7. 输入您要保留邮件的天数。
  8. 保留期限开始部分,选择递送后,日历的结束日期和重复任务
  9. 保留期结束时要采取的操作部分,选择永久删除
  10. 点击下一步 然后下一步以绕过“日志”页面。
  11. 依次点击新建 然后完成

第 2 步:创建托管文件夹邮箱政策

  1. 在 Exchange 管理控制台中,展开组织配置,然后选择邮箱
  2. 在操作窗格中,点击“新建受管理的文件夹邮箱政策”,打开受管理的文件夹邮箱政策向导。
  3. 受管理的文件夹邮箱政策名称部分,输入 Google 保险柜政策
  4. 指定要与该政策关联的托管文件夹部分,点击添加以打开选择托管文件夹对话框复选框。
  5. 选择收件箱然后 点击确定
  6. 依次点击新建 然后完成

第 3 步:将托管文件夹邮箱策略应用于日志邮箱

  1. 在 Exchange 管理控制台中,展开收件人配置,然后选择邮箱
  2. 右键点击 Archive Master,然后选择属性
  3. 依次点击邮箱设置然后邮件记录管理,然后选择属性
  4. 选中受管理的文件夹邮箱政策对应的复选框,然后点击浏览
  5. 选择 Google 保险柜政策,然后点击确定
  6. 点击确定进行确认。

第 4 步:配置托管文件夹助理以实施该策略

  1. 在 Exchange 管理控制台中,展开服务器配置,然后选择邮箱
  2. 右键点击托管 Archive Master 日志邮箱的邮箱服务器,然后点击属性
  3. 点击邮件记录管理,然后在计划托管文件夹助理部分,选择使用自定义计划,并点击自定义
  4. 计划部分,为托管文件夹助理选择运行日期和时间。
    我们建议在非高峰时段运行该助理。
  5. 点击确定

6. 从全局地址列表中移除日志邮箱

现在,为了防止用户直接将电子邮件发送到归档邮箱,您必须从“Exchange 全局地址列表”中移除日志邮箱。

  1. 使用 Set-Mailbox cmdlet 修改日志邮箱设置,这样,日志邮箱便可从全局地址列表中删除。
  2. 发布 Set-Mailbox AMaster -HiddenFromAddressListsEnabled $true 命令。

7. 避免电子邮件直接递送至日志邮箱

最后,您必须为 AMaster 用户设置一项递送限制,以阻止任何人将电子邮件直接发送到日志邮箱。

  1. 使用 Set-Mailbox cmdlet 修改日志邮箱的设置。
  2. 发出 Set-Mailbox AMaster -AcceptMessagesOnlyFrom AMaster 命令。


Google、Google Workspace 以及相关标志和徽标是 Google LLC 的商标。其他所有公司名和产品名是其各自相关公司的商标。