Exchange 2007 - bezpieczna komunikacja smtp, cz.III
Autor: Jacek Kochan
Opublikowano: 10 maja 2008
Scenariusz Exchange 2007 z serwerem Edge
W tym scenariuszu rozpatrzymy następujący schemat organizacji:
- serwer Mailbox i Hub Transport w strefie back-end
- serwer Client Access i Hub Transport w strefie front-end z dostępem do kontrolerów Active Directory
- serwer Edge w strefie DMZ
Rys.1. Scenariusz Exchange 2007 z serwerem Edge.
Komunikacja SMTP z serwerami będzie odbywała się przez serwer Edge. Komputer z rolą Edge, który nie jest podłączony do domeny, nie powinien obsługiwać klientów pocztowych, gdyż nie będzie w stanie ich uwierzytelniać. Dlatego też obsługą użytkowników powinien zająć się w pełni osobny serwer w strefie Front-end. W tym przypadku będzie to serwer, który obsługuje również rolę Client-Access. Na tym serwerze musi być więc zainstalowana również rola Hub-Transport.
Nie będziemy tworzyć Send connectora, tak jak w poprzednim scenariuszu, gdyż utworzy się on automatycznie podczas subskrybowania serwera Edge. Subskrypcję wykonujemy w dwóch krokach.
- Tworzymy plik subskrypcji na serwerze Edge poleceniem shellowym: New-EdgeSubscription –file "C:\edgesubscription.xml"
- Kopiujemy powstały plik na jeden z serwerów z rolą Hub Transport i wykonujemy na nim polecenie: new-edgesubscription -filename "c:\edgesubscription.xml" -site "Default-First-Site-Name"
Można to wykonać również przez konsolę, wykonując akcję w gałęzi Organization configuration - Hub Transport.
W wyniku powstaną dwa konektory służące do wymiany poczty w obie strony, identyczne w organizacji Exchange oraz na serwerze Edge.
Rys.2. Konektory służące do wymiany poczty w obie strony.
Zmiany konfiguracji na tych konektorach możemy wykonywać tylko w organizacji.
Zostaną one zreplikowane na serwer Edge. Replikacja danych pomiędzy organizacją a serwerami Edge odbywa się automatycznie, ale można ją też wymusić poleceniem Start-EdgeSynchronization. Powinniśmy je wykonać po subskrypcji, aby sprawdzić, czy komunikacja między serwerem Hub Transport a Edge jest prawidłowa. Należy również zadbać o to, by serwer transportowy „widział” serwer Edge, czyli by potrafił rozpoznać jego nazwę dns. Najlepiej po prostu dodać rekordy A do serwera dns Active Directory.
Tak więc komunikację ze światem mamy praktycznie załatwioną. Pozostają użytkownicy zewnętrzni oraz wewnętrzni. Tutaj postępujemy analogicznie, jak w pierwszym scenariuszu. Wybieramy rozwiązanie komunikacji zgodne z RFC i wymuszamy łączenie się klientów po porcie 587, bądź też pozwalamy im na przesyłanie poczty na porcie 25. Domyślne ustawienia serwerów Hub Transport są jak najbardziej w porządku, gdyż jest możliwa komunikacja jedynie po uwierzytelnieniu.
Pozostaje jeszcze zabezpieczenie serwera Edge, aby nikt z naszych użytkowników nie próbował wysyłać za jego pomocą nieuwierzytelnioną pocztę. W tym celu możemy wykorzystać sposób opisany w pierwszym scenariuszu i utworzyć regułę transportową, ale możemy również posłużyć się filtrem antyspamowym. Jest to w tym momencie możliwe, gdyż nie potrzebujemy, aby poczta z adresami nadawcy z naszych domen były przez przesyłane przez serwer Edge.
Konfigurację możemy przeprowadzić z konsoli, wchodząc na serwerze Edge w zakładce Anti-Spam na Sender Filtering. W zakładce Blocked Senders umieszczamy nasze domeny.
Rys.3. Zakładka Blocked Senders.
Warto również zaznaczyć opcję blokowania poczty od pustych nadawców.
Gdy któraś z domen ma ustawiony MX na inny serwer pocztowy niż nasz, wtedy poczta, która nie znalazła odbiorców na tamtym serwerze, przesyłana jest do naszego. W wypadku, gdy smart-hostem dla takiej poczty jest serwer Edge, wówczas musielibyśmy wykasować tą domenę z zablokowanych nadawców. Najlepiej więc utworzyć dodatkowy Receive Connector na zewnętrznym serwerze Hub Transport właśnie do takich celów.
Jacek Kochan Absolwent Wydziału Matematyki i Informatyki Uniwersytetu Adama Mickiewicza w Poznaniu. Obecnie pracuje w poznańskiej firmie softwarowo-consultingowej DomData. Autor artykułów do poradników dla administratorów wyd. "Wiedza i Praktyka". Wdrożył też m.in. pierwsze środowisko hostingowe, oparte na Exchange 2007, w Polsce. Specjalizuje się w systemach Windows Server, Exchange oraz ISA. Interesuje się też fizyką i kryptografią kwantową. Posiada certyfikaty MCSE+S, MCSE+M. |
Do początku strony |