Esplorazione della frontiera dei server Trasporto Edge
Ultima modifica dell'argomento: 2007-06-06
Di Kate Follis
Immaginiamoci un futuro in cui la comunicazione avverrà quasi istantaneamente, in cui i messaggi importanti verranno recapitati in modo affidabile e quelli contraffatti identificati immediatamente e in cui il trojan horse non potrà compromettere i sistemi. Ebbene, questo futuro è possibile sin da ora. Quella che vi racconterò è la storia di come un coraggioso amministratore della messaggistica è riuscito a scoprire i vantaggi derivanti dalla distribuzione di un server Trasporto Edge di Microsoft Exchange Server 2007.
Registro dell'amministratore, utilizzo di Exchange 2007
Proprio oggi sono riuscito a distribuire una soluzione di comunicazione finalmente in grado di soddisfare gli innumerevoli requisiti della sede centrale e che consente di migliorare le prestazioni dei sistemi interni. Prevedo che questa innovazione consoliderà la mia promozione ad amministratore dell'organizzazione dell'intera foresta Northwind Traders.
Tutto è iniziato stamattina. La chiamata è arrivata prima che finissi la mia prima tazzina di caffè. La sede centrale mi affidò il compito di condurre le negoziazioni per stipulare accordi commerciali con Wide World Importers. Pensavo che il sistema di messaggistica da noi utilizzato andasse bene, anche se di recente il responsabile del reparto sviluppo si lamentava sempre più spesso delle difficoltà relative alla posta indesiderata. Eppure al momento stiamo utilizzando Exchange 2007 con tutti gli agenti di protezione da posta indesiderata abilitati e configurati su un server Trasporto Hub con accesso a Internet. Ma quando ho ricevuto le istruzioni dall'azienda, ho capito che avrei avuto bisogno di altre funzioni.
Il responsabile capo delle comunicazioni per Northwind Traders mi chiese: "Sei sicuro di essere all'altezza della situazione?".
"Naturalmente, grazie a Exchange 2007 posso riuscirci", risposi con sicurezza.
"È vero, ho sentito dire che è sicuro", rispose. "Com'è la funzionalità di igiene della messaggistica? Non c'è nulla di più seccante che consentire l'accesso anonimo alla porta di comunicazione per ritrovarsi con allegati infetti inviati da Tailspin Toys."
La cosa mi fece riflettere. "Farei meglio a controllare la mia configurazione." Feci sapere alla sede centrale che il sistema che utilizzo è assolutamente all'avanguardia e all'altezza di qualsiasi sfida nell'ambito delle comunicazioni.
"Mi fa piacere sentirlo. La relazione con Wide World Importers è molto importante e deve avvenire con una comunicazione autenticata e crittografata. Le comunicazioni in entrata devono essere notificate in copia al responsabile del trattamento dei dati presso la sede centrale prima che vengano elaborate dai server interni. Dovrai inoltre accertarti che nessuno di questi messaggi sia bloccato. In caso contrario, i problemi sarebbero seri. Un'altra cosa che desidero è che tutte le comunicazioni appaiano come se provenissero direttamente dalla sede centrale di Northwind Traders. Non c'è alcun bisogno di far conoscere l'organizzazione interna dell'azienda a Wide World Importers. Sei in grado di fare tutto ciò?”
"Ovviamente sì, verificheremo i nostri sistemi di sicurezza e inizieremo subito le negoziazioni. Mi accerterò personalmente di notificarle in copia tutte le comunicazioni in cui è coinvolta Wide World Importers."
Disposizioni al team
Terminata la conversazione con la sede centrale, inviai subito un messaggio di posta elettronica ai responsabili dei reparti progettazione e sviluppo. Ho copiato di seguito il thread completo del messaggio:
----- Messaggio originale -----
A: Design@enterprise.northwindtraders.com; Engineer@enterprise.northwindtraders.com
From: Administrator@enterprise.northwindtraders.com
Oggetto: Nuove direttive aziendali
La sede centrale ha affidato all'azienda il compito di iniziare le negoziazioni con Wide World Importers. Tuttavia, prima di iniziare le comunicazioni, devo accertarmi che il nostro sistema di messaggistica soddisfi i requisiti relativi alla comunicazione. Le seguenti sono le nuove direttive impartite:
I messaggi provenienti da Wide World Importers devono essere notificati in copia alla sede centrale prima che vengano elaborati dai server interni.
Anche tutti i messaggi inviati a Wide World Importers devono essere notificati in copia alla sede centrale.
Dobbiamo mascherare il nostro indirizzo di posta elettronica e sostituirlo con un indirizzo Northwind Traders.
Tutti i messaggi inviati a o ricevuti da Wide World Importers devono essere autenticati e crittografati e non devono essere bloccati. Esiste un modo per verificare che i messaggi provengano realmente da Wide World Importers prima che vengano accettati?
Una cosa su cui ho dei dubbi è se consentire o meno a Tailspin Toys di accedere alla porta di comunicazione con degli allegati, dato che sembra ci sia stata un'epidemia di virus correlata a suoi messaggi.
----- Risposta -----
A: Administrator@enterprise.northwindtraders.com; Engineer@enterprise.northwindtraders.com
From: Design@enterprise.northwindtraders.com
Oggetto: Re: Nuove direttive aziendali
Mi sembra tutto chiaro. Dovremmo implementare delle regole per il perimetro della rete, la riscrittura degli indirizzi, la protezione dei domini e il filtro degli allegati. Sarebbe inoltre opportuno riuscire a limitare al perimetro della rete le connessioni anonime alla porta di comunicazione. Propongo di distribuire un server Trasporto Edge.
----- Risposta -----
A: Administrator@enterprise.northwindtraders.com; Design@enterprise.northwindtraders.com
From: Engineer@enterprise.northwindtraders.com
Oggetto: Re: Nuove direttive aziendali
Concordo pienamente con il responsabile del reparto progettazione. Se riuscissimo a distribuire un server Trasporto Edge, avremmo una sorta di campo di forza intorno all'azienda in grado di respingere la posta indesiderata e un meccanismo per ostacolare i messaggi infetti sulla porta 25! E visto che il server Trasporto Edge utilizza le stesse interfacce di gestione di tutti gli altri ruoli del server di Exchange 2007, posso fare il tutto immediatamente. Devono dare subito il via ai lavori per la configurazione?
----- Risposta -----
A: Engineer@enterprise.northwindtraders.com; Design@enterprise.northwindtraders.com
From: Administrator@enterprise.northwindtraders.com
Oggetto: Re: Nuove direttive aziendali
Incontriamoci nell'area conferenze tra un'ora e ne parleremo.
Progettazione della soluzione
Entrambi i responsabili dei reparti progettazione e sviluppo sembravano sicuri che un server Trasporto Edge avrebbe risolto tutti i miei problemi, ma io avevo ancora delle domande da fare. Arrivarono puntuali nell'area conferenze con le informazioni di cui avevo bisogno.
Il responsabile del reparto progettazione aveva con sé la seguente scheda delle funzioni di protezione da posta indesiderata e antivirus disponibili per i ruoli del server Trasporto Hub e Trasporto Edge. Scoprii che gli agenti di Exchange 2007 possono implementare tutte le funzioni di cui ho bisogno.
| Funzionalità | Supportata sui server Trasporto Edge? | Supportata sui server Trasporto Hub? |
|---|---|---|
Filtro degli allegati L'agente filtro allegati consente di bloccare specifici tipi di allegati. È possibile rimuovere l'allegato pur consentendo il recapito del messaggio oppure è possibile eliminare automaticamente sia l'allegato che il messaggio. |
Sì |
No |
Filtro delle connessioni L'agente filtro connessioni consente di filtrare le connessioni in base all'indirizzo IP di origine o all'intervallo di indirizzi IP. Le connessioni da origini di posta indesiderata conosciute possono essere bloccate. |
Sì |
Sì |
Filtro del contenuto L'agente filtro contenuto valuta la probabilità che un messaggio di posta elettronica sia un messaggio indesiderato. Con una licenza CAL (Client Access License) Enterprise di Exchange, si ottengono aggiornamenti regolari del filtro del contenuto. Tra questi sono inclusi dati aggiornati relativi al phishing dei siti Web, l'euristica della posta indesiderata di Microsoft SmartScreen e altri aggiornamenti del filtro messaggi intelligente. |
Sì |
Sì |
Filtro destinatario L'agente di filtro destinatario consente di accettare solo la posta elettronica inviata a destinatari validi. |
Sì, con una sottoscrizione Edge |
Sì |
Filtro mittente L'agente filtro mittente consente di bloccare la posta elettronica ricevuta da specifici mittenti. Ad esempio, è possibile bloccare i messaggi provenienti da origini conosciute di posta indesiderata. |
Sì |
Sì |
ID mittente L'agente ID mittente verifica l'indirizzo IP di origine per un messaggio di posta elettronica ricevuto rispetto agli indirizzi IP registrati per il dominio di origine. |
Sì |
Sì |
Aggregazione dell'elenco indirizzi attendibili Questa funzione consente di raccogliere i dati degli elenchi Destinatari attendibili o Mittenti attendibili contro la posta indesiderata e i dati dei contatti configurati dagli utenti di Outlook e di renderli disponibili per gli gli agenti di protezione da posta indesiderata e antivirus nel computer in cui è installato il ruolo del server Trasporto Edge. L'aggregazione degli elenchi indirizzi attendibili consente di ridurre le istanze false positive durante l'esecuzione del filtro protezione da posta indesiderata elaborato dal server Trasporto Edge. Quando un amministratore di Exchange abilita e configura correttamente l'aggregazione degli elenchi indirizzi attendibili, l'agente filtro contenuto trasmette i messaggi di posta sicuri alla cassetta postale dell'azienda senza ulteriori elaborazioni. |
Sì |
Sì |
Riscrittura degli indirizzi L'agente di riscrittura degli indirizzi consente di mascherare l'identità di un dominio interno modificando l'indirizzo di posta elettronica interno in un indirizzo alternativo. |
Sì |
No |
Regole di trasporto Le regole di trasporto consentono di eseguire operazioni sulla posta elettronica inviata e ricevuta. Sui server Trasporto Edge sono disponibili predicati, azioni ed eccezioni diversi da quelli disponibili sui server Trasporto Hub. Le regole di trasporto Edge forniscono una funzionalità aggiuntiva di protezione da posta indesiderata e antivirus. Tali regole consentono l'applicazione dei criteri nell'organizzazione di Exchange 2007. Per ulteriori informazioni, vedere Cenni preliminari sulle regole di trasporto. |
Sì |
Sì |
Protezione dei domini La protezione dei domini consente di identificare i domini attendibili e di negoziare la protezione per le comunicazioni tramite posta elettronica con tali domini. |
Sì, con una sottoscrizione Edge |
No |
Il responsabile del reparto progettazione mi fornì anche dei collegamenti attraverso i quali reperire altre informazioni su ciascuna di queste funzioni:
"Bene, sembra proprio che un server Trasporto Edge sia l'ideale per implementare le funzioni di cui ho bisogno per potermi adeguare alle direttive aziendali per le comunicazioni con Wide World Importers. Ma in che modo il responsabile del reparto sviluppo può realizzare la distribuzione garantendo una tolleranza di errore?", domandai.
"Ho tutti gli strumenti necessari", disse il responsabile del reparto sviluppo. "Distribuirò due server Trasporto Edge nella rete perimetrale. Configurerò il DNS per l'utilizzo di un meccanismo di round robin per bilanciare il carico delle connessioni in ingresso. In questo modo, verranno creati manualmente dei certificati con il nome di dominio completo di entrambi i server per fornire protezione del dominio; le procedure sono disponibili consultando questo collegamento: Creazione di un certificato o di una richiesta di certificato per TLS.”
"Bene. Ma come renderai la configurazione coerente tra i server? E cosa mi dici sul bilanciamento del carico e sulla tolleranza di errore per le connessioni in ingresso?", domandai.
"Utilizzerò la configurazione clonata per assicurarmi che i server abbiano una configurazione coerente. Quindi creerò una sottoscrizione Edge per entrambi i server. Ciò permetterà di utilizzare tutte le funzioni del server Trasporto Edge, inclusa l'aggregazione dell'elenco indirizzi attendibili. In questo modo si impedirà che i messaggi riguardanti Wide World Importers siano bloccati. La sottoscrizione Edge creerà anche tutti i connettori di invio di cui abbiamo bisogno. Entrambi i server Trasporto Edge verranno elencati come server di origine per il connettore di invio per le connessioni esterne e così otterremo il bilanciamento del carico e la tolleranza di errore anche per queste connessioni. Sembrava che il responsabile del reparto sviluppo avesse riflettuto su questa soluzione. Trovai ulteriori informazioni sulla configurazione clonata in questo collegamento: Utilizzo della configurazione clonata del server Edge Transport.
"Ho ancora dei dubbi su come tutto ciò possa incidere sulla protezione. Dovrò anche giustificare la spesa dell'hardware aggiuntivo", dissi per placare l'entusiasmo del responsabile del reparto sviluppo.
"Bene", rispose il responsabile del reparto sviluppo. "Distribuendo un server Trasporto Edge, saremo in grado di impedire l'accesso anonimo che avevamo abilitato sul connettore di ricezione del server Trasporto Hub. Potremo garantire una migliore protezione delle nostre risorse interne, ad esempio del servizio directory di Active Directory. La posta indesiderata e i virus verranno bloccati nel punto più vicino possibile. Godremo di migliori difese contro le minacce esterne, gli attacchi directory harvest e gli attacchi Denial of Service a livello di SMTP. Spostando sul perimetro la funzionalità di protezione da posta indesiderata, ridurremo anche il sovraccarico di elaborazione sui server di messaggistica interni. Per assicurarmi che la nostra strategia di difesa sia davvero efficace, continuerò a eseguire una ricerca interna dei virus sui server Trasporto Hub. Ad ogni modo, stavo già pianificando di aggiungere un server Trasporto Hub a supporto del carico per la protezione da posta indesiderata e quindi l'hardware è già disponibile."
"Ancora un attimo. In che modo il server Trasporto Edge protegge Active Directory? Come può eseguire la ricerca dei destinatari se non la effettua in Active Directory?" domandai.
"Il processo viene gestito dalla sottoscrizione Edge", spiegò il responsabile del reparto sviluppo. "Distribuirò i server Trasporto Edge in un gruppo di lavoro e il servizio EdgeSync di Microsoft Exchange replicherà i destinatari sul server Trasporto Edge come oggetti crittografati. Il server Trasporto Edge archivierà tutti i dati nel servizio directory di ADAM. Ecco, questo è il collegamento a una risorsa in cui sono disponibili informazioni su questa tecnologia: Informazioni sulle sottoscrizioni Edge.”
Il responsabile del reparto progettazione sostenne le affermazioni del responsabile del reparto sviluppo. In effetti, mi disse: "Concordo con i piani del mio collega. Ha suggerito il percorso più logico per riuscire a fornire tutte le funzionalità di cui ha bisogno la sede centrale".
"Molto bene", conclusi io. "Iniziamo la distribuzione."
Implementazione della soluzione
Il responsabile del reparto sviluppo rese operativo l'hardware in pochissimo tempo e noi eravamo pronti per iniziare la configurazione del ruolo del server Trasporto Edge per soddisfare i requisiti della sede centrale.
Il primo compito consisteva nell'implementare la riscrittura degli indirizzi per mascherare l'identità del sottodominio aziendale. Seguimmo le procedure illustrate in questo argomento: Come riscrivere tutti i messaggi di posta elettronica dai sottodomini. Fui davvero sorpreso da quanto fosse semplice utilizzare Exchange Management Shell. Ora, tutta la posta elettronica inviata dall'indirizzo enterprise.NorthwindTraders.com sembra provenire direttamente da NorthwindTraders.com.
Sembrava che la configurazione della protezione del dominio potesse essere complicata. Ma l'argomento Come configurare il TLS reciproco per la protezione del dominio ci aiutò a eseguire l'intero processo. Aggiungemmo il dominio WideWorldImporters agli attributi TLSReceiveDomainSecureList e TLSSendDomainSecureList utilizzando il cmdlet Set-TransportConfig su un server Trasporto Hub. E il servizio EdgeSync di Microsoft Exchange replicò tali informazioni sul nuovo server Trasporto Edge.
Per evitare che la posta elettronica inviata da Wide World Importers possa arrivare bloccata, aggiunsi il dominio WideWorldImporters all'elenco Mittenti attendibili in Outlook. Utilizzammo il cmdlet Update-Safelist per aggiornare le informazioni degli elenchi indirizzi attendibili per gli utenti Outlook, quindi verificammo che il servizio EdgeSync di Microsoft Exchange replicasse tali dati e che il filtro del contenuto fosse abilitato sul server Trasporto Edge. Per esser certi di non aver dimenticato nulla, seguimmo la procedura descritta in Come configurare l'aggregazione degli elenchi indirizzi attendibili.
Dato che la sede centrale insiste sul fatto che tutta la posta inviata a e ricevuta da Wide World Importers venga notificata in copia al suo responsabile del trattamento dei dati, a tale scopo creammo due regole di trasporto sul server Trasporto Edge. Seguendo le indicazioni fornite in Come creare una nuova regola di trasporto, configurammo una regola che ricerca la parola "WideWorldImporters" nell'indirizzo del destinatario sui messaggi inviati da un mittente interno all'organizzazione e, quindi, invia una copia del messaggio al responsabile del trattamento dei dati. A questo punto, creammo una seconda regola che ricerca la parola "WideWorldImporters" nell'indirizzo del mittente sui messaggi inviati da un mittente esterno all'organizzazione e, quindi, invia una copia del messaggio al responsabile della gestione delle informazioni.
Il responsabile del reparto sviluppo sta ideando un elenco di estensioni e nomi di allegati a cui dovrebbe essere impedito di entrare nell'azienda. Per fare ciò, segue le procedure illustrate in Configurazione del filtro degli allegati. Mi sento completamente sollevato dal fatto di non dovermi più preoccupare che Tailspin Toys ci invii allegati con virus.
Epilogo
Saper garantire il funzionamento ottimale della nostra azienda costituisce una sfida ardua, ma oggi sono stato in grado di implementare una soluzione di messaggistica di ultima generazione. Le negoziazioni con Wide World Importers stanno procedendo bene e la sede centrale sa di avere a disposizione un sistema di posta sicuro e affidabile e una preziosa documentazione di supporto.
Nota
Ogni riferimento a società, organizzazioni, prodotti, nomi di domini, indirizzi di posta elettronica, loghi, persone, luoghi ed eventi menzionati negli esempi è puramente casuale.
Ulteriori informazioni
Scrivete i vostri casi di successo dopo aver scoperto i vantaggi derivanti dalla distribuzione di un server Trasporto Edge. Per ulteriori informazioni, vedere le seguenti risorse:
.jpg "a2a2b2cd-23e4-4ae8-99b6-1eb3cb5d522a")
Kate Follis - Senior Technical Writer, Microsoft Exchange Server