Управление коннекторами получения (часть 2)

Published on Январь 26, 2009 by   ·   Комментариев нет

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Управление коннекторами получения (часть 1).

В предыдущей части мы создали коннектор получения для получения почты, входящей из интернета, и мы также протестировали его, используя утилиту telnet.

Чтобы протестировать коннектор получения, мы должны знать о базовых SMTP командах, чтобы отправлять сообщения с помощью сеанса telnet. Следующие команды позволят вам отправлять пробное сообщение с помощью утилиты telnet. Все базовые SMTP команды, необходимые для отправки сообщения, приведены ниже:

  1. Коннекторы получения, которые мы создали, прослушивают порт 25 и определенный IP адрес. Давайте воспользуемся утилитой telnet для подключения к нашему серверу: telnet <IP> 25Expected result: 220 <FQDN name> Banner information
  2. Запуск SMTP сеанса. EHLO example.org Ожидаемый результат: список всех SMTP команд, которые принимаются коннектором получения. Ответ приветствия (hello answer) с IP адресом, используемым отправителем, будет отображен в первой строке.
  3. Определение отправителя тестового сообщения.

    Сообщение от (Mail from):user@example.org

    Ожидаемый результат (Expected result): 250 2.1.0 Sender OK

  4. Определение получателя тестового сообщения. SMTP домен, используемый получателем должен существовать в текущей организации.

    Сообщение кому (Rcpt to):user@<your-domain>

    Ожидаемый результат (Expected result): 250 2.1.5 Recipient OK

  5. Запуск тестового сообщения.

    Data <enter>

    Ожидаемый результат (Expected result): 354 Start mail input; end with <CRLF>.<CRLF>

  6. Нажмите клавишу <enter> дважды и впишите содержимое, которое будет отображено в теле сообщения. Для завершения введите точку ‘.’ в пустой строке и нажмите клавишу <Enter>.

    Это тестовое сообщение. <enter>

    . <enter>

    Ожидаемый результат: 250 2.6.0 <Message ID@ServerName.fqdn> Queued mail for delivery

  7. Завершение сеанса.

    Завершить

    Ожидаемый результат: 221 2.0.0 Service closing transmission channel

Мы можем зайти на OWA, чтобы проверить, было ли сообщение получено. Весь процесс показан на рисунке 01.

Exchange 2003 connectors сервер не пингуется

Рисунок 01

Этот процесс важен для диагностирования почтового потока, равно как и для проверки коннектора получения.

Работа с функциями безопасности коннектора получения.

Итак, мы только что настроили коннектор получения, используя консоль и оболочку Exchange Management Console и Exchange Management Shell, теперь мы можем начать работу с некоторыми настройками безопасности нашего коннектора получения. Вся безопасность, которую мы увидим здесь, модифицируется коннекторами получения и настраивается с помощью оболочки управления Exchange Management Shell. Давайте настроим некоторые функции безопасности в нашем новом интернет коннекторе получения следующим образом:

Изменение информации баннера’

Некоторые компании не желают отображать имя сервера в SMTP подключениях. Мы можем изменить информацию баннера, используемую коннектором получения, с помощью нижеприведенной команды, результаты использования которой показаны на рисунке 02.

Set-ReceiveConnector <connector-name> -Banner ‘220 Mail Server’

Bpvtybnm rjytrnjh ghb`vf учсрфтпу 2010

Рисунок 02

Если вы все еще пользуетесь Exchange Server 2003/2000 и хотите изменить это поведение, вы можете воспользоваться следующей статьей из базы знаний Microsoft KB Article: How to change the default connection response that you receive after you connect to the SMTP port in Exchange 2003.

Указание количества ошибок во время сеанса’

Мы можем контролировать количество протокола ошибок в одном сеансе. Значение по умолчанию составляет 5, чтобы задать значение 2, мы можем использовать следующую команду:

Set-ReceiveConnector <Connector Name> -MaxProtocolErrors 2

Теперь, если SMTP Server/пользователь подключается и достигает максимального количества ошибок, определенных для коннектора получения, будет отображаться следующее сообщение (рисунок 03):

Bpvtybnm rjytrnjh ghb`vf учсрфтпу 2010

Рисунок 03

Дросселирование коннектора получения’

Коннекторы получения позволяют нам ограничивать входящий трафик для предотвращения чрезмерного использования с определенного источника, защищая систему от ненужных перегрузок. Вот три опции, которые здесь есть:

  • MaxInboundConnectionsperSource: Определяет максимальное количество подключений, созданных на одном коннекторе одним источником. Стандартное значение этого параметра составляет 100.
  • MaxInboundConnection: Определяет, сколько подключений коннектор получения будет принимать одновременно. Стандартное значение этого параметра составляет 5000.
  • MaxInboundConnectionPercentagePersource: Основываясь на значении MaxInboundConnection, этот параметр указывает, сколько подключений один источник может создавать на коннекторе получения. Умолчание составляет 2%.

Чтобы настроить коннектор получения с помощью параметров, которые мы только что рассмотрели, мы можем запустить следующую команду:

Set-ReceiveConnector <Connector-Name> -MaxInboundConnection <Number> -MaxInboundConnectionsperSource <Number> -MaxInboundConnectionPercentagePerSource <Number>

Мы также можем настроить таймаут для определенных аспектов коннектора получения, таких как: во время SMTP соединения, а также во время неактивного соединения. Чтобы настроить ConnectionTimeout, мы можем запустить следующую команду:

Set-ReceiveConnector <Connector-Name> -ConnectionTimeout <days.hours:minutes:seconds>

Чтобы отключиться во время простоя, мы используем следующую команду:

Set-ReceiveConnector <Connector-Name> -ConnectionInactiveTimeout <days.hours:minutes:seconds>

Мы также можем ограничить количество получателей, лимит скорости и максимальный размер сообщения на уровне коннектора. Чтобы произвести эти настройки, мы можем использовать следующие параметры в команде:

  • MaxRecipientsPerMessage: Максимальное количество получателей на одно сообщение, умолчание составляет 200.
  • MaxMessageSize: Максимальный размер сообщения, по умолчанию значение задано в 10MB.
  • MaxRateLimit: Этот параметр задает максимальное количество сообщений, которое один клиент может отправлять в минуту.

Давайте изменим наш интернет коннектор получения, чтобы он принимал до 100 пользователей максимум, максимальный размер сообщения будет более 2MB, а ограничение скорости составит 200, используем команду:

Set-ReceiveConnector<Connector Name> ‘MaxRecipientsPerMessage:100 ‘MaxMessageSize:5MB ‘MaxRateLimit:200

Последней функцией, которую мы рассмотрим в этой статье, будет TarpitIntervall. В Exchange Server 2003 нам придется настраивать ее с помощью редактора системного реестра (Registry Editor) (http://support.microsoft.com/kb/842851). В Exchange Server 2007 мы можем сделать, используя оболочку Exchange Management Shell. Функция tarpit вставляет предопределенный период задержки в каждый SMTP ответ, содержащий ошибку с кодом 5.x.x, во время SMTP коммуникации между серверами. Данная функция применяется только для анонимных подключений и будет использоваться при включенном агенте фильтрации реципиентов (Recipient Filter Agent) и функции поиска получателей (Recipient Lookup).

В этой статье мы используем один модуль Exchange Server 2007; все три основные роли установлены (Mailbox, CAS и Hub Transport). Модуль получает почту из интернета, мы также настроили на нем агента антиспама (можно посмотреть способы настойки одного сервера Exchange Server на получение интернет сообщений и настройки функций антиспама в следующей статье: Configuring Mail Flow in a Single Exchange Server 2007). Давайте рассмотрим агента фильтрации получателей и включим функцию поиска получателей:

  1. Открываем консоль Exchange Management Console.
  2. Разворачиваем конфигурацию организации.
  3. Жмем на Hub Transport.
  4. Переходим по вкладке Anti-Spam.
  5. Дважды нажимаем на Фильтрации получателей.
  6. Переходим во вкладку Заблокированные получатели.
  7. Отмечаем первую опцию «Блокировать сообщения, отправленные получателям, которые не внесены в список Глобальных адресов» (рисунок 04).

    Не удалось прочитать настройки коннектора

    Рисунок 04

Итак, отныне все сообщения, адресованные неизвестному нашей организации получателю будут блокироваться сервером Exchange Server, как показано в первой строке rcpt to: SMTP на рисунке 05. Однако мы можем столкнуться с проблемой, где спамер попытается осуществить атаку нашего сервера, используя атаку словаря для выявления того, какие адреса действительны в нашей организации. Как предотвратить это? Для предотвращения этого нет способа, но для каждого неверного адреса, с которыми атакующий пытается создать SMTP соединение, будет отображаться ошибка ‘5.1.1 User unknown’, а для каждой из таких ошибок мы можем настроить функцию tarpit для задержки ответов сервера.

Не удалось прочитать настройки коннектора

Рисунок 05

Стандартное значение составляет 5 секунд, для изменения этого значения мы можем использовать команду:

Set-ReceiveConnector ‘<Connector-Name>’ ‘TarPitInterval:<Number of seconds>

Заключение

В этой части мы рассмотрели, как настраивать параметры безопасности и ограничения коннектора получения. Мы также узнали, что некоторые настройки необходимо выполнять в оболочке Exchange Management Shell. В следующей части мы поработаем с информацией журналов регистрации и начнем работать со способами аутентификации, а также посмотрим, как настраивать разрешения с помощью AdsiEdit.msc и Exchange Management Shell.

Источник  http://www.msexchange.org


Смотрите также:

Tags: , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)




Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]