• Articolo

Exchange Server 2007

Inserimento nel journal più efficace con Exchange 2007

David Strome

 

Panoramica:

  • Regole di inserimento nel journal di Exchange Server 2007
  • La nuova procedura guidata di inserimento nel journal
  • Contenuto di un report del journal

In precedenza poteva capitare che, quando si tentava di inserire nel journal i messaggi di posta elettronica inviati a o ricevuti da un utente specifico, venissero inseriti nel journal, oltre ai messaggi richiesti, anche i messaggi delle altre centinaia di cassette postali che

risiedevano nello stesso archivio cassette postali. Grazie a un maggior dettaglio nel controllo, in Microsoft Exchange Server 2007 il problema non si verifica più.

L'inserimento nel journal in base al destinatario, disponibile con le Licenze di accesso client (CAL) aziendali, consente di indicare con precisione l'utente da inserire nel journal. Le regole di inserimento nel journal ora consentono di definire con precisione destinatari e mittenti da inserire nel journal. È possibile concentrare l'attenzione su un'unica cassetta postale oppure ampliare il raggio di azione fino a includere, ad esempio, tutto il personale del reparto vendite. Non è nemmeno necessario che tutte le cassette di posta da monitorare si trovino sul medesimo server, nel medesimo sito di Active Directory® o, addirittura, in un'unica organizzazione Exchange. Grazie alla replica di Active Directory, le modifiche apportate vengono automaticamente applicate a tutti i computer dell'organizzazione su cui è in esecuzione il ruolo del server Trasporto Hub.

Funzionamento dell'inserimento nel journal

In Exchange Server 2003 l'inserimento nel journal veniva implementato su singoli archivi cassette postali di ciascun server fisico. Per inserire nel journal tutte le cassette postali dell'organizzazione, era necessario configurare l'inserimento nel journal in ciascun archivio cassette postali. Se invece era necessario inserire nel journal i messaggi di un solo destinatario, era necessario inserire nel journal tutti gli utenti presenti nello stesso archivio cassette postali oppure creare un nuovo archivio cassette postali solo per l'utente desiderato.

In Exchange Server 2007 si utilizza invece la nuova topologia basata sui ruoli di Exchange. Come illustrato nella Figura 1, tutti i messaggi vengono elaborati dai server Trasporto Hub quando vengono inviati o ricevuti da server Cassette postali e Messaggistica unificata, altri sistemi Exchange, applicazioni di terze parti e Internet. In tutti i server Trasporto Hub è contenuto un agente di trasferimento denominato agente di journaling, che presiede all'applicazione ai messaggi delle regole di inserimento nel journal. Poiché si trova sui server Trasporto Hub, l'agente di journaling intercetta e valuta tutti i messaggi prima che questi raggiungano i rispettivi destinatari. L'agente di journaling agisce sui messaggi dopo la categorizzazione, in modo da garantire l'accesso a tutti gli attributi di destinatario e mittente del messaggio e consentire all'agente di determinare se il messaggio è stato inviato direttamente a un destinatario oppure è stato ricevuto tramite espansione del gruppo di distribuzione. È inoltre possibile determinare se l'indirizzo del destinatario era riportato nel campo A, Cc o Ccn di un messaggio creato all'interno dell'organizzazione in cui si utilizza Exchange Server 2007.

Figura 1 Flusso della posta nel server Trasporto Hub

Figura 1** Flusso della posta nel server Trasporto Hub **(Fare clic sull'immagine per ingrandirla)

L'agente di journaling consente di applicare le regole di inserimento nel journal configurate dall'amministratore ai messaggi, non appena questi giungono al server Trasporto Hub. Con le regole è possibile definire se l'agente acquisirà informazioni su un messaggio da inoltrare, insieme al messaggio originale, a una cassetta postale del journal. I dati vengono inviati all'interno di un messaggio denominato report del journal.

Nelle precedenti versioni di Exchange era necessario applicare le configurazioni a più server. Quando, invece, si crea una regola di inserimento nel journal in Exchange Server 2007, la modifica viene applicata a tutti i server Trasporto Hub dell'organizzazione tramite Active Directory. Per tutti i server Trasporto Hub, e di conseguenza per tutti gli agenti di journaling, viene letta la medesima configurazione da Active Directory. Questo tipo di copertura garantisce che venga applicata la stessa configurazione di inserimento nel journal da tutti gli agenti di journaling.

Al momento di creare o modificare le regole di inserimento nel journal, è opportuno tenere conto dei tempi di replica di Active Directory, poiché è necessario che una modifica della configurazione venga replicata nell'intera organizzazione e letta dai server Trasporto Hub. Per l'operazione potrebbero essere necessarie alcune ore. Per facilitare il rilevamento dell'avvenuto aggiornamento della configurazione, in Exchange un evento viene registrato nel registro eventi protezione di ciascun server.

In Exchange Server 2007 i report del journal non vanno mai perduti a causa di cassette postali del journal non disponibili, sia perché piene o configurate in modo errato oppure non in linea (funzionalità particolarmente utile quando è necessario garantire la conformità a normative e regolamenti, poiché la perdita dei messaggi potrebbe comportare una non conformità). Quando non è possibile recapitare un report del journal a una cassetta postale del journal, il report resta nella coda del server Trasporto Hub fino a che la cassetta postale del journal non torna disponibile. Poiché questo comportamento può provocare una rapida crescita delle code, è opportuno tenere sotto controllo la disponibilità della cassetta postale del journal per verificare che funzioni in modo corretto. Se una cassetta postale del journal resta indisponibile per un periodo prolungato, è possibile configurare una cassetta postale alternativa in cui ricevere i report fermi in coda.

Elementi da inserire nel journal

Prima di iniziare a creare delle regole di inserimento nel journal, è necessario definire gli utenti da monitorare e il tipo di dati da inserire nel journal. In una regola di inserimento nel journal è possibile indicare utenti specifici. Tali utenti potrebbero, ad esempio, essere soggetti a requisiti normativi particolari oppure essere coinvolti in azioni giudiziarie che richiedono la raccolta di messaggi di posta elettronica o altre comunicazioni come prove.

Oltre a specificare gli utenti da inserire nel journal, è inoltre possibile definire l'ambito dei messaggi da inserire nel journal, con opzioni per i messaggi interni, esterni e globali. Per interni si intendono solo i messaggi scambiati all'interno dell'organizzazione, per esterni i messaggi con il mittente o uno dei destinatari esterni all'organizzazione e per globali sia i messaggi interni che esterni. È bene sottolineare che con l'opzione globale vengono inseriti nel journal tutti i messaggi che passano dal server Trasporto Hub, compresi i messaggi già elaborati da regole che utilizzano un ambito interno o esterno.

Exchange Server 2007 supporta Messaggistica unificata e consente, quindi, di configurare Exchange in modo da raccogliere messaggi di posta elettronica, messaggi vocali e fax di un utente nella cartella Posta in arrivo corrispondente. È inoltre sottintesa la possibilità di inserire nel journal tutti questi dati o decidere di escluderne alcuni.

Se si esegue Exchange Server 2007 con CAL standard, è ancora possibile utilizzare la funzionalità di inserimento nel journal in base all'archivio cassette postali. Per utilizzare le nuove funzionalità di inserimento nel journal in base ai destinatari, è tuttavia necessario dotarsi di CAL aziendali di Exchange Server 2007.

Dislocazione della cassetta postale del journal

Dopo aver deciso gli elementi da inserire nel journal, è necessario specificare la posizione presso cui inviare i report del journal. Se l'organizzazione ha più sedi, è opportuno tenere conto della topologia di rete corrente o pianificata per decidere le posizioni in cui creare le cassette postali per i journal. L'inserimento di informazioni nel journal, infatti, può provocare la creazione di un notevole numero di report ripetitivi in funzione delle dimensioni dell'organizzazione e del numero di cassette postali.

Non è, tuttavia, necessario limitarsi alle cassette postali di Exchange, dal momento che è possibile inviare report del journal a qualsiasi indirizzo SMTP valido. Tale indirizzo può puntare verso i servizi host di Exchange, una soluzione di archiviazione di terze parti oppure una qualsiasi combinazione di questi tramite un gruppo di distribuzione. È necessario tenere conto, in questo caso, delle implicazioni di protezione relative alle posizioni presso cui si inviano i report del journal.

Indipendentemente dalla posizione prescelta per la cassetta postale del journal, è necessario creare un oggetto destinatario corrispondente in Active Directory. L'oggetto può essere una cassetta postale Exchange Server 2007, un contatto con la posta abilitata che reindirizza la posta verso i servizi host di Exchange o una soluzione di archiviazione di terze parti oppure una lista di distribuzione che contiene sia cassette postali che contatti.

Contenuto del report del journal

Quando un messaggio viene inserito nel journal dall'agente di journaling, nel report del journal vengono acquisite le informazioni sul messaggio originale nel massimo dettaglio possibile. Il report viene quindi inviato alla cassetta postale del journal. Le informazioni acquisite sono molto importanti per determinare l'intento, i destinatari e i mittenti del messaggio. Quando, ad esempio, si identificano i destinatari inseriti direttamente nel campo A, nel campo Cc o solo in una lista di distribuzione, è facile determinare il tipo di coinvolgimento del destinatario nella discussione del messaggio. Il messaggio originale viene inoltrato come allegato. Nelle schermate riprodotte nella Figura 2 sono illustrati un report del journal con un messaggio inviato a david@contoso.com e inoltrato a christine@contoso.com e un altro report del journal con un messaggio inviato al gruppo di distribuzione Sales_Group@contoso.com che è stato espanso e il destinatario lukas@contoso.com, membro del gruppo di distribuzione Sales Group, che ha ricevuto il messaggio. In entrambi i report è presente il messaggio originale in allegato, con il mittente originale, che è brian@contoso.com, e l'oggetto "Sales forecast".

Figura 2 Report del journal con il destinatario di un messaggio inoltrato e un destinatario di un gruppo di distribuzione espanso

Figura 2** Report del journal con il destinatario di un messaggio inoltrato e un destinatario di un gruppo di distribuzione espanso **(Fare clic sull'immagine per ingrandirla)

In Exchange vengono classificate solo le informazioni considerate corrette. Le informazioni che non è possibile determinare in modo automatico vengono inserite nei campi corrispondenti del report del journal. Nella Figura 2 sono descritti i campi inseriti nel corpo del report del journal.

Tutto ciò che serve sapere sulla protezione

Per impostazione predefinita, tutte le comunicazioni scambiate tra computer con Exchange Server 2007 all'interno della medesima organizzazione Exchange vengono crittografate, compresi i report del journal. In Exchange Server vengono eseguite alcune operazioni volte a ridurre il rischio di manomissione dei report del journal:

  • Per le comunicazioni tra server Trasporto Hub e server Cassette postali nell'organizzazione Exchange 2007 si utilizzano connessioni protette.
  • I report del journal vengono inviati come "Microsoft Exchange" per conto del mittente del messaggio originale.
  • Le sessioni tra server Trasporto Hub e server Cassette postali sono autenticate.
  • Quando i report del journal vengono trasmessi tra server Trasporto Hub e server Cassette postali all'interno della medesima organizzazione Exchange 2007, vengono accettate solo connessioni autenticate.

Quando si crea una cassetta postale del journal, è necessario proteggerla poiché la cassetta postale contiene i messaggi inviati e ricevuti dagli utenti dell'organizzazione. Alcuni dei messaggi potrebbero entrare a far parte di azioni giudiziarie o essere soggetti a requisiti normativi particolari e, in base alle normative d molte nazioni, è necessario che i messaggi restino al sicuro da eventuali manomissioni prima di essere messi a disposizione dell'autorità giudiziaria. Per aumentare il livello di protezione della cassetta postale del journal, è necessario configurare la cassetta postale in modo che accetti solo messaggi dal mittente Microsoft Exchange e richiedere che tutti i messaggi inviati alla cassetta postale abbiano mittenti autenticati. Nella Figura 3 sono illustrate le restrizioni sul recapito dei messaggi configurate per una cassetta postale del journal. Per configurare le stesse restrizioni sul recapito dei messaggi, è inoltre possibile utilizzare il seguente comando dell'Exchange Management Shell:

Set-Mailbox <Journal Mailbox Name>
-AcceptMessagesOnlyFrom "Microsoft Exchange" -RequireSenderAuthenticationEnabled $True

Figura 3 Restrizioni sul recapito dei messaggi

Figura 3** Restrizioni sul recapito dei messaggi **(Fare clic sull'immagine per ingrandirla)

Se si inviano i report del journal a una cassetta postale del journal esterna alla propria organizzazione Exchange Server 2007, sarà necessario crittografare e proteggere manualmente la connessione tra i computer di Exchange Server 2007 e il server di destinazione. È possibile ottenere questo risultato richiedendo l'utilizzo della Transport Layer Security (TLS) tra i due sistemi, richiedendo l'autenticazione sul sistema di destinazione, accettando solo messaggi sul sistema di destinazione provenienti dall'indirizzo SMTP del mittente Microsoft Exchange (l'indirizzo SMTP sarà simile a Exchange_UMUnique GUID@contoso.com) e configurando il contatto di Active Directory utilizzato per l'inoltro dei messaggi in modo che accetti messaggi provenienti unicamente dal mittente Microsoft Exchange.

Implementazione delle regole di inserimento nel journal

A questo punto è bene passare dalle parole ai fatti e provare a implementare delle regole. È possibile configurare le regole di inserimento nel journal sia nell'Exchange Management Shell che nell'Exchange Management Console. Con entrambi i metodi è possibile configurare destinatario, ambito e impostazioni della cassetta postale del journal. Per impostazione predefinita, le regole di inserimento nel journal vengono attivate al momento della creazione. Il valore specificato per l'indirizzo di posta elettronica del journal deve essere un oggetto destinatario esistente nell'organizzazione Exchange Server 2007. L'oggetto destinatario può essere una cassetta postale, un gruppo di distribuzione, un gruppo di distribuzione dinamico o un contatto che invia messaggi a un indirizzo SMTP.

Quando si utilizza l'Exchange Management Console, è possibile sfruttare la creazione guidata di una nuova regola di inserimento nel journal. Nella sezione Configurazione organizzazione, scegliere il ruolo del server Trasporto Hub. Nel riquadro Azioni fare clic su Nuova regola del diario. Qui è necessario indicare i valori per il nome della regola, l'indirizzo di posta elettronica del journal e l'ambito. Se si desidera utilizzare la regola di inserimento nel journal per inserire i messaggi di tutti i destinatari dell'organizzazione, non è invece necessario specificare un valore per il campo del destinatario. È inoltre possibile specificare se si desidera che la regola venga creata come disattivata. Nella Figura 4 è illustrata una configurazione di esempio con cui si inseriscono nel journal tutti i messaggi inviati o ricevuti da brian@contoso.com. I messaggi inseriti nel journal vengono inviati a una cassetta postale del journal denominata Compliance Mailbox.

Figura 4 Creazione guidata di una nuova regola di inserimento nel journal

Figura 4** Creazione guidata di una nuova regola di inserimento nel journal **(Fare clic sull'immagine per ingrandirla)

Nell'Exchange Management Shell è possibile utilizzare i seguenti sei cmdlet per amministrare l'agente di journaling:

  • New-JournalRule
  • Set-JournalRule
  • Get-JournalRule
  • Remove-JournalRule
  • Enable-JournalRule
  • Disable-JournalRule

Il cmdlet New-JournalRule consente di creare una nuova regola di inserimento nel journal. I criteri di base per la creazione di una nuova regola di inserimento nel journal restano gli stessi in vigore quando si utilizza la creazione guidata. È necessario specificare i valori per il nome, l'ambito e i parametri di JournalEmailAddress. Anche in questo caso, se si desidera utilizzare la regola di inserimento nel journal per inserire i messaggi di tutti i destinatari dell'organizzazione, non è necessario specificare un valore per il parametro del destinatario. Per creare invece la regola come disattivata, è necessario specificare il valore $False per il parametro Enabled. La creazione di una regola di inserimento nel giornale con una configurazione identica alla regola descritta nella Figura 4 richiede l'esecuzione del comando:

New-JournalRule 
-Name "Brian Smith Journal Rule" 
-Recipient brian@contoso.com 
-JournalEmailAddress "Compliance Mailbox" 
-Scope Global

Per visualizzare un elenco di tutte le regole di inserimento nel giornale che si sono create, si utilizza il cmdlet Get-JournalRule. Quando si esegue questo cmdlet da solo, si visualizza un elenco sintetico di tutte le regole di inserimento nel journal configurate nell'organizzazione con le rispettive configurazioni. Per visualizzare tutte le informazioni disponibili su una regola di inserimento nel journal, è possibile passare tramite pipeline il cmdlet Get-JournalRule al cmdlet Format-List. Questo metodo consente di passare l'output di un cmdlet al cmdlet successivo, in modo da elaborare ulteriormente l'output con il secondo cmdlet. Con il cmdlet Format-List, ad esempio, si ottiene la visualizzazione di tutti gli output che il cmdlet ha ricevuto. Per visualizzare tutte le informazioni disponibili sulla regola di inserimento nel journal creata in precedenza, è possibile eseguire il comando:

Get-JournalRule -Identity "Brian Smith Journal Rule" | Format-List

Per attivare o disattivare una regola di inserimento nel journal, si utilizzano i cmdlet Enable-JournalRule e Disable-JournalRule. Quando si utilizzano questi cmdlet, è necessario specificare specify il nome della regola nel parametro Identity. Per disattivare, ad esempio, la regola di inserimento nel journal appena creata, utilizzare il seguente comando:

Disable-JournalRule -Identity "Brian Smith Journal Rule"

Il cmdlet Set-JournalRule consente di modificare una regola di inserimento nel journal esistente. Al parametro Identity viene attribuito come valore il nome della regola di inserimento nel journal, in modo da specificare all'agente di journaling la regola oggetto della modifica. È quindi possibile specificare i valori per i parametri Recipient, JournalEmailAddress, Scope o per una qualsiasi combinazione dei tre insieme al nuovo valore. Per modificare, ad esempio, il valore memorizzato nel parametro JournalEmailAddress per la regola appena creata, è possibile utilizzare il seguente comando:

Set-JournalRule -Identity "Brian Smith Journal Rule" -JournalEmailAddress "Seattle Users Compliance Mailbox"

Il cmdlet Remove-JournalRule, infine, consente di rimuovere una regola di inserimento nel journal esistente. Per specificare il nome della regola da rimuovere, si utilizza il parametro Identity. Per eliminare la regola di inserimento nel journal di esempio, utilizzare il seguente comando:

Remove-JournalRule "Brian Smith Journal Rule"

Verrà richiesta conferma dell'eliminazione della regola di inserimento nel journal. Un ultimo suggerimento: con quasi tutti i cmdlet, è possibile omettere l'etichetta del parametro Identity e specificare soltanto il valore del parametro.

David Strome è Technical Writer del gruppo Exchange User Education presso Microsoft da oltre un anno. Prima dell'assunzione in Microsoft a Redmond, WA, David ha lavorato per circa 10 anni alla progettazione, implementazione e amministrazione di installazioni di Exchange Server per molte aziende in British Columbia, Canada. È possibile contattare David scrivendo all'indirizzo dstrome@microsoft.com.

© 2008 Microsoft Corporation e CMP Media, LLC. Tutti i diritti riservati. È vietata la riproduzione completa o parziale senza autorizzazione.