Nasazujeme Exchange 2013 SP1 - díl 2.

Navážeme na první díl seriálu, ve kterém jsme si představili instalaci a úvodní konfiguraci Exchange Serveru včetně založení a konfigurace databází pro poštovní schránky.

Doménová jména a práce s nimi

Jakmile máme připraveny databáze a v nich rozmístěny uživatelské schránky, bude nutné začít přemýšlet o propojení vašeho prostředí s okolním světem. Přijímání a zasílání poštovních zpráv bude skrze SMTP protokol zajištěno pouze pro ty zprávy, které jsou směřovány na domény, které jsou v rámci vaší Exchange organizace konkrétně vydefinovány.

Akceptované domény

Nastavení domén, pro které chceme, aby Exchange server přijímal poštovní zprávy, provedeme pomocí následujícího postupu:

• EAC: Mail flow -> Accepted domains -> Klikneme na ikonku + (NewAdd)
• Ve vyskakovacím okně vyplníme doménové jméno a zvolíme, zdali budou e-maily končit na Exchange serveru (authoritative domain) nebo se budou předávat dalším serverům (uvnitř – internal relay, externě – external relay)

Obrázek 1: Akceptované domény

Obrázek 2: Přidání akceptované domény

Domén můžeme přidat tolik, kolik jich naše společnost vlastní (bez omezení). V případě více domén dochází k přijímání poštovních zpráv na všech vyjmenovaných SMTP doménách.

Automatické nastavení SMTP adres na poštovních schránkách

Abychom nemuseli na každé schránce ručně nastavovat SMTP alias (poštovní adresu), můžeme jejich vytváření zautomatizovat pomocí adresních politik, které se aplikují na poštovní schránky a automaticky na nich vytváří vše potřebné. Nastavení adres, které chceme aplikovat na naše schránky, provedeme pomocí následujícího postupu:

• EAC: Mail flow -> Email address policies -> klikneme na ikonku + (NewAdd)
• Nastavíme jméno adresní politiky, priorituFiltrování schránek může být na základě konkrétního atributu, či v jaké organizační jednotce, či doméně Active Directory se uživatel nachází
• Následně vybíráme, jaké adresy chceme na schránky aplikovat. Průvodce nám pomůže vybrat z nejčastějších typů adres a domén, které jsme již dříve v Exchange organizaci definovali. Adres může být na schránku aplikováno víc, ale jen jedna je označena jako primární – uživatel může na všech adresách zprávy přijímat, ale odesílat pouze z té, která je nastavena jako primární („Set as Reply“)

 
Obrázek 3: Přidání adresní politiky

Ruční nastavení SMTP adres na poštovních schránkách

Při správě adres na poštovních schránkách dochází i k tomu, že je na konkrétní schránce potřeba nastavit adresu jinou, než je uvedeno v adresních politikách – tedy výjimku.

Její vytvoření provedeme pomocí následujícího postupu:

• EAC: Recipients -> Mailboxes
• Vybereme poštovní schránku -> na záložce email address klikneme na ikonku + (NewAdd)
• Ve vyskakovacím okně napíšeme nebo změníme e-mailovou adresu dle požadavku -> OK

Obrázek 4: Ruční přidání SMTP adresy

Nezapomeňte také za každou doménu, kterou vlastníte, přidat na jednu schránku alias postmaster – tato adresa je používána v situacích, kdy vás např. externí subjekt chce upozornit, že váš poštovní server byl umístěn na black list, atd. Tato adresa je tedy důležitá a měla by být monitorována.

Nastavení odesílání a přijímání poštovních zpráv

Abychom mohli v rámci Exchange organizace posílat a přijímat poštovní zprávy, je potřeba provést několik nastavení.

Odesílání poštovních zpráv

Pro odesílání poštovních zpráv je nutné, aby v Exchange organizaci existoval jeden nebo více odesílacích konektorů (Send Connector). Tento je nutné vytvořit ručně.

Vytvoření konektoru pro odesílání zpráv provedeme pomocí následujícího postupu:

• EAC: Mail flow -> Send connectors a kliknětě na ikonu + (NewAdd)
• Konektor pojmenujeme, vybereme jeho určení (Internet) -> Next
• Nastavíme, jakým způsobem bude Exchange vyhledávat cílový sever (pravděpodobně pomocí DNS) -> Next
• Nastavíme domény, do kterých bude Exchange posílat zprávy. Pokud budeme tímto konektorem odesílat zprávy do celého internetu, uvedeme v sekci SMTP znak * (hvězdička) a prioritu konektoru. Pro konektory do internetu zpravidla volíme nižší prioritu
• V posledním kroku vybereme, který Exchange server v naší organizaci bude díky tomuto konektoru emaily odesílat do internetu. Pokud serverů vybereme víc, použije se vždy ten, který je při odesílání nejvýhodnější (nejmenší počet předání zprávy mezi servery)

Obrázek 5: Příklad nastavení Send konektoru do internetu

Pokud je ve vaší organizaci více Exchange serverů, které mohou odesílat poštovní zprávy, může v organizaci existovat také více konektorů. Jejich priorita se určuje váhou (cost) – čím nižší číslo, tím vyšší priorita. Dá se tím docílit mj. toho, že pokud je primární server zodpovědný za odesílání zpráv do internetu nedostupný, zpráva se automaticky pošle přes další sever. Konektory je po vytvoření nutné vždy správně nastavit, jinak riskujeme odmítání poštovních zpráv antispamovými filtry.

Konektory pro odesílání zpráv nastavíme pomocí následujícího postupu:

• EAC: Mail flow -> Send connectors -> Vybereme nově vytvořený konektor pro odesílání zpráv -> klikneme na ikonku tužky
• Na záložce General nastavíme velikost zpráv, které lze ještě konektorem poslat, a zapneme logování provozu. Lze také nastavit přeposílání zpráv přes Client Access server roli (Frontend Transport Service)
• Záložka Delivery umožňuje měnit autentizační metody a směrování zpráv
• Záložka Scoping umožňuje nastavit jméno, kterým se konektor bude hlásit při odpovědi na příkazy EHLO a HELO.

Obrázek 6: Nastavení FQDN odesilacího konektoru

Vyplnění správného jména je klíčové pro správné fungování odesílání zpráv. Musí zde být uvedeno jméno, které se shoduje se jménem, které nám při překladu vrací DNS PTR záznam. Jako příklad uvedu adresu 46.47.131.58, pod kterou je vidět odchozí SMTP komunikace. Tato IP adresa má k sobě navázán DNS PTR záznam „post.kpcs.cz“, tedy přesně to samé jméno, které máme jako příklad uvedeno v konektoru. Pokud by se toto neshodovalo, může být tato neshoda vyhodnocena antispamovými nástroji jako potencionální problém a zprávy z vašich serverů budou mnohem častěji končit v antispam karanténách. Typickým příkladem je situace, kdy je k IP adrese přiřazeno servisní jméno poskytovatele připojení. Nezapomínejte na to, že zatímco DNS jméno si můžete koupit a patří vám, IP adresu máte vždy pronajatu od poskytovatele připojení. Takže to on musí na základě vaší žádosti vytvořit DNS PTR záznam požadovaného tvaru.

Obrázek 7: Konfigurace MX a PTR pro kpcs.cz

Přijímání poštovních zpráv

Pro správné přijímání poštovních zpráv je nejprve nutné v každé DNS zóně, za kterou chcete zprávy přijímat, vytvořit DNS MX záznam (viz. Obrázek 7). Tento musí směřovat na ten Exchange, který je vypublikován – tzn. má otevřenu SMTP komunikaci do internetu. O přijímání emailů v Exchange se starají Receive konektory, které se nastavují na každém serveru.

Díky změně architektury ve verzi 2013 došlo i ke změnám v použití některých Receive konektorů:

Služba FrontEnd Transport

• běží na serveru, který má nainstalovánu roli Client Access
• obsluhuje 3 konektory a stará se o komunikaci klientů Exchange a Backend Transport Service
• konektory služby FrontEnd Transport:
• Default FrontEnd <server name> : Akceptuje zprávy na portu 25. Tímto konektorem přijímáme zprávy do organizace
• Outbound Proxy Frontend <server name>: Akceptuje zprávy z BackEnd Transport konektoru, který má zatržené políčko “front-end proxy enabled”
• Client Frontend <server name>: Akceptuje zabezpečená spojení s TLS

BackEnd Transport service – běží na serveru s Mailbox rolí

Služba obsluhuje 2 konektory

• Default <server name>: Akceptuje zprávy ze serverů s nainstalovanou rolí Mailbox a z EDGE serverů (pro zpětnou kompatibilitu)
• Client Proxy <server name>: Akceptuje zprávy ze serveru s nainstalovanou rolí Client Access

Z nového rozdělení tedy vyplývá, že pro příjem zpráv z internetu je naprosto nezbytné ověřit, zdali nastavení Default FrontEnd <Servername> je v pořádku.

Pozor! Pokud jsou Client Access a Mailbox role nainstalovány na jednom serveru, Backend Transport poslouchá na portu 2525. Administrátor si musí dát pozor, aby nevytvořil konektor služby Backend Transport na portu 25. V případě chybného vytvoření konektoru dochází k nestabilitě toku poštovních zpráv, protože na portu 25 poslouchají dvě služby.

Konektory pro přijímání zpráv nastavíme pomocí následujícího postupu:

• EAC: Mail flow -> Receive connectors -> Vybereme nově nainstalovaný Exchange server a klikneme na ikonu + (NewAdd) pokud chceme vytvořit nový Receive konektor pro Internet, na záložce General ověříme, že je konektor povolený (zatržítko Enabled)
• V dialogovém okně vyplníme jméno konektoru, vybereme FrontEnd Transport a internet (pro přijímání zpráv z internetu) -> Next
• V dalším okně nastavíme IP adresy, na které budou směřovány SMTP zprávy -> Finish

Nový Receive konektor bude vytvořen a my nastavíme požadovanou autentizaci, FQDN a IP adresy, ze kterých povolíme příjem zpráv:

• Vybereme nově vytvořený konektor a kliknutím na ikonu tužky se dostaneme k jeho vlastnostem
• Na záložce Security ověříme, že je možné přijímat zprávy od neautentizovaných uživatelů (volby Anonymous users)
• Na záložce Scope nastavíme, na kterých IP adresách chceme přijímat zprávy pro tento konektor a nastavíme FQDN, pod kterým se server hlásí při EHLO / HELO. FQDN by mělo odpovídat MX záznamu pro danou doménu (viz. Obrázek 7)
• Nastavíme maximální velikost přijímaných zpráv -> Save

Pozor! Pokud chceme např. přijímat zprávy o velikosti 28MB, je třeba myslet na následnou režii při přenosu a kódování zpráv. Obecně platí, že je třeba připočítat 20 % k maximální velikosti zprávy, kterou chceme podporovat a tato hodnota se pak nastavuje na konektory, do transportní konfigurace a jako limit jednotlivých uživatelů. Z našeho příkladu tedy bude na konektoru nastavena velikost zprávy 35MB.

Obrázek 8: Příklad konfigurace přijímacího konektoru

Doporučená nastavení pro Exchange DNS zónu:

kpcs.cz	A	post	46.47.131.58
kpcs.cz	MX		post.kpcs.cz
kpcs.cz	TXT		v=spf1 ip4:46.47.131.58 mx mx:post.kpcs.cz ~All
kpcs.cz	SRV	_autodiscover._tcp.	1 1 443 post.kpcs.cz

 

 

 

Z tabulky je možné vyčíst:

• Emaily mají být posílány díky MX záznamu na adresu SMTP serveru „post.kpcs.cz“
• Antispam ochrana SenderID je nastavena tak, že zprávy z domény „kpcs.cz“ může odesílat pouze IP adresa 46.47.131.58 a jméno serveru post.kpcs.cz.
• Klienti, kteří podporují automatickou konfiguraci pomocí Autodiscover (Outlook 2007 SP1 a vyšší, Windows Mobile 6.1 a vyšší) si mohou na serveru „post.kpcs.cz“ stáhnout potřebnou konfiguraci klienta

Více o nastavení SPF záznamu v DNS se dozvíte na této stránce. Nejdete tam i průvodce, který vám s jeho vytvořením pomůže: http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard

Závěrem

V příštím dílu se podíváme na nastavení antispamových funkcí a práci s certifikáty.

Tým KPCS CZ (http://www.kpcs.cz)
Martin Pavlis, Miroslav Knotek, Zbyněk Saloň

Články ze série Microsoft TechNet nevytváří redakce Živě.cz, ale partneři programu Microsoft TechNet. Jsou publikovány v rámci mediálního partnerství Živě.cz a společnosti Microsoft.