.png "Microsoft Exchange Server")
.png "Exchange 2007 - bezpieczna komunikacja smtp, cz. II"){kind=icon}
Exchange 2007 - bezpieczna komunikacja smtp, cz. I .png "Udostępnij na: Facebook")
Autor: Jacek Kochan
Opublikowano: 10 maja 2008
Zawartość strony
.gif){kind=icon} |
Wprowadzenie |
|
Konektory Exchange 2007 |
Wprowadzenie
Exchange już w wersji 2003 domyślnie blokował open-relay. W zasadzie nie wymagał również od administratora dużego nakładu pracy w procesie implementacji dla zapewnienia bezpiecznego obiegu poczty w prostym środowisku pocztowym. Jednak, gdy trzeba skonfigurować obieg poczty pomiędzy kilkoma serwerami Exchange i często też z serwerem brzegowym, to potrzebny był trochę większy wysiłek. Administratorzy często nie są pewni, kiedy serwer SMTP odpowiada za wysyłanie, a kiedy za odbieranie poczty i jak taką funkcjonalność rozdzielić. Projektanci serwera Exchange 2007 wyszli na przeciw tym problemom i rozdzielili funkcje serwera SMTP na konektory wysyłające i odbierające. Mało tego, zależnie od tego, czy konektor znajduje się na roli Edge Transport czy Hub Transport, mamy jasno wyznaczone, który konektor służy do obsługi użytkowników a który do komunikacji z obcymi serwerami poczty.
W tym artykule chciałbym rozważyć dwa scenariusze komunikacji pocztowej: scenariusz „oszczędnościowy” z wykorzystaniem pojedynczego serwera Exchange, który będzie obsługiwał wszystkie role oraz scenariusz „słuszny” z wykorzystaniem serwera Edge oraz serwerów z konektorami smtp dla klientów zewnętrznych i wewnętrznych.
.gif){kind=icon}
Do początku strony
Konektory Exchange 2007
Konektory SMTP w Exchange są dwojakiego rodzaju: send connector i receive connector. Send connector wysyła maile poprzez serwer Hub Transport do innej organizacji bądź do Internetu, więc jest konektorem, który nie nasłuchuje. Konektory nasłuchujące - Receive connector - znajdują się na każdym serwerze Hub Transport i ich zadaniem jest odbieranie maili.
Send connector
Domyślnie po instalacji serwera musimy ręcznie stworzyć taki konektor, jeżeli nie zamierzamy wdrażać serwera Edge w organizacji Exchange. Send Connector ma cztery typy szablonów możliwych do wyboru podczas jego tworzenia przez konsolę Exchange:
- Custom – ten szablon wykorzystujemy, gdy chcemy utworzyć konektor według własnych ustawień.
- Internal – służy do wysyłania poczty do serwerów, które chcemy użyć jako smart hosty.
- Internet – służy do wysyłania maili do obcych serwerów internetowych, posługując się serwerami DNS w celu rozwiązywania nazw domen.
- Partner – ten typ wykorzystujemy do przesyłania maili do serwerów domen partnerów z wykorzystaniem szyfrowania TLS i certyfikatów. Domeny partnerów wpisujemy jako parametr TLSSendDomainSecureList polecenia Set-TransportConfig
Receive Connector
Domyślnie po instalacji na każdym serwerze transportowym są tworzone dwa konektory odbierające:
- Default (port 25 – SMTP) - służy do odbierania poczty od innych serwerów pocztowych, w tym od serwerów z tej samej organizacji oraz od serwerów uwierzytelnionych, ale również może obsługiwać użytkowników.
- Client (port 587 – submission) – służy do odbierania maili od użytkowników. Port 587 zgodnie z RFC 4409 ma służyć do odbioru wiadomości od użytkowników, aby oddzielić komunikację SMTP pomiędzy serwerami od obsługi użytkowników serwera pocztowego, którzy to korzystają z tego samego protokołu, jednakże w trochę innym kontekście.
Możemy oczywiście zadecydować, czy chcemy być zgodni z RFC i zmusić użytkowników do zmiany portu SMTP w konfiguracji klientów pocztowych, czy też pozostać przy porcie 25. Możemy również zabronić używanie portu 25 przez użytkowników przez odznaczenie grupy Exchange users w zabezpieczeniach konektora Default. Wszystko zależy od polityki bezpieczeństwa danej firmy.
Oba te konektory mają służyć tylko do użytku wewnętrznego. Jeżeli planujemy, by serwer Exchange był wystawiony na zewnątrz sieci, stwórzmy do tego celu dodatkowy konektor. Jeśli planujemy użycie serwera Edge Transport, wtedy konektory podczas subskrypcji tego serwera utworzą się automatycznie.
Konektory nie tylko różnią się numerem portu. Gdy tworzymy nowy konektor poprzez konsolę, Exchange daje nam pięć typów do wyboru, które można nazwać szablonami. Są to: Custom, Internet, Internal, Client, Partner. Każdy z nich ma własny schemat domyślnych zabezpieczeń i uwierzytelnień, które oczywiście można później zmieniać na działającym już konektorze.
Domyślne ustawienia uwierzytelnień konektora Default:
.png)
Rys. 1. Domyślne ustawienia uwierzytelnień konektora Default.
Domyślne ustawienia zabezpieczeń konektora Default:
.png)
Rys. 2. Domyślne ustawienia zabezpieczeń konektora Default.
Tak więc szablon:
- Custom – służy do utworzenia konektora według własnych ustawień. Taki konektor domyslnie ma włączony dostęp dla użytkowników anonimowych.
- Internet ma służyć do komunikacji SMTP i odbioru wiadomości z obcych serwerów pocztowych, przez co ma wyłączone wszystkie typy uwierzytelnień i zabezpieczenia pozwalające na przesyłanie wiadomości przez anonimowych użytkowników.
- Internal – ma służyć jedynie do odbioru wiadomości od serwerów Exchange z tej samej organizacji. Ma włączone uwierzytelnianie Exchange Server Authentication, które jak sama nazwa wskazuje, służy do identyfikacji serwerów Exchange.
- Client – działa domyślnie na porcie 587 i obsługuje uwierzytelnianych klientów pocztowych. Dlatego ma włączone uwierzytelnianie Basic i Integrated. Dostęp poprzez zabezpieczenia jest włączony tylko dla Exchange users, czyli dla wszystkich użytkowników serwera Exchange.
- Partner – służy do komunikacji z serwerami pocztowymi, które obsługują domeny SMTP partnerów. Taki konektor akceptuje pocztę jedynie z domen SMTP, które są wpisane w listę domain-secured. Lista ta jest parametrem o nazwie TLSReceiveDomainSecureList, ustawianym poleceniem Set-TransportConfig.
Więcej informacji:
https://technet.microsoft.com/en-us/library/bb124327(EXCHG.80).aspx
.jpg) |
Jacek Kochan Absolwent Wydziału Matematyki i Informatyki Uniwersytetu Adama Mickiewicza w Poznaniu. Obecnie pracuje w poznańskiej firmie softwarowo-consultingowej DomData. Autor artykułów do poradników dla administratorów wyd. "Wiedza i Praktyka". Wdrożył też m.in. pierwsze środowisko hostingowe, oparte na Exchange 2007, w Polsce. Specjalizuje się w systemach Windows Server, Exchange oraz ISA. Interesuje się też fizyką i kryptografią kwantową. Posiada certyfikaty MCSE+S, MCSE+M. |
| Do początku strony |