探索 Edge Transport Server 新領域

 

上次修改主題的時間: 2007-06-06

作者:Kate Follis

假設這是您未來的願景:可即時進行通訊、重要訊息得以安全傳遞、偽造的訊息會立即遭到識破、特洛伊木馬程式永遠無法通過大門...現在,請擁抱未來,因為現在這個願景可望實現。讓我與您分享一個小故事,是關於一個勇往直前的傳訊管理員如何發現部署 Microsoft Exchange Server 2007 Edge Transport Server 的好處。

今天我部署了一個通訊解決方案,總算滿足總公司數不盡的需求,幫助改進內部系統效能。我希望這項創新能夠鞏固我晉升到整個 Northwind Traders 樹系的企業系統管理員的地位。

它是從這樣的早晨開始的。在我喝完第一杯咖啡之前,電話響起了。總公司委託我與 Wide World Importers 進行交易協商。雖然執行工程師最近一直抱怨「系統管理員,我實在是受不了垃圾郵件了!」,但我認為我們目前的傳訊系統已經夠好了。畢竟,我們執行的 Exchange 2007 已在面對網際網路的 Hub Transport Server 上啟用及設定了所有反垃圾郵件代理程式。但是當我接到公司的指示之後,才了解我需要更多功能。

Northwind Traders 的首席諮詢官問我:「系統管理員,您確定能勝任這個任務嗎?」

我胸有成竹地回答:「當然,長官,我們執行的是 Exchange 2007。」

他答道:「沒錯,我聽說它非常安全。「訊息檢疫方面呢?最令人困擾的是允許匿名者存取通訊埠,而讓 Tailspin Toys 的人帶進受感染附件。」

「嗯,」我思考了一下。「我最好檢查一下設定。」我跟總公司拍胸脯保證這個系統是最好的,可以勝任任何通訊挑戰。

「聽你這麼說我就放心了。我們與 Wide World Importers 的關係很重要,與他們之間的所有通訊都必須經過驗證和加密。我希望傳入的通訊內容在由任何內部伺服器處理之前,都要先複製給總公司的情報官,並確保沒有任何訊息遭到封鎖。那樣的話,我們的面子將會掛不住。另外,還有一件事,我希望所有通訊看起來都是直接來自 Northwind Traders 總公司,不需要讓 Wide World Importers 知道我們企業內部的組織。全部都聽清楚了嗎?」

「是的,長官,我會先驗證安全系統,再開始協商。我一定會讓您掌握任何有關 Wide World Importers 的傳輸內容。」

與總公司的交談結束之後,我就立刻發出電子郵件來連絡設計和執行工程師。我把完整情節複製在這裡:

----- Original Message -----

收件者:Design@enterprise.northwindtraders.com; Engineer@enterprise.northwindtraders.com

寄件者:Administrator@enterprise.northwindtraders.com

主旨:更多公司規定

總公司委託企業開始與 Wide World Importers 進行協商。不過,在開始傳輸之前,我必須先確定傳訊系統可以滿足通訊需求。以下是最新的公司命令:

  • 來自 Wide World Importers 的訊息在由內部伺服器處理之前,都必須先複製給總公司。

  • 所有傳送至 Wide World Importers 的訊息也必都須寄送副本給總公司。

  • 我們必須偽裝企業電子郵件地址,將它取代為 Northwind Traders 地址。

  • 所有與 Wide World Importers 之間往來的訊息,都必須經過驗證和加密,且不得遭到封鎖。是否有任何方式可以在接受訊息之前,先確認訊息的確是來自 Wide World Importers?

在總公司對這項政策進行修正之前,我有點擔心會讓 Tailspin Toys 攜帶附件進入通訊埠。很有可能之前 Tailspin Toys 的訊息曾經受到病毒的感染。

----- Reply -----

收件者:Administrator@enterprise.northwindtraders.com; Engineer@enterprise.northwindtraders.com

寄件者:Design@enterprise.northwindtraders.com

主旨:Re:更多公司規定

系統管理員,我能夠理解這一點。我們應該實作一些在網際邊際套用的規則,以及地址修正、網域安全性和附件篩選的問題。如果我們可以限制匿名通訊埠連線到網路邊際,情況也會有所改善。我建議部署 Edge Transport Server。

----- Reply -----

收件者:Administrator@enterprise.northwindtraders.com; Design@enterprise.northwindtraders.com

寄件者:Engineer@enterprise.northwindtraders.com

主旨:Re:更多公司規定

我同意設計師的看法。系統管理員,如果我們可以部署 Edge Transport Server,就好像整個企業四周有一道反垃圾郵件的力場,以及通訊埠 25 有了保鑣一樣。而且,由於 Edge Transport Server 使用的管理介面與所有其他 Exchange 2007 server role 相同,所以我可以立即熟悉情況。我是否要秘密進行設定呢?

----- Reply -----

收件者:Engineer@enterprise.northwindtraders.com; Design@enterprise.northwindtraders.com

寄件者:Administrator@enterprise.northwindtraders.com

主旨:Re:更多公司規定

一小時後請到會議區與我碰面,討論一下。

設計和執行工程師似乎確定 Edge Transport Server 可解決我的所有問題,但我仍有疑問。大家準時到了會議區,並提供我需要的一切資訊。

設計師提供下列可供 Hub Transport 和 Edge Transport server role 使用的反垃圾郵件和防毒功能。我發現 Exchange 2007 代理程式可以實作我想要使用的全部功能。

 

功能 Edge Transport Server 上是否支援? Hub Transport Server 上是否支援?

附件篩選   附件篩選器代理程式可讓您封鎖特定的附件類型。可移除附件,但電子郵件仍然可以傳遞,也可以同時自動刪除附件和電子郵件。

連線篩選   連線篩選代理程式可讓您根據來源 IP 位址或 IP 位址範圍來篩選連線。可封鎖來自已知垃圾郵件來源的連線。

內容篩選   內容篩選器代理程式會評估電子郵件為垃圾郵件的可能性。有了 Exchange 企業用戶端存取使用權 (CAL),您就可以取得定期內容篩選器更新,包括關於網路釣魚網站、Microsoft SmartScreen 垃圾郵件探索,以及其他智慧型郵件篩選器的更新資料。

收件者篩選   收件者篩選器代理程式可讓您只接受傳送至有效收件者的電子郵件。

是,使用 Edge 訂閱

寄件者篩選   寄件者篩選器代理程式可讓您封鎖從特定寄件者接收的電子郵件。例如,您可以封鎖來自已知垃圾郵件發送者的電子郵件。

寄件者識別碼   寄件者識別碼代理程式會根據來源網域已登錄的 IP 位址來驗證所接收之電子郵件的發送 IP 位址。

安全清單彙總   此功能會收集反垃圾郵件 [安全的收件者清單] 或 [安全的寄件者清單] 中的資料,以及 Outlook 使用者設定的連絡人資料,然後將這些資料提供給已安裝 Edge Transport server role 之電腦上的反垃圾郵件代理程式。安全清單彙總可以協助減少反垃圾郵件篩選中,由 Edge Transport Server 所執行之誤判的執行個體。當 Exchange 系統管理員啟用並正確設定安全清單彙總時,內容篩選器代理程式會將安全的電子郵件傳到企業信箱,不須額外的處理。

地址修正   地址修正代理程式可讓您將內部電子郵件地址修正為替代地址,來遮蔽內部網域的身分。

傳輸規則   慱輸規則可讓您對已傳送及已接收的電子郵件採取行動。Edge Transport Server 上可用的述詞、動作及例外,與 Hub Transport Server 同樣可用的項目不同。邊際傳輸規則提供其他反垃圾郵件及防毒功能。集線傳輸規則可在 Exchange 2007 組織內啟用原則執行。如需相關資訊,請參閱傳輸規則的概觀

網域安全性   網域安全性可讓您識別信任的網域,以及交涉與那些網域進行電子郵件通訊的安全性。

是,使用 Edge 訂閱

設計師也提供每一項功能的相關資訊連結。

「好吧,看起來我可以使用 Edge Transport Server 來實作我需要的功能,以符合與 Wide World Importers 進行通訊的公司規定。但是執行工程師要如何完成部署及提供容錯呢?」我問道。

執行工程師解釋:「系統管理員,這我早就已經想到因應之道了。我會在周邊網路部署兩個 Edge Transport Server,而且會設定 DNS 來使用循環配置機制,使輸入連線負載平衡。這表示必須手動建立這兩個伺服器的 FQDN 的憑證來提供網域安全性,但我這裡有連結的程序: 建立 TLS 的憑證或憑證要求

「嗯,你如何使伺服器之間的設定保持一致?還有,輸出連線的負載平衡和容錯方面如何?」我問道。

「我會使用複製設定,以確保兩部伺服器都具有有一致的設定,然後我會為兩部伺服器建立 Edge 訂閱。這樣我們就可以使用 Edge Transport Server 的所有功能,包括安全清單彙總在內。這樣就可以避免封鎖 Wide World Importers 訊息,Edge 訂閱也會建立我們需要的所有傳送連接器。這兩個 Edge Transport Server 都會列為輸出之傳送連接器的來源伺服器,因此,我們也會取得輸出連線的負載平衡和容錯。」聽起來,執行工程師對此解決方案已經過一番深思熟慮。我在這裡找到有關複製設定的相關資訊: 使用 Edge Transport Server 複製的組態

「我還是覺得這樣做對安全性多少會造成影響。我必須證明其他硬體的支出是正當的,」我這麼說是為了使執行工程師冷靜下來。

執行工程師回答:「系統管理員,藉由部署 Edge Transport Server 之後,我們就可以關閉在 Hub Transport Server 的接收連接器上啟用的匿名存取功能。我們必須進一步保護內部資源,例如 Active Directory 目錄服務。垃圾郵件和病毒將在最早的時間點遭到封鎖。我們對 SMTP 層的外部威脅、目錄搜集攻擊和阻絕服務攻擊,都將會有更好的防禦。將反垃圾郵件功能移到邊際之後,也可以減少內部傳訊伺服器上的處理額外負荷。為了確保我們有深入防禦策略,我會繼續在 Hub Transport Server 上執行內部防毒掃描。我仍打算新增 Hub Transport Server 來幫助反垃圾郵件負載,使硬體隨時備妥可用。」

「等一下。Edge Transport Server 如何保護 Active Directory?如果它不在 Active Directory 內查閱收件者,則它該如何執行收件者查閱?」我問道。

執行工程師解釋:「這交由 Edge 訂閱處理就行了。我會在工作群組中部署 Edge Transport Server,然後 Microsoft Exchange EdgeSync 服務會將收件者複寫至 Edge Transport Server 成為加密物件。Edge Transport Server 會將該資料儲存在 Active Directory 應用程式模式 (ADAM) 目錄服務中。這裡有一個資源連結,可以幫助您了解這項技術:」 了解 Edge 訂閱

設計師支持執行工程師的看法。設計師說:「系統管理員,我同意執行工程師的計劃。它是提供總公司所需功能最合邏輯的資源。」

於是我作出決定:「很好,那就開始部署吧。」

執行工程師很快讓硬體啟動及執行,我們也準備開始設定 Edge Transport server role,以滿足總公司的需求。

第一項任務是實作地址修正,來偽裝企業子網域的識別。我們遵照如何修正來自子網域的所有電子郵件主題中的程序進行相關作業。我感到非常驚訝,使用 Exchange 管理命令介面竟然這麼容易。現在,從 enterprise.NorthwindTraders.com 傳來的所有電子郵件看起來都是直接來自 NorthwindTraders.com。

設定網域安全性看起來似乎很棘手,但是如何設定網域安全性的相互 TLS主題幫助我們完成整個程序。我們在 Hub Transport Server 上使用 Set-TransportConfig 指令程式,將 WideWorldImporters 網域新增至 TLSReceiveDomainSecureListTLSSendDomainSecureList 屬性。而 Microsoft Exchange EdgeSync 服務則負責將該資訊複寫到新的 Edge Transport Server。

為了確保來自 Wide World Importers 的電子郵件不會遭到封鎖,我將 WideWorldImporters 網域新增至我在 Outlook 的安全寄件者清單中。我使用 Update-Safelist 指令程式更新 Outlook 使用者的安全清單資訊,然後確認 MicrosoftExchange EdgeSync 服務已複寫此資料,且 Edge Transport Server 上已啟用內容篩選。為了確保萬無一失,我們遵照如何設定安全清單彙總中的步驟進行。

因為總公司主張與 Wide World Importers 往來的所有郵件都要複製給其情報官,所以我們在 Edge Transport Server 上建立的兩條傳規則,就是為了達成此目的。我們遵照如何建立新的傳輸規則中的指示,設定這樣的一條規則:在從組織內傳送的郵件的收件者地址中尋找 "WideWorldImporters" 一字,然後將郵件副本傳送給情報官。接著我們建立第二條規則:尋找從組織外傳送的郵件的寄件者地址中尋找 "WideWorldImporters" 一字,然後傳送副本給情報官。

執行工程師擬出一份清單,內含應該封鎖其進入我們企業中的附件名稱和副檔名。他是遵照如何設定附件篩選中的程序來進行。知道我可以不必再擔心 Tailspin Toys 會傳來病毒附件,當然我就放心多了。

保持企業順利營運一向具有挑戰性,但現在我可以實作值得下一代使用的傳訊解決方案。我們與 Wide World Importers 的協商進行地非常順利,總公司對於郵件也充滿信賴與信任,對於我所提供的文件追蹤也感到很滿意。

note附註:
範例中所述及的公司、組織、產品、網域名稱、電子郵件地址、標誌、人物、地點及事件皆屬虛構。並無影射任何真實的公司、組織、產品、網域名稱、電子郵件地址、標誌、人物、地點或事件。

如果您發現部署 Edge Transport Server 的一些好處,請寫下您的成功案例。如需相關資訊,請參閱下列資源:

a2a2b2cd-23e4-4ae8-99b6-1eb3cb5d522a Kate Follis - 資深技術文件作者,Microsoft Exchange Server

 
顯示: