觀點

郵件歸檔10問

2009 / 07 / 01
STEPHEN FOSKETT 譯 ■ 夏客
郵件歸檔10問
郵件歸檔產品在功能和架構上大相逕庭,不過,本文教導企業如何去挑選符合需求的歸檔工具。

  由於營運需求或法規的關係,有愈來愈多的公司,會將用戶們的郵件歸檔。不過,倘若我們未能針對歸檔產品,施以標準檢驗的話,那麼,要找尋到合乎企業需求的產品,無疑會是一個耗時耗力的過程。目前市面上有相當多的選擇,每樣工具亦有其獨特之處。

  然而,當針對郵件歸檔產品進行測試時,有一點很重要,就是去了解該產品對其所保護之郵件系統的需求,能夠符合到什麼樣的程度?我檢視過許多產品,並按數十家企業的需求比較其功能性。以下10個提問,有助於貴公司縮減挑選郵件歸檔產品的範圍,並找到最符合你需求的產品。不過,從各個不同的儲存環境來看,並非10個提問都很重要。但是,在選擇產品之前,每一個提問都應被考慮過一遍才是。另外,請評估該產品的特定功能,在貴企業的環境之中,是否具真正的效用。並非所有郵件歸檔機制在安裝啟用過後,就會具有「正當持有」(legal-hold)的能力。簡言之,從每個提問所獲得的答案,也許差距會很大。不過,也不是每個環境都需要過度極端,功能眾多的解決方案。

  再者,關乎技術方面的議題,在此也有不少的考量。(詳見「郵件保存政策」) 任何科技產品的採購,最主要的決定因素就是成本,不過,其中會牽涉到不少變數,像是廠商信譽、客戶服務,以及所在地區之支援度都會是影響我們選擇產品的因素之一。在本文中,雖不加以考慮上述原因,但話說回來,不管是當中的那一個,都深具影響力,也是應當務必慎重考量的。

提問1 歸檔要作到什麼地步,才算得上完整?

  不是所有的郵件歸檔產品都能攔截到郵件而不落空,但該項能力可能不是那麼樣地緊迫。在某些環境裡頭,只有從外界收發進來的郵件,才有被保留的必要,所以,假若郵件歸檔採閘道過濾模式,這應當能被大家所接受。可是,許多企業組織需要更完整的郵件訊息,以致於歸檔功能必須與郵件伺服器有所互動,以確保所有訊息,不論是來自於內部或外部的郵件,均被保留下來。

  不過,即便郵件歸檔裝置號稱能夠捕捉到內外部的郵件,但郵件訊息仍可能會有漏網之魚。如果歸檔機制是透過排程方式,來「掃過」郵件伺服器以取得郵件的話,那麼,在掃描當中所傳送、接收及刪除的郵件都有遺失掉的可能。再者,每一封郵件都必定擁有寄件人和收件人欄位,若兩者均刪除該訊息(有可能都清空郵件圾垃筒),用這種方式達到隱藏郵件的目的,我們將其稱之為「雙方刪除」(double delete)。所以,關注於此的企業必須確保他們的郵件伺服器能夠攔截到每一封信件。

提問2 是否有辦法記錄到用戶的郵件行為?

  要收錄完整的郵件訊息,其中不可或缺的,就是得管好用戶端一切的操作行為。部份歸檔系統具備了記錄郵件用戶讀取信件、轉寄信件、標示信件,或者保存信件等動作,而該功能在產品展示上,同時也掀起一股熱潮。

  然而,芝加哥的Empire Today公司,該IT網路維運部門主管Matthew Ushijima說,「『一封被標示成已讀取的郵件』是否就代表它真正地被讀過?」,他接著又說,「Outlook視窗預覽的功能,衍生出正反兩極的干擾情況,這也使得該產品功能,並非為最穩當的資料來源保證。」


  要捕捉用戶端在郵件方面的行為模式,是有技術上的困難。傳統的郵件歸檔產品,通常會是使用Exchange的journaling記錄功能,利用郵件應用程式發展介面(MAPI, Messaging Application Programming Interface)去掃過整個郵件伺服器,定期地測試每封郵件,以抓取所謂的「使用者行為資料檔」(useraction meta data)。不過,MAPI掃描會耗損CPU,以及I/O資源,所以,有必要新增額外的郵件伺服器來分擔原先的郵件負載。另一項達到歸檔目的的替代方案,則稱之為記錄傳送(log shipping),它並不需要執行太多繁瑣的掃描,但是該項功能卻不是那麼常見。結論是,請考量這種用戶端行為的資訊,對於企業的歸檔需求是否重要。
 
提問3 是否歸檔系統有辦法消化掉現存之郵件存量,或者PST檔案?

  許多企業或許會希望郵件歸檔的範圍,能夠涵蓋到歸檔軟體安裝前的那些信件。通常,這些信件都來自於郵件伺服器本身,還可能包括了十年前,甚至更久以前的郵件,同時也有離線,或者是用戶自行建立的封存檔案,像是Microsoft Outlook郵件軟體下所建立的PST檔案。部份歸檔軟體有辦法把舊郵件從裡頭拉出來,有些則不能。(詳見「難以歸檔的PST檔案」)把舊郵件從郵件伺服器裡拿出來,一般都會需要搭配使用MAPI來進行較繁雜的遷移程序。這個可能會花上數日的時間,所以整個作業程序常常佔用到週末時間。而且, 愈大型複雜的環境,尤其是郵件伺服器分屬在不同地區,更是要花上一段滿長的時間。

  大多數的郵件用戶會把個人封存檔案存放在自己的硬碟當中,以致於到處都可能是企業的郵件用戶,這些地方包含了像是筆記型電腦、桌上型電腦、網路共享磁碟機,以及隨身硬碟;同時,這也引發了郵件歸檔作業上的困難,因為它們要先被放至某處,接著才能合併。而且並非每個系統都能處理所有的格式,這些檔案格式的範疇,包含了Outlook PST檔、Notes的NSF檔、甚至是Unix mbox,或者是maildir類型的檔案。

  不過,不管過往郵件從那些地方匯入,倘若有電子資料搜尋(e-Discovery)上的考量,那麼,這些郵件的歸檔作業理應被貼上不完整的標記,或者點明它就是那潛在性不可靠的資料來源。但是,郵件伺服器和個人封存檔一定會遺失大量訊息,這是肯定的。再者,去改變多數個人封存檔的內容並沒有多大用處,因為現行郵件歸檔系統大多都有防干擾措施。

提問4 是否歸檔系統有辦法支援多台郵件主機?

  並非所有的歸檔裝置或軟體有能力處理多台的郵件伺服器,倘若貴公司的環境存在著不只一台的郵件主機,特別是使用多種不同的郵件系統,這項功能就顯得相當重要。一般而言,在異質環境當中,採閘道類型的歸檔作業模式,會較將歸檔功能整合至郵件系統中來得更有彈性。

  這種情況特別常見於組織整併後的企業,但部份企業則是因為歷史因素,才會擁有異質性的郵件環境。不管什麼樣的原因,大多郵件歸檔方案,都無法支援不同款的郵件主機,比方像是Microsoft Exchange,IBM Lotus Notes Domino,Unix,以及Apple的郵件伺服器。

提問5 如何對付非郵件訊息內容的歸檔?

  有些郵件歸檔裝置只著眼在訊息的部份,而有些則會再包含到行事曆,工作事項和連絡人的歸檔,但有少數也支援其他應用程式,比方像是檔案系統、即時訊息、以及資料庫軟體等。可是,並非每一個環境都需要這方面的歸檔機制,比較要緊的,反倒是我們必須符合管理階層和法務部門的期望,去了解那些東西要歸檔?那些東西不必歸檔?不過,對於部份歸檔系統也支援郵件伺服器以外的內容,負責EMC郵件歸檔事務的資深產品市場經理Kelly Ferguson則主張,「電子郵件的歸檔才是最重要的!」他接著又說,「若牽涉到檔案系統的歸檔,SharePoint算得上表現不錯,但是郵件還是必須得受到控制才行。因為訊息如果瞬間超量,極可能得面臨到最大的危機。再者,用戶來源最初就是始於電子郵件的用戶,但是在需求增加時,卻期待系統要能擴展到其他內容形態。」

提問6 是否支援重複資料刪除?

  重複資料刪除(Deduplication)議題,目前被炒得沸沸揚揚,而多數的郵件歸檔廠商老早就將該節省空間的技術納入進來。支援重複資料刪除的郵件歸檔軟體,只會存放一份郵件副本以保留儲存空間,接著再將其與歸檔中的訊息作連結。部份軟體只會採取完整的訊息連結,而有些軟體則能夠將目標郵件切割成好幾塊,再分別進行重複資料刪除,這樣一來,可省下更多的空間。

提問7 法務部門會滿意嗎?

  也不是所有的郵件歸檔作業都會按照規矩走,所以我們有必要為公司未來可能面臨的訴訟,作好合法資料持有—針對某些特定郵件加以限制,以及作好電子資料搜尋的準備。有些欠缺記錄檔和回報功能的歸檔產品,支援更高規格的後端(back-end)儲存模式,以確保產自於它們這些產品的內容,可以滿足將來訴訟的需求。

  Ferguson指出,歸檔系統所存放的資料,甚至比用戶的meta data資料還更重要。「誰存取過歸檔資料?還有看了些什麼?這很要緊!」Ferguson接著說,「同樣地,這也會擴及到郵件清除政策,所以,系統必須保有每一次刪除的記錄,以驗證歸檔作業乃是依資料搜集和保存政策來走。」 有些歸檔系統能夠為輸出的內容產出監管鏈(chain-of-custody)報告,而有些則具有安全性的功能,像是加密和符合SAS 70安全法規稽核的規範。(詳見「郵件監察作業」)

  若是法務部門對郵件歸檔很感興趣,他們便可能會去找出正當持有資料的方式。並且,當知道官司非打不可的時候,萬一需要合法的電子資料搜尋配合,他們也必須負起教導IT保有資料原有內容形式之職責。

  部份的歸檔系統則具備保有原創資料訴訟持有(native litigation-hold)的能力,但是在執行細節上略有不同。所謂的持有,可以包括像是獨立的個體、訊息、資料夾、用戶、郵件信箱,或者是整個郵件儲存區(mail store),可是,並非所有的系統都能處理這些變化。「有些歸檔軟體無法對個人資料項目作訴訟保留,所以必須要套用到整個信件夾,或者是郵件儲存區,以確保郵件保存規則被中止。」Mimosa Systems的法律暨支援業務部門主管Bill Tolson表示。

  不過,我們必須還得了解是否歸檔系統可處理持有資料互相重疊的問題?最好毋須將其打散,便能更改某一持有資料之範圍。最末,法務部門也許對如何描述持有資料,會表達不同的意見?關於這點,請與他們先協調確定好,看是否還有什麼其他特殊的需求沒有。

  但是,即便是雀屏中選的歸檔系統包含了原創正當持有和搜尋的功能,你還是得需要第三方工具來作整合。不過,這並不表示所有提供正當持有及搜尋功能的歸檔系統,就精細到足以應付真實環境之所需,尤其是對那些常需面臨法律問題的企業而言,更是如此。所以,擁有更多種特製化之正當持有資料的工具,是有必要的。

  經過宣告以及發佈正當持有之資料的過程是很複雜的。因為通常持有之資料會涵蓋日期和系統等範圍,且經由各方相關人士的討論之後,範圍還可能再作更改。通常第三方特製化之正當持有資料的工具,當然會較只佔據歸檔系統中一小塊功能的產品來得優秀。

  另一項阻礙整合「正當持有及搜尋」功能,則會是法務部門的喜好問題。電子資料搜尋在過去十年,已發展的相當成熟,所以多數的律師或多或少都具備了些許經驗。不過,亦可能是他們過往在特製化訴訟支援軟體方面的使用經驗,讓他們對各方案皆能提出意見,而較不願使用只是被郵件歸檔軟體湊成堆的功能。

提問8 電子資料搜尋的運作情況?

  歸檔系統的查詢能力,必定是電子資料搜尋最重要的功用,不過也因各家產品不同而有所差異。請考量一下,現今貴公司的法務團隊是怎樣實行搜尋的?他們也許十分清楚所要搜尋的事物為何,亦可能是想進一步參與整個流程,就如同在搜尋裡頭編織搜尋字詞,直到一群相似的字組訊息被確立為止。所以,與法務團隊一起嘗試這些搜尋功能,去了解是否這就是他們所想用的查詢方式。

  「我們公司的法務團隊不能沒有電子化搜尋能力!」一家知名企業的管理階層人士如此評論道,「除了可以作更多的查詢外,當他們更熟悉郵件歸檔系統的功能時,他們就有能力提出更精準的問題。」這不但有助於維護企業本身的安全,同時也會降低電子資料搜尋的成本。

  不過,也請想想該搜尋功能所擅長之處,它能否搜尋整個郵件信箱,或者是郵件庫藏(repository)?過度要求多重搜尋的能力,也許會減低系統在歸檔方面的效用,並造成資料上的缺漏。並非所有的歸檔系統能夠很快,很有效率地搜尋一整個大型的資料集合。所以,我們可以嘗試在一龐大的資料集合當中執行資料查詢,去看看歸檔系統在搜尋功能方面的回應情況。

提問9 是否歸檔系統能輕易地與第三方工具整合在一塊?

  在大多數的情況底下,郵件歸檔系統會成為貴公司資訊架構下不可或缺的一部份,所以,也請一併考量到它與其餘架構元素整併的問題。歸檔功能能否與公司的使用者帳戶管理暨存取控制系統整合在一塊兒?是否具備報表,記錄和稽核工具呢?如果一不小心,當歸檔產品開始在大型組織中部署下去時,這些功能反倒會成為嚴重的絆腳石。

  不過,我們也得注意一下歸檔系統和工具間整合層次的差異。多數的歸檔系統,都能匯出在PST檔案中的訊息,以作為電子資料搜尋工具之用,而有些歸檔系統,則能與擁有直接存取資料庫和API能力的工具作一緊密結合。看起來,後者顯得較具彈性,且有效率得多,倘若企業組織又常需要用到電子化搜尋功能的話,那麼,其所使用的工具將會得利於這種形態的整合。

提問10  使用者如何看待此事?

  有一種極端的郵件用戶整合模式:部份的歸檔系統並未提供整合方式,而只依賴Web瀏覽器介面作歸檔存取之用,有些則利用toolbar,或者是專為特定用戶所設計的可執行副檔,甚至從郵件伺服器主動「丟」過來的歸檔資料夾。不過,不管是運用那一門技術,請考量用戶們的反應。(詳見「用戶們的腦袋瓜裡在想什麼?」)一旦它們與郵件使用者的互動改變,歸檔還能繼續進行下去?又倘若可執行副檔需要被安裝在使用者端的機器上,想想整個佈署下去的影響吧。

  另外,也請考慮一下目前其他類型的郵件用戶端的情況。多數的企業均會提供Web化的郵件收取方式,但部份的歸檔系統卻無法與之整合在一起。再者,不少的使用者還會使用行動裝置,像是黑莓機、Windows mobile、Palm、iPhone和Symbian,來存取個人郵件。然而,多數的歸檔系統在Web模式下,鮮少甚至沒有與行動裝置進行整合之能力,並且這些站台對於行動裝置的瀏覽器來說,有時候不是太過貧乏,就是華麗複雜過頭。離線存取是另一個關鍵特點,如果用戶能夠在飛機上存取個人歸檔訊息,你想,他們一定很樂意接受這套系統。

  本文並不探討產品在不同儲存環境下的技術性因素,然而,那卻是最需要考量的地方,比方說,歸檔系統所能處理的郵件系統的容量大小,還有每天進出的信件量。再者,請想一下歸檔系統所支援的作業系統問題,以及能否照著郵件系統的地區佈局走?畢竟,並非所有郵件歸檔方案都能在各方面有亮眼的表現。

Stephen Foskett目前擔任Contoural公司的資料業務部門主管一職。

郵件保存政策

  把進行中以及儲存中的訊息歸檔,只不過是郵件歸檔與記錄管理這個龐大世界中的一小部份。雖然不該也毋須等待官方政策下來後再實行歸檔作業,但是,訊息保存事實上卻是一個必須有的重要元素。IT無法主導公司政策,甚至對法規遵循和條文一點想法也沒有,所以,郵件保存政策的發展必須是要納入專案,以集思廣益的方式進行。

  首先,忖量一下郵件在企業當中的使用情況。到底是作為長期性的參考庫藏呢?或者只是一個簡單的溝通管道?不要被那種聽來容易,但之後卻被眾人唾棄的政策所迷惑;反倒是,我們必須討論出,不僅應該配合人們使用系統的習慣,同時也能符合法律規範,並讓企業感到興趣的保存標準。

  將訊息留存這事很簡單,但事實上要清除它們卻是另一回事。多數歸檔系統能夠每隔一段時間,便自動地清除過往信件,但部份的企業卻仍舊較偏愛手動認可的清除方式。如果這正是貴公司的情況,那麼,請確認該程序是持續不斷地進行著。不過,請謹記記錄保留的鐵則:無法遵守的政策,還倒不如通通不要!

難以歸檔的PST檔案

  清除像Microsoft Outlook PST這類「地下秘密檔案」(underground archive),是眾多郵件歸檔計畫的主要目標,但這件事卻被證實難以企及。不過,比較容易的作法是關掉Outlook對PST歸檔的功能,但是你得等到現存的檔案就定位,被消化完了之後再作。另外,提醒一下使用者,新的歸檔檔案真的會讓他們更容易取得個人郵件,有了公司的歸檔檔案後,他們可以從Outlook Web Access(OWA)或黑莓機上,取得他們過往的電子郵件。

  但當匯入舊有的歸檔檔案時,請小心!因為那可能會造成情況失控。至少,它們可能是不完整的,使用者肯定會很有選擇性的儲存郵件,刪除掉一部份之後,再將其他的保留在信件匣裡,並只歸檔到少部份的郵件。再者,也有可能發生的情形,是惡意的使用者去改變個人離線歸檔檔案的內容,或製造新的訊息,甚至是刪除和改變舊有的訊息。因此,我們必須從遵循法規的角度,來考慮這些來源的可靠性。

  如果你目前正想為郵件系統制訂一套清除政策,我勸你先擱著吧!因為當牽涉到匯入PST檔的情況時,有必要先暫停再考慮一下。倘若你匯入了舊有的歸檔郵件,然後再立即刪了它,那麼,在那些你原本要試著幫忙的使用者眼中,你的威信會蕩然無存,另外,這件事也會加深在法規遵循上面的難度。再者,請給予使用者充足的時間作好郵件分類,並好好保存他們所匯入的郵件訊息,甚至是要好好教育他們有關保存和清除郵件的重要性。

郵件監察作業

  最初開始實施郵件歸檔的是金融服務業,而最主要的驅策者,就是我們所熟知的NASD 3010這道法令,它也被稱為郵件監察者(email supervision)。為便於推動,金融服務機構必須先抽取樣本,接著再測試,和驗證從企業本身郵件系統流經的郵件訊息,以便於監控安全破壞者的不適切舉動。

  雖然監督管制不會是安全產業界外的公司會想要,或者是想了解的部份,但它的確對牽涉在裡面的人相當重要。倘若需要,該部份絕對佔有舉足輕重的地位,所以,不管是不是你正考量使用的歸檔系統,請找出有支援該功能的,因為這將會是你的首要課題!

用戶們的腦袋瓜裡在想什麼?

  成功佔據採納郵件歸檔第一名寶座的,就是使用者接受度。如果系統能滿足以下3個條件,我想,你會擁有一群比較開心的使用者。

完全整合

  你覺得使用者會比較希望看到不友善的Web連結,還是較令人放心的Outlook,或是Notes視窗介面?當使用者在接受新導入的歸檔系統的教育訓練時,這是最常被提及的第一個問題。此外,當挑選產品時,還有一點是每位IT從業人員需要謹記在心的:少一點干擾,多一點友善,使用者的操作感受會更好!

離線存取

  使用者能夠在飛機上存取個人的歸檔檔案嗎?一套系統,若只是因為用戶不在網路上,就切斷他們與郵件之間的聯繫,那麼,它一定會帶來一堆抱怨。再者,此舉可能引發他們重新開啟PST檔,或NSF檔中的地下秘密檔案功能,間接破壞公司所制訂的記錄保存政策。不過,如果只因為這樣,系統管理師就關閉了個人歸檔檔案的建立功能,那麼,這會進一步地惹惱那些離線卻無法存取個人歷史訊息的用戶。

行動瀏覽

  不論使用者在那兒,或者他們透過什麼方法存取系統的,如果你就是能提供他們郵件服務,我想,他們一定會愛死這套系統了!當碰到PST檔案時,這更別提了。若能在黑莓機上,透過Web存取個人歷史郵件,這會讓使用者馬上擁抱,並感受到郵件歸檔的強大好處。