240 likes | 373 Views
Exchange Transport. Üzenetek továbbítása. Soós Tibor – MCT, MVP soost @ iqjb.hu IQSOFT – John Bryce Oktatóközpont. Tartalom. Exchange transport architektúra Főbb beállítások, jellemzők Transport Rules Edge szerep Architektúra EdgeSync Levélszemét-szűrés Antivírus.
E N D
Exchange Transport Üzenetek továbbítása Soós Tibor – MCT, MVP soost@iqjb.hu IQSOFT – John Bryce Oktatóközpont
Tartalom • Exchange transport architektúra • Főbb beállítások, jellemzők • TransportRules • Edge szerep • Architektúra • EdgeSync • Levélszemét-szűrés • Antivírus
Üzenetek áramlása Hub Transport szerep Edge Transport szerep 5 2 3 1 4 Client Access szerep Mailbox szerep
Több telephely Forrás Meghibásodás pontja 20 10 10 Alaphelyzet szerinti útvonal 20 10 Késleltetett legyező Cél
HUB Transport beállítások • Külön Send és ReceiveConnector • Nem igényel külön IP címet több ReceiveConnector • Remote és Accepted tartományok
Részletesen testre szabható autentikációs lehetőségek Finom-hangolható jogosultság-beállítások Konnektorok autentikációs és biztonsági lehetőségei
Konnektorok beállítása • ReceiveConnector • Tartományok
Transzport-szabályok, journaling • Feltételek • Ki, kinek, honnan, hova, szó minta, SCL, csatolmány mérete... • Tevékenységek • Jogi nyilatkozat, eldob, tárgysort kiegészít, hibajelzéssel visszaküld, másol, eltérít... • Kivételek • U.a., mint a feltételek • Journaling • Kevésbé finomhangolható, központi beállítás
HUB Transport beállítása • TransportRule, Journaling
Internetes levelezés beállítása • Alaphelyzetben se ki, se be nem mennek levelek • Beállítható a Hub Transport vagy • Beállítható az Edge Transport vagy • Beállítható más smarthost ilyen célra Természetesen ne feledkezzünk meg a DNS MX bejegyzéséről
Internetes levéláramlás 1 Mailbox Server 6 4 5 2 3 Hub Transport Server Edge Transport Server
Edge Transport jellemzői • Különálló (nem tartományi tag) kiszolgáló • Nem a belső hálózaton (DMZ) • Kevés portotigényel: 25 ki-be, 53 ?, 60636 bentről, RDP bentről • DNS névfeloldás és FQDN • Önálló konfigurációs és címzetti adatbázis (ADAM/ AD LDS) • Vírusirtás már a legelső ponton, AV pecsét
Edge Synchronization Edge Synchronization: adatok replikációjaAD-ból az Edge konfigurációs (ADAM v. AD LDS) adatbázisába • Sok beállítást a belső hálózaton tehetünk meg • Felhasználói információk eljuttatása az intelligens spam szűréshez • A felhasználói adatok hash-e tárolódik csak • Automatikus frissítés: topológia 5 perc, konfiguráció 1 óra, felhasználók 4 óra • New-edgesubscription az Edge-en, majd a HT-on
Anti-spam ügynökök architektúrája Exchange Server 2007 Edge Transport server IP Allow list Connection filtering IP Block list RBL Internet Sender filtering Recipient filtering Outlook Safe Senders List Sender ID filtering Exceed SCL threshold Content filtering Below SCL threshold Senderreputationfiltering Attachmentfiltering
Sender Reputation szűrő Szűrési döntés a küldő előélete alapján • Open proxy vizsgálat • HELO/EHLO analízis • Reverse DNS keresés • SCL szintek vizsgálata • Időszakra kizárható a feladó • Őrzi a múltat, nem lehet kapcsolat újraépítésével elfelejtetni
Tartalomszűrő Üzenet tartalmának elemzése és „Spam gyanússági szint” érték hozzárendelése • Testre szabható szólista • Kivételek • Művelet: törlés, visszautasítás, karantén
Safe-listaggregáció • Felhasználók safesender listájának nyilvántartása a spam szűrőn • Nem automatikus replikáció: • Get-Mailbox| Update-SafeList • Célja a fals pozitív esetek csökkentése
Túlterheléses támadás elleni védelem • Back Pressure: • Erőforrások figyelése • Queue adatbázis és log diszkjei • EdgeTransport folyamat memóriafelhasználása • Szabad memória • Tranzakciók által használt memória • Beállítható az EdgeTransport.exe.configfájl szerkesztésével • Óvintézkedések • Közepes terhelésnél külső kapcsolat megtagadás • Nagy terhelésnél minden kapcsolat megtagadás
Antivírus: ForeFrontSecurity • Egy időben max. 5 víruskereső motor • Üzenetek megpecsételése: csak egy helyen lesz vírusellenőrzés • Egyszerű kezelőfelület
Antispam „bestpractices” • Fokozatos szűrés-bekapcsolás • Legbiztonságosabb az csatolmány-szűrő • Elsőként inkább „billogozzuk” meg a gyanús leveleket • Junk mappába kézbesítés beállítása: • set-OrganizationConfig –SCLJunkThreshold 5 • Get-Agentlog cmdlettel elemezzük a szűrést • Legyen postmaster@domainname címünk • Konfiguráljunk RBL listát • Akár a HT-on is telepíthetjük: install-antispamagents.ps1
Edge beállítása • Spam-szűrés • EdgeRules • Attachment-szűrés (PowerShell) • Antispam ügynökök beállítása a HT-on
Üzenetáramlás hibáinak keresése • Eszközök: MailFlowTroubleshooter, Queueviewer, RoutingLog Viewer
Köszönöm a figyelmet! Folytatás: 12:20