Иллюстрация ТОДДА ДЭВИДСОНА / IMAGES.COMMicrosoft Exchange Server 2007 изначально проектировался для развертывания в многосерверной среде. По умолчанию продукт должен работать по крайней мере на двух физических серверах: одном — для серверной роли Edge Transport, другом — для остальных ролей (Hub Transport, Mailbox, Client Access и Unified Messaging). Хотя специалисты Microsoft настоятельно рекомендуют использовать Exchange 2007 с двумя физическими серверами, в определенных условиях можно установить и запускать Exchange 2007 на одном компьютере. Так, небольшие компании не всегда имеют возможность выделить более одного сервера для Exchange.

К счастью, Exchange 2007 может работать и на одном сервере, если предварительно принять некоторые меры. Для развертывания на единственном сервере необходимо установить три обязательные серверные роли (Hub Transport, Client Access и Mailbox) на одном компьютере и отказаться от роли Edge Transport. В этом случае роль Hub Transport выполняет функции как Hub, так и Edge. Конечно, необходимо установить Active Directory, Global Catalog и DNS, предпочтительно на физическом сервере, отличном от сервера Exchange. Кроме того, важно помнить о некоторых недостатках развертывания на одном сервере. Во-первых, увеличивается риск из-за доступности и открытости всех ролей на сервере Exchange 2007 из Internet. Степень опасности можно уменьшить с помощью брандмауэра. Во-вторых, при размещении всех ролей на одном сервере Exchange 2007 сервер превращается в единую точку отказа. Наконец, поскольку в роли Hub Transport нужно реализовать защиту от спама и вирусов, возрастает нагрузка на ресурсы сервера. Если эти проблемы решены, то следующий шаг — более тщательно изучить роли, которые нужно настроить для односерверного варианта Exchange 2007, а затем выполнить процедуру настройки этих ролей.

Своеобразие ролей в среде с одним сервером

Первая задача при настройке Exchange 2007 на сервере — подготовить роли Edge Transport и Hub Transport для обслуживания только потока сообщений внутри компании. По умолчанию серверная роль Hub Transport не может ни доставлять сообщения пользователям вне организации Exchange, ни получать сообщения извне. Обычно сервер Hub Transport может установить связь с другими серверами Hub Transport в той же организации, а также с серверами Mailbox и сервером Edge Transport. Дополнительные сведения о связи между серверными ролями и способах пересылки сообщений между серверами приведены во врезке «Движение сообщений в многосерверной среде Exchange 2007».

Для работы Exchange 2007 в среде с одним сервером серверная роль Hub Transport должна выполнять функции сервера Edge Transport. Три важнейшие серверные роли — Mailbox, Client Access и Hub Transport — нужно установить на одном компьютере. В очень небольших компаниях этот сервер, возможно, будет и контроллером домена (DC). По умолчанию роль Hub Transport не может работать без Edge Transport, поэтому необходимо настроить Hub Transport на выполнение как собственных функций, так и задач сервера Edge Transport. Для этого нужно выполнить следующие действия:

  • настроить роль Hub Transport для пересылки сообщений непосредственно в Internet;
  • настроить роль Hub Transport для получения сообщений из Internet;
  • установить и активизировать функции борьбы со спамом в роли Hub Transport.

В отличие от специальной настройки роли Hub Transport, конфигурация серверных ролей Mailbox и Client Access почти такая же, как в многосерверной среде Exchange с сервером Edge Transport. Однако в односерверной среде Exchange 2007 роль Mailbox гораздо более уязвима для потенциальных атак из Internet, чем в среде с сервером Edge Transport, в которой серверы Mailbox и Hub Transport не подключены непосредственно к Internet. В односерверной конфигурации сервер Mailbox размещается вместе с сервером Hub Transport (настроенным для работы в Internet) и сервером Client Access (на котором размещены Web-службы Exchange, также доступные в Internet), поэтому значительно увеличивается число портов, открытых для внешних соединений. Для уменьшения степени риска рекомендуется использовать брандмауэр с функцией фильтрации на уровне приложений. Лучше всего применять Microsoft ISA Server 2006, который поддерживает публикацию защищенного сервера Exchange 2007. Более подробно о защите Exchange 2007 с использованием ISA Server можно прочитать в статье «Защита служб Exchange Server 2007 Services с помощью ISA Server 2006», опубликованной в этом же номере журнала. Также настоятельно рекомендуется запустить мастер Security Configuration Wizard (SCW) после установки Exchange 2007, чтобы повысить безопасность сервера Exchange. Не забудьте импортировать шаблон Exchange 2007 в SCW перед запуском мастера. Разобравшись в различиях серверных ролей, можно приступать к настройке конфигурации. В данной статье предполагается, что на сервере уже установлен Exchange 2007.

Настройка Hub Transport для отправки электронной почты в Internet

Чтобы позволить серверной роли Hub Transport отправлять сообщения в Internet, необходимо настроить службу преобразования имен и коннектор SMTP Send. Серверная роль Hub Transport должна преобразовать имена Internet на основе адреса электронной почты получателя и верно определить SMTP-сервер назначения. Для доставки сообщения в Internet нужно создать SMTP-коннектор на сервере Hub Transport. Коннектор Send представляет собой логический шлюз для передачи исходящих сообщений. Он управляет исходящими подключениями из внутреннего передающего сервера на внешний принимающий сервер или целевую систему электронной почты. По умолчанию при установке серверной роли Hub Transport явных коннекторов Send не создается.

Чтобы создать SMTP-коннектор, следует открыть консоль управления Exchange (EMC), перейти к Organization Configuration и открыть Hub Transport. Затем нужно щелкнуть на вкладке Send Connectors и щелкнуть New Send Connector в области Actions.

На первом экране введите имя SMTP-коннектора (например, send to internet), а в раскрывающемся списке Select the intended use for this connector выберите пункт Internet. Щелкните на кнопке Next, а на странице Address Space нажмите Add. В поле Domain следует ввести звездочку (*). Таким образом, будет создан коннектор, который отправляет сообщение в любой домен сети Internet. Если нужно создать коннектор для определенного домена, введите вместо звездочки его имя и параметры для этого домена.

Далее требуется щелкнуть на кнопке Next и на странице с вкладками выбрать параметр для преобразования имен, как показано на экране 1. По умолчанию для маршрутизации почты используются MX-записи DNS. Это означает, что сервер Exchange будет использовать имя домена назначения, чтобы запросить в локальной службе DNS IP-адрес целевого почтового сервера. После этого Exchange будет искать MX-записи в зоне назначения, чтобы обнаружить почтовый сервер. На данном этапе можно включить взаимную проверку подлинности с применением средств защиты транспортного уровня (т. е. установить режим Enable Domain Security…), если требуется, чтобы почтовые серверы проверяли друг друга перед началом сеанса связи. Однако этот режим не всегда применим к почтовым серверам Internet, с которыми устанавливает связь сервер Exchange, поскольку не все почтовые серверы располагают этой функцией.

Экран 1. Определение метода разрешения имен для вновь созданного коннектора Send SMTP

Второй вариант преобразования имен — направлять почту через интеллектуальный хост-сервер. Это означает, что сервер Hub Transport просто передает каждое сообщение в заданный интеллектуальный хост-сервер (например, почтовый сервер Internet-провайдера), который будет обслуживать весь процесс доставки сообщения. Это подходящий вариант, если преобразование имен нежелательно выполнять локально (например, локальным серверам не разрешено обращаться в Internet) и имеется внешний почтовый сервер, который может использоваться в качестве интеллектуального хост-сервера. На этой странице можно выбрать режим Use the External DNS Lookup settings on the transport server для использования отдельного DNS-сервера (серверов) только для отправки сообщений. Для настройки адресов этих DNS-серверов следует воспользоваться командой Set-TransportServer. Нажмите Next в EMC, добавьте исходный сервер (поскольку сервер только один, этот сервер выбирается по умолчанию). Снова нажмите Next и щелкните New для создания нового коннектора SMTP Send. Если вместо EMC для настройки коннектора SMTP Send применяется EMS, то можно использовать команду из листинга.

После создания коннектора щелкните на нем правой кнопкой мыши и выберите Properties. Перед его использованием нужно задать несколько параметров. Сначала установите полное имя (FQDN) для нового коннектора и уровень ведения журнала протокола (None или Verbose), как показано на экране 2. Имя FQDN будет использоваться сервером для представления другим SMTP-серверам в Internet; обычно это публичное имя FQDN почтового сервера компании. Затем откройте вкладку Network. На странице Network можно выбрать способ проверки подлинности сервера на интеллектуальном хост-сервере, если он существует. Если его нет, то данный этап завершен.

Экран 2. Определение уровня ведения журнала протокола и FQDN

Теперь сервер Hub Transport может отправлять сообщения как внутри компании, так и в Internet. Можно попытаться отправить сообщение получателю вне компании. Оно должно дойти до адресата; однако получать сообщения пока нельзя. Поэтому следующий этап — настроить сервер Hub Transport для получения электронной почты из Internet.

Настройка Hub Transport для получения электронной почты из Internet

Чтобы настроить сервер Hub Transport для получения сообщений из внешних источников, следует в первую очередь настроить обслуживаемый домен для организации Exchange. Обслуживаемый домен — любой домен SMTP, для которого сервер Exchange принимает и отправляет электронную почту. К обслуживаемым доменам относятся домены, для которых организация Exchange является доверенной (т. е. сервер обеспечивает доставку почты для получателей в этом домене), а также домены, для которых организация Exchange получает почту, а затем передает ее во внешний почтовый сервер. Необходимо настроить по крайней мере один обслуживаемый сервер, прежде чем можно будет использовать это пространство имен SMTP в политике адресов электронной почты.

Для настройки обслуживаемого домена необходимо открыть EMC, перейти к Organization Configuration, открыть узел Hub Transport и перейти на вкладку Accepted Domains. Щелкните на кнопке New Accepted Domain в области Actions, чтобы запустить мастер. На первой странице введите имя домена (это может быть имя вашего домена) и имя FQDN принятого домена. В имени обслуживаемого домена можно использовать универсальные символы, чтобы показать, что все поддомены адресного пространства SMTP также принимаются организацией Exchange (например, указав *.microsoft.com, можно сделать обслуживаемыми все поддомены домена microsoft.com).

Затем выберите Authoritative Domain, чтобы указать, что сервер ответствен за почтовые ящики в этом домене, и нажмите New, чтобы создать новый обслуживаемый домен. Эту процедуру можно повторить для любого домена, для которого следует принимать сообщения, но важно убедиться, что MX-записи для этих доменов указывают на нужный почтовый сервер.

Затем настройте коннектор Receive. У сервера Hub Transport есть два стандартных приемных коннектора, но для обоих требуется проверка подлинности. Поскольку сервер Hub Transport должен принимать сообщения непосредственно из Internet (а не от сервера Edge Transport), необходимо разрешить анонимное подключение. Для этого откройте узел Server Configuration и щелкните Hub Transport. В средней области следует щелкнуть правой кнопкой мыши Default ServerName connector и выбрать пункт Properties. Откройте вкладку Permission Groups и установите флажок Anonymous users. Остальные флажки оставьте в прежнем состоянии. В завершение нажмите OK.

Обратите внимание, что имеется еще один коннектор приема, Client ServerName. Этот коннектор настроен для работы с портом 587 и должен использоваться клиентами POP3 и IMAP4 для отправки сообщений с проверкой подлинности TLS. Номер порта легко изменить, отредактировав свойства коннектора. Не разрешайте анонимных подключений с помощью этого коннектора.

Включение функций для борьбы со спамом на сервере Hub Transport

Поскольку сервер Edge Transport не используется, защиту от спама необходимо реализовать в серверной роли Hub Transport. По умолчанию функциональность для борьбы со спамом на сервере Hub Transport не устанавливается; для ее установки используются команды EMS. Откройте EMS, перейдите к папке, в которой установлен Exchange Server (путь по умолчанию C:Program FilesMicrosoftExchange Server), а затем перейдите во вложенную папку Scripts и введите команду

Install-AntispamAgents.ps1

Эта команда добавляет функциональность для борьбы со спамом в сервер Hub Transport. Закройте и вновь откройте EMC, откройте узел Organization Configuration и щелкните Hub Transport, чтобы увидеть новую вкладку Anti-spam. На этой вкладке отображаются различные функции для борьбы со спамом, как показано на экране 3.

Экран 3. Настройка параметров для борьбы со спамом на сервере Hub Transport

В первую очередь следует настроить фильтр контента. Необходимо открыть страницу Content Filtering Properties и щелкнуть вкладку Action. На ней задаются действия для сообщений после того, как им присвоен маркер нежелательной почты (SCL). Предлагается на выбор три варианта: удалить, отвергнуть и отправить в карантин. Рекомендуется сначала удалять сообщения со значением SCL, равным 9, отвергать сообщения с SCL, равным 8, и отправлять в карантин сообщения со значением 7. В этом случае сообщения со значением SCL меньше 7 будут доставлены в почтовый ящик пользователя, как показано на экране 4. Со временем интеллектуальный фильтр спама Exchange обучается, и впоследствии действия можно будет изменить в соответствии с потребностями компании.

Экран 4. Настройка свойств фильтра контента на сервере Hub Transport

На этой же странице настраивается почтовый ящик спама, в который направляются все сообщения для карантина. Имеет смысл подготовить почтовый ящик исключительно для этой цели. Администратор должен периодически проверять данный почтовый ящик в поисках полезных сообщений, ложно определенных как спам, которые следует доставить пользователям.

С помощью других параметров на вкладке Anti-spam можно составить списки разрешенных и запрещенных IP-адресов, чтобы разрешить или блокировать связь определенных IP-адресов с почтовым сервером. Можно также настроить Exchange для приема разрешенных и запрещенных списков от внешних поставщиков услуг. Кроме того, можно назначить фильтры получателей и отправителей, а также идентификатор Sender ID и параметры репутации отправителя. Фильтры получателей и отправителей позволяют запретить определенным лицам получать или отправлять сообщения. Идентификатор Sender ID позволяет проверить соответствие истинного домена происхождения почтового сообщения заявленному. Для этого адрес сервера-отправителя сопоставляется со списком зарегистрированных серверов, в которые владельцу домена разрешено посылать сообщения. Репутация отправителя — средство борьбы со спамом, предназначенное для блокировки сообщений в соответствии со многими характеристиками отправителя. Репутация сервера основывается на собранных об отправителе данных и определяет, как Exchange должен обработать входящее сообщение.

Готовность к работе с электронной почтой

Убедившись, что AD работает корректно и все службы Exchange функционируют, можно использовать сервер Exchange 2007 для отправки и приема электронной почты. Установить Exchange 2007 на одном сервере можно, если заранее принять специальные меры и учитывать различия конфигурации с обычной многосерверной средой Exchange 2007. Односерверное решение Exchange 2007 может быть экономичным и полностью функциональным, но главная проблема такого подхода — безопасность, поскольку некоторые ресурсы, в частности роль Mailbox, доступны из Internet. Кроме того, устанавливая Exchange на одном сервере, рекомендуется использовать компьютер с несколькими жесткими дисками и обеспечить непрерывную локальную репликацию для высокой отказоустойчивости.

Дамир Диздаревич (ddamir@logosoft.ba) — менеджер учебного центра Logosoft в Сараево (Босния). Имеет сертификаты MCSE, MCTS, MCITP и MCT. Специализируется на безопасности Windows Server и опубликовал более 350 статей в журналах по ИТ


Движение сообщений в многосерверной среде Exchange 2007

В типичном случае применения Exchange Server 2007 существует по меньшей мере два физических сервера, один из которых выделен для роли Edge Transport. При этом пересылка сообщения между серверными ролями происходит следующим образом. Когда сервер Mailbox извещает сервер Hub Transport о наличии сообщения для доставки, сервер Hub Transport обрабатывает сообщение и принимает решение о передаче сообщения: в другой (или тот же) сервер Mailbox в узле; на сервер Hub Transport в другом узле; на сервер Edge Transport. Все сообщения, предназначенные для пользователей Internet (или пользователям вне организации Exchange), пересылаются на сервер Edge Transport. Этот сервер использует публичные серверы DNS, чтобы обнаружить почтовый сервер назначения, а затем передает сообщение через протокол SMTP или просто пересылает его на интеллектуальный хост-сервер. На сервере Edge Transport можно применить к сообщению транспортные правила или перезаписать адрес.

Входящее сообщение, которое поступает на сервер Edge Transport из Internet (этот сервер доступен через MX-записи в публичной DNS-зоне домена), обрабатывается агентами для борьбы со спамом и вирусами, к нему применяются транспортные правила (если они заданы), и, наконец, сервер Edge Transport передает сообщение серверу Hub Transport. Сервер Hub Transport выполняет поиск в глобальном каталоге, чтобы обнаружить сервер Mailbox получателя, а затем передает сообщение в почтовый ящик пользователя.


Листинг. Создание коннектора Send SMTP