Версия для печати темы

Автор: Gvan Вторник, 30 Января 2007, 13:07

Здравствуйте, Гуру!
Если в общем - суть проблемы в том, что я никогда не видел данного продукта, а проблему, как обычно, нужно решить очень срочно...
Итак.
Необходимо перенести всю конторскую почту от провайдера в офис, причем обязательно почтовиком должен быть Exchange.
В конторе есть локальный домен DOMAIN.LOCAL, с 350 пользователями. Эти пользователи имели почтовые ящики в домене COMPANYMAIL.RU
Установил Exchange 2003 на сервер Win2k3 EE (перед установкой пользовался ключами /ForestPrep и /DomainPrep), который входит в локальный домен DOMAIN.LOCAL.
А теперь вопросы чайника, если можно поподробнее:
1. Как мне завести пользователя, у которого должна быть почта в домене COMPANYMAIL.RU (user@companymail.ru), и где можно потом посмотреть свойства этого пользователя и его статистику (кому, куда, когда, сколько и т.д.)
2. Где регулируются правила для почты:
- максимальный объём пересылаемого сообщения;
- фильтр по вложенным файлам (например, запрет по расширению файла);
- можно ли прикрутить проверку на спам по DNSBL;
- как организуется отправка почты на внешние адреса, и соответственно, получение сервером писем извне;
- можно ли прикрутить к нему какой-нить антивирус.
Это, пока, основные вопросы...
Не ругайтесь, если решения проблемы тривиально... Просто я его поставил и... не знаю, куда дальше смотреть

Завел в AD пару юзеров, назначил им там же адреса (пока для локального домена domain.local)... Потом включил POP3 на сервере... Авторизацию по POP проходят, но отправить что-нибудь друг другу не могут:
письмо уходит, а потом присылается отлуп c сообщением

did not reach the following recipient(s):

user@domain.local on Mon, 29 Jan 2007 21:06:28 +0300
Такая учетная запись не существует в организации, в которую было
отправлено сообщение. Чтобы найти правильный адрес, проверьте адрес,
найдите получателя в адресной книге или напрямую обратитесь к нему за
помощью.
<mail.domain.local #5.1.1>

Автор: Egor Вторник, 30 Января 2007, 14:05

Извини, но срочно не выйдет.
Тебе надо научиться с ним работать не абы как, иначе рискуешь потерять всю почту юзьверей
Да и вопросы ты задаешь из серии - "Домен не ставил и не знаю, что это такое, но очень хочется, научите за пять минут."
Рассказывай, где у тебя стоИт сам Exchange (DC/отделная машина), что на ней еще "крутится"?

Угу. Есть предположение, что не там ты завел ящики. У тебя оснастка Exchange есть на DC, где заводил юзверей? Как заводил им ящики?
Внутри сети РОР3 не нужен.
1. В System Manager на Exchange в дефолтных ресипиент полисях либо создаешь свою политику.

На остальное надо рисовать трактат. Может, ты литературу какую купишь и почитаешь, в начале?

Автор: Gvan Вторник, 30 Января 2007, 15:38

Exchange стоит на машине с двумя сетевыми картами (одна смотрит внутрь, другая - наружу), принадлежит локальному домену DOMAIN.LOCAL. Эта машина не является контроллером домена. На машине, помимо ОС и Exchange, установлен антивирус Symantec Antivirus Corporate Edition (управляемая клиентская часть).

Юзверей заводил на машине, где установлен Exchange, пользовался оснасткой Active Directory Users and Computers, в свойствах пользователя появились четыре новых закладки: "E-mail Addresses", "Exchange Features", "Exchange Advanced" и "Exchange General".
На DC (в сети их два) оснастки Exchange нет и в свойствах пользователя нет дополнительных закладок.

Пользовался визардом "Exchange Task Wizard" из оснастки "Active Directory Users and Computers" на сервере с Exchange.

Хм... Возможно и не нужен (а что тогда..?). Но много сотрудников работают вдали от офиса, да и перенастраивать учетные записи в почтовых клиентах было бы не очень хорошо... Многим нужны ещё и папки IMAP и веб-интерфейс...

Создал новую политику в "Recipient policies", в SMTP указал "@companymail.ru". Этого достаточно..?

Про литературу я все прекрасно понимаю. Но мне нужно именно срочно. А о том, чтобы не потерять всю почту юзверей (которой, кстати, пока нет), уже заботятся мои роботы-бэкаперы;-) Так что всегда есть возможность откатить назад.

Автор: Egor Среда, 31 Января 2007, 12:38

Достаточно. Только сделай его дефолтным, а с @domain.local галочку убери.

Напрасно. Он не умеет проверять сам почтовик. С этим симантеком можешь получить проблемы: при получении письма с вирусом (оно перед тем, как запишется в сторе, пишется в "промежуточную" папку, где ловится симантеком) оно блокируется/удалятся, но заголовок уже есть в почтовике. У Exchange запросто можест снести крышу Ставь симантека для Exchange, а лучше используй Trend Micro OfficeScan, IMHO.

Не самое удачное решение, использовать почтовик на шлюзе. Уж лучше на DC, но внутри локалки. Чем защищать его собираешься?

Поставь оснастку на DC и не майся.

Х400 & RPC. По дефолту они уже работают, а наружу OWA & SSL (IMHO защиты болше, чем у РОР3, да и возможностей)

В самом Exchange нигде. Это надо использовать софт третьих фирм (GFI, ORF и.т.д.). ORF еще и антиспамер (IMHO самый лучший из существующих для виндовой платформы).

Автор: Gvan Среда, 31 Января 2007, 15:10

Спасибо, Egor, за участие!

Я создал новую политику, в которой в "E-Mail Addresses (Policy)" указал только один SMTP ("@companymail.ru)...
Или правильней было бы править дефолтовую политику (Default Policy)..?

Спасибо за совет! Про снос крыши я не учел... Просто я работал с почтовиком Merak, который легко переносит убийство антивирусом вируса (вернее, самого письма) в темповой директории... Наверное, я просто исключу из сканирования промежуточную папку и сторе... Кстати, не подскажете, где эти папки (файлы) находятся на диске и можно ли изменить пути к ним..? А антивирус для эксчейнджа использовать, наверное, вообще не буду. У меня симантек на пользователях настроен на автоматическое сканирование 110 и 25 портов...

Почему не самое удачное..? Защищать планирую обычным виндовым ipsec'ом, настроенным на фильтрацию пакетов по портам (планирую, на первое время, наружу оставить только 25, 110 и 143 порты). Кстати я бы поменял дефолтовые банеры на POP3-IMAP4 и SMTP... Только пока не знаю, где это делается

Да, пожалуй, так будет правильнее, спасибо.

М-да... Как обычно, статистика - один из самых муторных, но все же необходимых моментов... Спасибо за подсказки по фирмам.

А что вы скажете про фильтрацию писем по расширению вложенного файла (например, запретить вложения *.pif, *.scr и т.д. ) и по спам-спискам DNSBL..? Возможность такая есть?

И ещё вопрос... Совсем забыл что есть ещё один удаленный филиал со 150 пользователями... У них свой локальный домен (DOMAIN_2.LOCAL), который связан с доменом DOMAIN.LOCAL обычными двустронними доверительными отношениями. Однако почтовые ящики у них тоже в companymail.ru... Каким наименее геморройным (или единственно возможным) способом можно осчастливить их ящиками в Exchange?

Автор: Egor Среда, 31 Января 2007, 20:39

Монопеносуально. Как тебе больше понравится.

С:\Program Files\Exchsrvr\Mailroot\vsi 1\
Пути изменить можно и нужно. Все делается в System Manager в дефолтном виртуальном SMTP сервере
Настоятельно рекомендую Microsoft Exchange Best Practices Analyzer, лежит на мелкософтовском сайте. Очень говорливая софтина, помогающая правильно настроить Exchange.

Автор: Gvan Четверг, 01 Февраля 2007, 18:47

Пока все понятно, спасибо!

А про это что скажете..?

Автор: Egor Четверг, 01 Февраля 2007, 20:19

Два Exchange-сервера объединенные routing group. Связь между филиалами есть?

Автор: Gvan Четверг, 01 Февраля 2007, 20:43

Да, связь между филиалами есть... Направление исследований понял... Попробую разобраться...

Тут объявилась проблема с релеем... Я в виртуальном SMTP сервере прописал локальную сеть (granted) и оставил галку напротив "Allow all computers which successfully authenticate to relay, regardless of the list above"... В результате из локальной сети на внешние адреса письма уходят, а из удаленного офиса (адреса которого я прописывать не стал) даже при наличии галки в почтовом клиенте (как на сервер входящей почты), что мол требуется аутентификация для отправки почты, почта на внешние адреса не уходит (ошибка 550 5.7.1 Unable to relay...). Как мне научить сервер отправлять почту во вне, если удаленный пользователь проходит авторизацию по smtp..?

И ещё вопрос... Теперь, как отучить сервер отправлять почту клиентов, находящимся за пределами локальной сети, на адреса домена без авторизации по smtp..?

Автор: Egor Пятница, 02 Февраля 2007, 12:14

Угу. Я ждал этого. И не зря говорил про не самую умную идею почтовика на рутере и использовании РОР3
Ситуация, до банальности, проста. Но ломать голову с решением будешь сам.

Ты хочешь, чтобы была связь извне по РОР3. А это бэйсик авторизация. Как-бы там чего не говорили... ну не умеют РОР3-клиенты проходить интегрированную авторизацию. Соответственно и релей для них - бэйсик. Для релея ты можешь либо прописать диапазон разрешенных адресов (отдельные адреса или все вместе), либо разрешить всем, но с бэйсик-авторизацией, почтовик стоящий на рутере, вскрывается как два пальца об асфальт.

У тебя есть два выхода:
1. Переносить почтовик внутрь сетки
2. Вешать его только на внутренний интерфейс, настраивать NAT. А внешний интерфейс защищать хорошим фаерволом.

ЗЫ Рекомендую посмотреть в сторону ISA. Но это тоже серьезный продукт, с которым наду учиться работать.
Вообщем - думай сам


Не совсем понял, чего надо. На пальцах объяснить сможешь?

Автор: Gvan Пятница, 02 Февраля 2007, 15:00

Если честно, то я не совсем понимаю про интегрированную авторизацию Интегрированную куда..?
Диапазон прописанных адресов не совсем устраивает, т.к. многие работают с почтой из дома (например, пользуясь стримом... а прописывать в разрешенные адреса всю подсеть стрима не есть очень хорошо). Проблема в том, что у меня в свойствах виртуального SMTP сервера на закладке "Access" в настройках "Authentication" стоят галки напротив следующих пунктов:
- "Anonymous access"
- "Basic authentication"
--- "Requires TLS encription"
- "Integrated Windows Authentication"
В "Users":
- "Submit Permission" - галка "Разрешить"
- "Relay Permission" - галок нет (установка галки разрешить ни на что не влияет)

В настройках "Relay Restrictions" в разрешенных прописана локальная сеть и стоит галка "Allow all computers which successfully authenticate to relay, regardless of the list above".

У пользователя почтовый клиент Outlook Express, стоит имя и пароль на POP3 и на SMTP.
Так вот при этих настройках релей у пользователя не работает. Никак не пойму почему... Где мне чего надо прикрутить, чтобы юзер мог отправлять письма, если он успешно проходит авторизацю при отправке почты?

Не совсем понял... Как он вскрывается..? в интернет торчать только два порта 110 и 25... Ты имеешь в виду, что один из этих сервисов очень уязвим..? и сервис этот POP3, так? и ещё, почтовик не стоит на рутере, просто это машина с двумя сетевыми картами...


Можно на пальцах пример реализации..?


Попробую на пальцах...
Если удаленный клиент отправляет письмо не на внешний адрес, а на адрес домена companymail.ru, то сделать это он может даже при отсутствующей в его почтовом клиенте (OE 6.0) галке "Проверка подлинности пользователя" в сервере исходящей почты
Это обозначает, что в домен companymail.ru может быть отправлено письмо с ЛЮБОЙ учетной записи, где в качестве сервера исходящей почты будет прописан почтовый сервер mail.companymail.ru... Вот я и спрашиваю, как это запретить...

Автор: Egor Понедельник, 05 Февраля 2007, 12:05

Нет, SMTP.

Это и есть рутер (Router - (маршрутизатор) блок, обеспечивающий выбор маршрута передачи данных между сетями, имеющими различную архитектуру или различные протоколы).




Совершенно "беспонтовая" и, кстати, очень опасная галочка - "Разрешить релей всем компьютерам, прошедшим авторизацию, невзирая на list below. А если учесть, что у тебя разрешен

передача логина и пароля в незашифрованном текстовом виде...

Реализации чего? Переноса Exchange внутрь локалки или защита сети фаерволом?

Дочитал вопрос до конца. Даже и не знаю, что тебе сказать... либо выдергивай шнур с и-нетом, либо останавливай Exchange. В любом случае, срочно чего-нибудь делай.

У тебя открыт релей. И то, что об этом еще не разнюхали... тебе катастрофически везет.

Автор: Gvan Понедельник, 05 Февраля 2007, 13:44

У меня в "Basic authentication" стоит ещё галка "Requires TLS encryption", которая, как я понимаю, требует шифрования имени пользователя и пароля между удаленным клиентом и сервером (не буду врать, снифером пока не проверял)... Т.е., чтобы удаленный пользователь мог отправить письмо в другой домен, ему нужно прежде пройти аутентификацию на сервере, иначе письмо принято не будет.
По моему, только что до меня дошло то, что ты пытаешься мне втолковать: ты считаешь, что уязвим сам виндовый сервис SMTPSVC и предлагаешь отключить возможность аутентификации smtp для удаленных пользователей, прописав в "Relay Restrictions" локальные подсети... А для удаленных пользователей разрешить веб-интерфейс..? Теперь я правильно понимаю?

Позволю не согласиться... Под релеем понимается пересылка почты данным сервером в другие домены. Так вот этой возможности (без авторизации) у меня нет, т.е. открытый релей у меня все-таки закрыт (на всякий пожарный проверил на http://www.dnsreport.com/).

В настоящий момент на этом сервере, если смотреть со стороны интернета, для всех закрыты ВСЕ порты (политикой ipsec), за исключением одного адреса, который я использую для тестирования работы удаленных пользователей.
Да и на свой вопрос я, наверное, нашел ответ... Я писал, что "в домен companymail.ru может быть отправлено письмо с ЛЮБОЙ учетной записи, где в качестве сервера исходящей почты будет прописан почтовый сервер mail.companymail.ru"... Допустим, что у меня есть учетная запись user@companymail.ru. На этот адрес можно написать письмо с любого адреса, допустим с адреса user@inbox.ru, и письмо будет доставлено. Соответственно, нет разницы, как пользователь user@inbox.ru будет отправлять письмо пользователю user@companymail.ru, через сервер smtp.inbox.ru или через сервер mail.companymail.ru... Возможно это спорная точка зрения, но она ведь логичная..? Важно, другое, чтобы пользователь user@inbox.ru не мог отправить письмо в другой домен, используя сервер mail.companymail.ru (то бишь не должно быть открытого релея), без авторизации.

Автор: Egor Понедельник, 05 Февраля 2007, 14:59

Да. Пускай удаленные пользователи используют для отправки SMTP своего провайдера (если пользуют клиента по РОР3). Зачем тебе головная боль с такой дыркой? Да сам РОР3 уже вчерашний день. Зачем нужен почтовый клиент, если по IE есть возможность получить подключение со всеми "вкусностями" (глобальной одресной книгой, списком задачь и.т.д.) не заморачиваясь "лишними" настройками.

Позволяет, сертификатом.
Т.е. у тебя поднят сервер сертификатов. Ты клиентам выдаешь сертификат и позволяешь работать через SSL (в настройке учетной записи клиента, ты ставишь обязательное шифрование на авторизацию)? Если так, то извиняюсь, а если нет, то о какой закрытой передаче логина и пороля ты говоришь?

Так и должно быть. Иначе, зачем вообще сервер мыла. Он у тебя и должен принимать почту *@companymail.ru с любого адреса. Другой вопрос, необходимо отфильтровывать несуществующие в домене адреса. Тебе-же не хочется получать сообщения на адрес dkjhda@companymail.ru (к примеру).

ЗЫ Извини, изначально не понял тебя... или ты так объяснил

Если я могу отправить с любой учетной записи письмо в твой домен, всего лишь прописав SMTP твоего сервера (иными словами, твой SMTP-сервер принимает любую учетную запись), значит я могу отправить письмо и в любой другой домен. А это открытый релей.

ЗЫЫ http://support.microsoft.com/kb/319356

Автор: Gvan Понедельник, 05 Февраля 2007, 18:33

Все верно, но с некоторыми поправками: да, если прописать в любой учетной записи в качестве SMTP мой сервер, то можно отправить письмо только учетной записи из этого домена, но при попытке отправки письма на адрес из другого домена, сервер даст отлуп (релей запрещен)

Спасибо, за ссылку на мануал от микрософта. Я читал статью и попытался найти компромисс между своей реальностью и их пожеланиями

Прочитал, то, что сам написал, и стало стыдно Сервера сертификатов у меня нет Попробую поднять его на DC... Пока только создал запрос на сертификат в SMTP, пользуясь визардом в System Manager...

Автор: Egor Вторник, 06 Февраля 2007, 9:30

Да закрыт, закрыт Я это говорил к тому, что тебе надо объяснять более понятно, чтобы не возникало непонимания.

Рано. Тебе требуется его опубликовать - сделать доступным для любого пользователя по его требованию (надобности, запросу). А это муторно (можно, но муторно ) без работающего сервера сертификатов.

Автор: Gvan Вторник, 06 Февраля 2007, 9:45

Только что подумал... Если я подниму сервер сертификатов, то он должен быть доступен извне удаленным пользователям..?

Автор: Egor Вторник, 06 Февраля 2007, 11:08

Да.

Автор: Gvan Понедельник, 12 Февраля 2007, 19:59

Разобрался я как настроить принудительную аутентификацию с использованием SSL/TLS...
Сначала возникли трудности с сертификатом... Потом разобрался и сделал себе самоподписанный сертификат.
Для создания сертификатов пользовался следующими статьями:
http://www.dylanbeattie.net/docs/openssl_iis_ssl_howto.html
http://www.internetaccessmonitor.ru/rus/products/articles/SSL_Enabling_OWA_2003_Using_Free_3rdParty_Certificate/SSL_Enabling_OWA_2003_Using_Free_3rdParty_Certificate.php

После того, как все заработало, понял, что мне это не совсем подходит по двум причинам:
1. В конторе работает Symantec AntiVirus, который рубит по прослушиваемым портам (25 и 110) все зашифрованные соединения (вот статья самого симантека, где рекомендуется отключить сканирование почты : http://service1.symantec.com/SUPPORT/nav.nsf/docid/2001091807593406) Отключать сканирование входящей/исходящей почты я не хочу.
2. В случае принудительного включения TLS, данное правило распространяется на ВСЕХ пользователей, в том числе и на пользователей, которые находятся и внутри сети, т.е. каждому пользователю надо прописывать безопасную проверку пароля (SPA), авторизацию на smtp, а также подключение через безопасное соединение SSL...

Но у меня в сети 500 пользователей, а с наружи приходят только человек 20... И ради этих 20 не хочется огород городить...
Может действительно, прописать локальные сети пользователей внутри, а для внешних оставить только веб-интерфейс через SSL..?
Или я что-то не так понимаю и мои 2 пункта проблем легко решаются..?

Автор: Egor Вторник, 13 Февраля 2007, 12:58

Еще раз повторюсь. Ты изначально выбрал не тот путь. Оно, конечно, можно приветствовать реанимирование прекрасных идей комсомола о создании трудностей и успешных их преодолений, но, в наше время, тебя могут не правильно понять.