47386 (608247), страница 7

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 7)

Общие папки являются ключевым компонентом Microsoft Exchange Server. Благодаря возможности тиражирования этих папок, пользователи имеют доступ к одной и той же информации, независимо от их местонахождения.

Администратор имеет множество средств управления процессом тиражирования. Он может, например, установить различные параметры: время, когда начинается тиражирование, какая информация должна распространяться по организации и т.д.

Агент передачи сообщений

Агент передачи сообщений (Message Transfer Agent - MTA) служит для маршрутизации и передачи данных на другие серверы и почтовые системы. Это - основа коммуникационной инфраструктуры Microsoft Exchange Server.

Агент передачи сообщений использует четыре компонента для передачи данных:

1. Site коннектор;

2. RAS (Remote Access Service) коннектор;

3. X.400 коннектор;

4. Internet Mail Connector;

5. Newsfeed.

Site коннектор -наиболее эффективный путь для соединения двух отделений (Sites, а точнее - двух MS Exchange серверов), легко настраиваемый и использующий любые сетевые протоколы. Однако для его применения требуется постоянное соединение с высокой скоростью, то есть соединение по сети или выделенный канал. RAS (Remote Access Service) коннектор - частный случай Site коннектора. Но вместо постоянного соединения для его настройки используется сервис удаленного доступа, то есть связь по асинхронным (телефонным) линиям. Такая связь может устанавливается по заданному расписанию.

X.400 коннектор соответствует стандартам X.400 Международного комитета по телефонии и телеграфии (МКТТ), опубликованным в 1984 и 1988 году. Обычно используется, когда необходима передача сообщений в общественные X.400 системы.

Internet Mail Connector позволяет пользователям обмениваться сообщениями с пользователями Internet. Internet Mail Connector поддерживает протоколы SMTP, POP3, IMAP4. Newsfeed – служба, поддерживающая протокол обмена новостями с сетью USENET по протоколу NNTP.

Internet Mail Connector также поддерживает стандарт Internet, известный как MIME (Multipurpose Internet Mail Extension), для передачи мультимедийных объектов, включая текстовые документы, PostScript* и бинарные файлы, графику, видео, голосовые сообщения и др. Кроме того, Internet Mail Connector поддерживает стандарты для передачи бинарных файлов вложений (Аttachments), использующих UUENCODE.

Internet Mail Connector можно настроить как SMTP клиент, как SMTP сервер или как и клиент, и сервер одновременно. Как сервер, он ожидает соединения с хостом SMTP для принятия сообщений. А как клиент, он инициирует связь с хостом SMTP для отправки исходящих сообщений.

Internet Mail Connector может функционировать как SMTP хост, выполняя маршрутизацию передачи сообщений. Он обращается к серверу имен домена (Domain Name Server) или локальному хосту для того, чтобы определить, куда сообщение должно быть доставлено. Если получатель находится в другой SMTP системе, то Internet Mail Connector или доставит сообщение на искомый SMTP хост, или перешлет на другой SMTP хост для дальнейшей маршрутизации.

Настройка MS Exchange Server 5.5

Установка MS Exchange Server 5.5

Инсталляция MS Exchange Server 5.5 достаточно проста и понятна.

В рассматриваемой нами организации в качестве Web-сервера и Mail-сервера физически используется один и тот же компьютер, поскольку при небольшом количестве пользователей (менее 300) ресурсов одного компьютера (Celeron 300, 128 Мб ОЗУ) вполне хватит.

Следует заметить, что службы MS Exchange Server запускаются под одним определенным аккаунтом. Рекомендуется создать специальную учетную запись (например, “ExchAdmin”), которую следует включить в группу “Users of Email”, а из остальных групп исключить. Обязательно нужно убрать у данной учетной записи право Log on locally и установить галочки в полях User cannot change password и Password never expired. Кроме того, этому пользователю следует дать право (Permission) Change на директорию, куда был проинсталлирован Exchange Server. Инсталлировать нужно MS Exchange Server под администраторским аккаунтом, а в качестве аккаунта, под которым будут запускаться службы MS Exchange Server, следует указать вновь созданный (“ExchAdmin”).

Конфигурирование MS Exchange Server для работы с MS Proxy Server

Как видно из рисунка 1, MS Exchange Server находится в локальной сети и взаимодействует с сетью Интернет через прокси-сервер. Такая схема рекомендуется для повышения уровня защищенности, так как злоумышленнику в данном случае непосредственно почтовый сервер недоступен.

Для работы MS Exchange Server через MS Proxy Server, необходимо, чтобы на компьютере, на котором инсталлирован MS Exchange Server, был также инсталлирован WinSock Proxy Client.

Чтобы привязать порты почтового сервера к внешнему интерфейсу прокси-сервера, необходимо в директории, где расположен файл Msexcimc.exe (это служба, обслуживающая протокол SMTP), создать текстовый файл Wspcfg.ini, содержимое которого приведено ниже:

[Msexcimc]

ServerBindTcpPorts=25

Persistent=1

KillOldSession=1

Также в директории, где расположен файл Store.exe (служба, обслуживающая протоколы POP3, NNTP, IMAP4), необходимо создать второй файл Wspcfg.ini:

[Store]

ServerBindTcpPorts=110,119,143

Persistent=1

KillOldSession=1

В сетевых настройках компьютера, на котором работает Exchange Server, должны быть обязательно прописаны DNS-сервер и домен.

Обычно компании такого масштаба не содержат DNS-сервера для своей зоны. Поэтому в дальнейшем мы учитываем, что за зону компании отвечает провайдер.

Следует обратить особое внимание, что в DNS-сервере, который отвечает за зону нашей типовой организации, в качестве почтового сервера домена должны быть указаны имя и IP-адрес внешнего интерфейса прокси-сервера. Ниже приведены примеры для двух записей, которые обязательно должны быть в DNS-сервере зоны mycompany.com, чтобы можно было использовать почтовые Интернет-адреса типа user@mycompany.com:

@ IN MX 10 proxy

proxy IN A 195.195.195.195

Общие настройки Exchange Server’а

Предполагается, что организация использует только один Exchange Server и нет необходимости организовывать обмен информацией между несколькими почтовыми серверами. Также предполагается, что в сети используются только протоколы Интернет (SMTP, POP3, IMAP4, NNTP).

Так как при первоначальной установке Internet Mail Connector и Newsfeed не устанавливаются, их необходимо установить вручную. Делается это пунктами меню File -> New Other -> Internet Mail Service… и File -> New Other -> Newsfeed…

Рекомендуется удалить все неиспользуемые коннекторы, оставив только Internet Mail Connector и Newsfeed (если предполагается предоставлять клиентам возможность работы с новостями USENET).

Крайне рекомендуется установить Service Pack 3 для MS Exchange Server 5.5 (http://www.microsoft.com/exchange/DeployAdmin/sp3.htm). К сожалению, он не распространяется свободно (во всяком случае, на 10.04.2000), поэтому следует установить хотя бы Service Pack 2 (ftp://ftp.microsoft.com/bussys/exchange/exchange-public/fixes/Eng/Exchg5.5/SP2).

Для редактирования списка администраторов почтового сервера организации, необходимо установить выделить самый старший элемент дерева (это и есть организация) и нажать кнопку «Properties» (см. рис).

В появившемся окне следует выбрать вкладку Permissions:

Как и для остальных продуктов, не следует давать администраторские права без необходимости. В рассматриваемой нами организации с администраторскими обязанностями вполне справятся 1-2 человека.

Не рекомендуется заводить почтовые ящики, ассоциированные с администраторскими учетными записями, особенно если к почтовому серверу разрешен доступ по протоколу POP3. Дело в том, что пароль при использовании этого протокола передается по сети в открытом виде, и злоумышленник может перехватить его. Кроме того, он может попытать подобрать его. Как рассматривалось выше, администратор должен работать под учетной записью с правами обычного пользователя, а под администраторским аккаунтом – только в случае необходимости.

В том случае, если администратор по необходимости работает в основном с правами администратора, рекомендуется завести для него учетную запись, которая будет включена только в группу “Users of Email” и завести почтовый ящик, ассоциированный с этой учетной записью. Теперь администратор в качестве почтового ящика может использовать этот почтовый ящик.

Настройки Internet Mail Connector (Internet Mail Service)

Ниже будут рассмотрены вкладки, играющие роль с точки зрения защиты.

Connections

В поле Accept Connections можно задать условия, при которых сервер будет SMTP-устанавливать соединение с клиентом. From any host – от любого хоста; Only from hosts using Authentication / Encryption / Auth and Encrypt – устанавливать соединение только с хостами, использующими аутентификацию / шифрование / аутентификацию и шифрование. Здесь имеется в виду, что при отправке письма пользователь должен быть авторизован или (и) использовать шифрование. Кнопка Specify by host позволяет указать конкретные компьютеры, от которых ожидается аутентификация / шифрование.

Расположенные ниже поля Clients can only submit if homed on this server и Clients can only submit if authentication account matches submission address позволяет усилить защиту, принимая соединения соответственно только от клиентов, которые имеют на сервере почтовый ящик и от клиентов, параметры аутентификации которых совпадают с параметрами аутентификации пользователя, указанного в поле From (т.е. клиент должен отправлять письмо только от своего имени).

К сожалению, в MS Exchange Server невозможно реализовать обычную схему запрета релеинга (relaying) почты, в соответствии с которой сервер принимает и отправляет почту только в том случае, если пользователь, указанные в поле From или To имеет на нем почтовый ящик. При использовании такой схемы от клиента не требуется аутентификация, а использование почтового сервера для посторонних организаций - рассыльщиков спама становится невозможным.

Поэтому рекомендуется по возможности использовать почтовый шлюз провайдера (с ним придется договориться) и всю почту принимать и отправлять только через него (естественно, шлюз провайдера должен поддерживать описанную выше схему). В этом случае не требуется аутентификация (вообще, не рекомендуется использовать аутентификацию там, где можно обойтись без нее). Но для этого MX запись в DNS-сервере зоны организации должна указывать на почтовый сервер провайдера, который, в свою очередь должен быть настроен на пересылку почты для ваших пользователей на ваш почтовый сервер.

Чтобы настроить использование почтового шлюза провайдера, необходимо отметить поле Forward all messages to host и указать имя или IP-адрес шлюза. Кроме того, администратор должен настроить прием соединений только от шлюза и хостов внутренней сети. Сотрудники организации, работающие за ее пределами, в качестве SMTP-сервера должны указывать шлюз провайдера.

Если невозможно использовать шлюз пройвайдера, рекомендуется использовать аутентификацию для всех хостов из внешней сети (Интернета).

Если и это невозможно, то администратор должен включить отслеживание всех попыток соединения и если он заметит признаки использования своего почтового сервера в качестве шлюза для рассылки спама, он должен сразу включить хост, с которого производилась рассылка, в список отвергаемых хостов (с помощью кнопки Specify by host) и принять меры для наказания рассыльщика (например, отправить письмо его провайдеру).

Security

Кнопка Add позволяет указать почтовые домены, при соединении с которыми сервер должен использовать SASL / SSL соединение (с аутентификацией или шифрованием), либо аутентификацию и шифрование Windows NT.

Характеристики

Список файлов курсовой работы