Perguntas e respostas do ExchangeProtocolos seguros de email, spam misterioso e mais
Nino Bilic and Scott Landry
Parte desta coluna se baseia em uma versão de pré-lançamento do Windows Server 2008. Todos os detalhes aqui contidos estão sujeitos a alterações.
P Desejo usar o SMTP seguro — como faço para o Exchange Server escutar o SMTP na porta 465?
R Desculpe, mas você não pode fazer isso. Sim, você pode fazer com que qualquer servidor virtual SMTP ou conector de recebimento escutem a porta 465, mas dessa forma o seu objetivo não será cumprido, que é o SMTP seguro (SMTPS).
Por quê? Bem, vamos voltar um pouco e ver o motivo. Existem dois tipos de SSL: explícito e implícito. Inicialmente, na maioria das vezes, o SSL era implícito, o que significa a utilização de uma porta dedicada a ele. Por exemplo, o HTTP é usado na porta 80 por padrão, mas o HTTPS (HTTP com SSL) é usado na porta 443. Há muitos anos, a comunidade da Internet decidiu que não seria necessário haver uma porta dedicada para o SSL. Dessa forma, nasceu o SSL explícito.
O Netscape já tinha escolhido a porta 465 para o SMTPS, mas o Exchange Server não tinha uma funcionalidade SSL em SMTP. No entanto, a equipe do Exchange descobriu a vantagem do SSL explícito — ele poderia ser usado tanto por clientes como por servidores — e optou por oferecer suporte ao SSL explícito para SMTP.
No caso do SMTP, o SSL explícito utiliza o comando STARTTLS ESMTP para sinalizar que o socket existente está prestes a ser protegido. A maioria dos outros fornecedores de servidores e clientes SMTP também implementou o comando STARTTLS e, portanto, nunca houve muita necessidade de suporte à porta 465 que, de qualquer forma, não era um padrão da Internet.
Até hoje, nenhuma versão do Exchange Server ofereceu suporte ao SSL implícito para SMTP. Dizer ao conector de recebimento do Exchange ou servidor virtual SMTP para escutar na porta 465 não altera esse fato. Portanto, você precisa usar um cliente que suporte STARTTLS na porta 25. Se você não puder usar a porta 25, a próxima opção lógica será a 587, que é a porta padrão para envios de cliente SMTP. Não existem muitos clientes modernos que não ofereçam suporte ao STARTTLS na porta 25 e, portanto, o suporte ao SSL implícito não tem sido necessário.
A propósito, os protocolos POP3 e IMAP4 do Exchange sempre ofereceram suporte ao SSL implícito. Mas, no Exchange Server 2007, também foi adicionado um suporte ao SSL explícito para eles. Entretanto, como poucos clientes já oferecem suporte a esse novo padrão, o SSL implícito ainda existirá até o futuro próximo.
P Eu tenho muitos emails enfileirados em um determinado número de domínios — e nenhum de meus usuários enviou qualquer mensagem. O que está acontecendo e como posso impedir isso?
R Você não está sozinho. Qualquer um que tenha um servidor na Internet pode ter esse problema. Basicamente, existem duas causas possíveis. A primeira é que, de alguma forma, você pode estar aberto para retransmissão (consulte support.microsoft.com/kb/304897). Mas é claro que você nunca faria isso, não é? (Por padrão, as retransmissões abertas foram desabilitadas desde o Exchange Server 2000). Assim, é mais provável que você esteja vendo o que chamamos de spam de NDR (notificação de falha na entrega). No processo de envio de UCE (emails comerciais não solicitados), os remetentes de spam quase sempre mandam mensagens para endereços não existentes em seu domínio. O seu servidor tenta permitir que o remetente de spam saiba que os usuários não existem, mas é claro que ele falsificou o endereço de retorno. Ele pode estar falsificando um endereço inválido (e, nesse caso, o NDR existirá por alguns momentos até seu tempo expirar) ou pode estar tentando fazer com que seu servidor envie spam para outro domínio em seu nome, como um anexo do NDR gerado pelo servidor.
Você poderia desabilitar NDRs, mas se um usuário legítimo digitar um endereço errado por engano, o seu servidor nunca o informará que o email não foi enviado e mensagens críticas poderão se perder. Existe uma solução melhor.
Primeiro, verifique se você não está aberto para retransmissão (eu tinha que dizer isso). Em seguida, utilize algum tipo de filtragem anti-spam, como o IMF (filtro inteligente de mensagens) ou o filtro de conteúdo do Exchange Server 2007, assim como algumas RBLs (listas de bloqueios em tempo real). Isso pode ser feito na função Transporte de Borda ou na função Transporte de Hub, mas deve ser feito em todos os primeiros saltos, já que mais de 90 por cento do volume de email tende a ser spam e você não vai querer manter seus servidores ocupados com todo esse lixo eletrônico).
Por fim, habilite a filtragem de recipientes no primeiro Exchange Server que aceitar emails em seu ambiente. Isso permite que o seu servidor rejeite uma mensagem antes que ela chegue à sua rede. Erros de digitação de endereços legítimos ainda obterão o NDR, mas ele será gerado pelo servidor do remetente.
P Tenho um servidor executando o Exchange Server 2000 e outro executando o Exchange Server 2003, ambos enviando emails com êxito para a Internet. Então eu instalei o Exchange Server 2007 e agora as caixas de correio de ambos os servidores não conseguem enviar emails.
R Se você só teve um único Exchange Server no passado, talvez ainda não conheça muito bem o conceito de conectores. Os conectores do Exchange são objetos de configuração de roteamento lógico que dizem ao Exchange para onde direcionar os emails. Ao introduzir o Exchange Server em uma organização existente, será imprescindível que você tenha conectores de grupo de roteamento e um conector SMTP para poder rotear emails.
Você precisará de dois conectores de grupo de roteamento, um saindo do grupo de roteamento do Exchange Server 2007 para o grupo de roteamento do Exchange Server 2003 e outro fazendo o caminho inverso. Isso pode ser configurado como parte do processo de instalação, mas se você não o acompanhou ou não tem certeza sobre esse assunto, utilize o Shell de Gerenciamento do Exchange e corrija o problema. Se não fizer isso, você não será capaz de enviar emails entre os seus servidores. As mensagens terminarão em filas de mensagens inacessíveis.
Para rotear email da Internet, você só precisa de um conector SMTP, também conhecido como conector de envio no Exchange Server 2007. É preciso ter um no Exchange Server 2000 e outro no Exchange Server 2003, mas você pode viver sem ele. O espaço de endereço deve ser SMTP:* para todos os domínios e você pode especificar se será usado o host inteligente ou o DNS para a entrega dos emails. Você escolhe se deseja que o Exchange Server 2007 ou o servidor antigo manipule email da Internet de saída ou pode criar um conector SMTP em ambos os grupos de roteamento se quiser que cada servidor manipule suas próprias mensagens. Você também pode criar um desses como parte do processo Edgesync se tiver instalado uma função de servidor Transporte de Borda.
Se, anteriormente, você colocou um host inteligente no servidor virtual SMTP, agora será um bom momento para removê-lo. Ele só deve existir no conector SMTP e nunca no servidor virtual, já que isso prejudicaria o conector de grupo de roteamento.
Saiba que o email de entrada é controlado pelo seu registro MX ou pelo IP para o qual o firewall está encaminhando. Não há muito que configurar no lado do Exchange, mas este documento deverá ajudá-lo caso você ainda tenha problemas: msexchangeteam.com/archive/2006/11/17/431555.aspx.
P Por que obtenho vários relatórios de diário para a mesma mensagem no Exchange Server 2007?
R O agente de registro no diário de transporte do Exchange Server 2007 registrará mensagens após a categorização. O categorizador possui diversos motivos para bifurcar uma mensagem (ou seja, copiar o corpo da mensagem e colocar os destinatários do envelope diferentes nas cópias diferentes). Por exemplo: como o registro no diário agora é capaz de dizer a você qual era a associação de um grupo de distribuição no momento em que a mensagem foi enviada, um caso em que você poderia obter vários relatórios seria um grupo de distribuição aninhado.
A riqueza adicional da criação de relatórios significa que talvez você obtenha algumas cópias da mesma mensagem, cada uma com um relatório exclusivo. Não há uma forma garantida de saber se todos os relatórios sobre uma mensagem chegaram, mas se você estiver arquivando, vai querer trabalhar em conjunto com o seu fornecedor de arquivamento para garantir que ele esteja ciente das alterações.
P No Exchange Server 2007, aonde foi parar o recurso de encaminhamento de mensagens não resolvidas para o host? O que devo fazer agora?
R O gato comeu.
Na verdade, esse recurso específico nunca funcionou muito bem em situações em que você tinha mais de um Exchange Server. No entanto, o Exchange já tinha outra forma de executar a mesma tarefa e esse método era muito mais poderoso. Especificamente, você pode compartilhar domínios SMTP individuais com outros sistemas. Portanto, o recurso "encaminhar não resolvidos" foi retirado e o conceito do domínio compartilhado foi continuado e simplificado. No Exchange Server 2007, basta ir para Organização | Transporte de Hub | Domínios Aceitos e alterar o tipo de domínio de autoritativo para retransmissão interna. Na verdade, é um pouco mais complexo do que isso em alguns ambientes, e estamos trabalhando para atualizar parte da documentação. Mas isto deve ajudar nesse meio tempo.
P Estou tentando preparar meu domínio raiz para a instalação do Exchange Server 2007. O servidor em que estou tentando executar o programa de instalação do Exchange Server 2007 possui o ESM (Gerenciador do Sistema do Exchange) e não está me deixando instalar. Qual é o problema?
R Para simplificar, a execução de qualquer parte da instalação do Exchange Server 2007 em uma máquina com qualquer componente do Exchange Server 2000 ou 2003 não é suportada. Como o ESM do Exchange Server 2003 já existe no servidor, ele será visto pelo programa de instalação do Exchange Server 2007 e uma verificação prévia com falha lhe dirá "A previous version of Exchange Server is already installed on this computer. Run Exchange Server 2007 Setup from a different computer or remove the previous version of Exchange Server". (Uma versão anterior do Exchange Server já está instalada neste computador. Execute o programa de instalação do Exchange Server 2007 a partir de um computador diferente ou remova a versão anterior).
Provavelmente, a forma mais fácil de contornar esse problema é simplesmente executar a instalação do Exchange Server 2007 de outro servidor no domínio raiz e preparar o seu domínio dessa maneira. Se isso não for possível, o componente do Exchange Server 2003 terá de ser desinstalado antes de você poder continuar a instalação do Exchange Server 2007.
Lembre-se de que você pode usar a versão de 32 bits do Exchange Server 2007 para preparar o domínio e, portanto, qualquer servidor de 32 bits no domínio raiz normalmente servirá. Para obter mais informações sobre este assunto, consulte technet.microsoft.com/library/bb232170.aspx.
A propósito, isso significa que você não pode instalar o ESM do Exchange Server 2003 e o Console de Gerenciamento do Exchange Server 2007 na mesma máquina, já que não há suporte para a coexistência das ferramentas de gerenciamento do Exchange Server 2003 e do Exchange Server 2007 na mesma máquina. O Exchange Server 2007 bloqueará a instalação caso você tente executá-la em uma máquina com qualquer componente do Exchange Server 2000 ou 2003.
Por fim, observe que você não deve tentar instalar as ferramentas de gerenciamento do Exchange Server 2007 primeiro e depois as ferramentas do Exchange Server 2003 na mesma máquina. Essa abordagem levará você a uma configuração ainda não testada e pode gerar resultados inesperados durante o gerenciamento de seus servidores. Se você precisa gerenciar ambas as versões de servidor em uma única máquina, pode usar a área de trabalho remota para se conectar a uma versão ou usar uma máquina virtual para hospedar uma versão diferente das ferramentas de gerenciamento em um ambiente isolado.
P Digam-me quando, finalmente, poderei executar as Ferramentas de Gerenciamento do Exchange Server 2007 na minha estação de trabalho com Windows Vista® ?
R O suporte oficial para as Ferramentas de Gerenciamento do Exchange Server 2007 no Windows Vista virá com o lançamento do Exchange Server 2007 SP1. Um pacote com as ferramentas e gerenciamento do Exchange Server 2007 SP1 estará disponível para download quando essa versão do Exchange for lançada.
P E quanto ao ESM do Exchange Server 2003 no Windows Vista ou no Windows Server 2008? Serei capaz de executá-lo também?
R Não, infelizmente isso não funcionará. As ferramentas de gerenciamento para qualquer versão do Exchange Server anterior ao Exchange Server 2007 SP1 não serão suportadas no Windows Vista nem no Windows Server 2008. Isso significa que mesmo depois do lançamento do Windows Server 2008, a instalação do ESM do Exchange Server 2003 não será mais suportada. O gerenciamento dos servidores Exchange Server 2003 terá de ser feito a partir do Windows Server 2003 ou de estações de trabalho com Windows XP; como alternativa, você poderá usar a Conexão de Área de Trabalho Remota em qualquer sistema operacional.
P Tenho vários servidores Exchange Server 2003 funcionando em meu domínio. Serei capaz de atualizar meus controladores de domínio para o Windows Server 2008?
R Sim, claro, a execução do Exchange Server 2003 SP2 no domínio com controladores Windows Server 2008 é suportada. Observe que o Exchange Server não pode usar controladores de domínio somente leitura Windows Server 2008 (RODCs) ou servidores de catálogo global somente leitura (ROGCs). A especificação manual (codificação) do Exchange Server para que ele utilize RODC/ROGC do Windows Server 2008 pode resultar em um comportamento inesperado.
Nino Bilic é gerente de programa de suporte para o Exchange Server e passa seu tempo livre descobrindo a beleza da comunicação entre servidores ao ler uma tonelada de rastreamentos do Netmon antes de ir dormir.
Scott Landry, engenheiro de escalonamento de suporte para Exchange Server, não vai a lugar algum sem a sua toalha, uma cópia do Guia e seu fiel telefone Windows Mobile.
© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..