Реализация DKIM для Exchange Server 2013

При построении современной почтовой системы нужно учитывать множество факторов, чтобы защитить получателей/отправителей почтовой системы от спамовых и фишинговых почтовых сообщений. Все мы хорошо знаем о Sender Policy Framework (SPF), который позволяет проверить не подделан ли домен отправителя почтового сообщения, но изощренность злоумышленников ставит перед нами новые задачи которые можно, а главное нужно решать с помощью стандартов DomainKeys Identified Mail (DKIM) и Domain-based Message Authentication, Reporting and Conformance (DMARC).

Для более глубокого понимая технологий советую просмотреть видео Дмитрия Разборнова DMARC, DKIM.

В этой же заметке мы подробно рассмотрим внедрение в реально работающую почтовую систему технологий DKIM и DMARC на базе почтовой системы Exchange Server 2013.

До недавнего времени в нашей компании использовалась схема исходящей почтовой корреспонденции Exchange Server 2013 –-> почтовый релей Exim 4.x (Linux Debian 7.x x64) –> интернет.  На почтовом релее был реализован агент DKIM, который успешно подписывал всю исходящую почту. К сожалению Exchange 2013 не имеет своего встроенного механизма, который может реализовывать подобное.

В свою очередь я пристально слежу за развитием проекта dkim-exchange, который очень бодро развивается и реализует поддержку DKIM в самых последних версиях Exchange.

При установке Exchange DKIM Signer на Exchange сервер устанавливается транспортный агент:

1
Единственной задачей этого агента является создание электронной цифровой подписи для письма, которое отправлено внешним получателям.

Таким образом мы решили отказаться от схемы с релеем и установить агента Exchange DKIM Signer непосредственно на Exchange сервер.

Установка агента Exchange DKIM Signer

1) Идем по ссылке и скачиваем файл Source Code (zip)

2

2) Распаковываем ZIP архив.

3) Открываем от имени администратора Exchange Management Shell  и переходим в распакованную папку.

4) Перед тем, как запустить PowerShell скрипт .\install.ps1, зададим политику выполнения PowerShell скриптов:

Set-ExecutionPolicy Unrestricted

5) Запускаем скрипт установки  .\install.ps1

20

Setup нам предлагает запустить Configuration.DkimSigner.exe, чтобы сконфигурировать агента, но мы не будем этого делать сейчас, нажимаем Enter. 

6) Теперь можно убедиться в том, что агент удачно установился в системе:

21

Конфигурирование агента Exchange DKIM Signer

1) Идем в папку “C:\Program Files\Exchange DkimSigner\”  и запускаем Configuration.DkimSigner.exe и видим:

7
На скриншоте выше видно, что я использую не самую последнюю версию программы, произведем обновление после конфигурирования и проверки работоспособности агента. 

2) Нажимаем кнопку Configure:

8

Выбираем Exchange DkimSigner и понижаем приоритет до самого низкого. Это значит, что почтовое сообщение будет обрабатываться в последнюю очередь этим агентом, когда у письма будут окончательно сформированы все заголовки почтового сообщения, из документации:

Make sure that the priority of the DkimSigner Agent is quite low so that no other agent messes around with the headers. Best set it to lowest priority

3) Переходим на вкладку DKIM Settings и переключаем алгоритм хеширования на RsaSha256, Body Canonicalization, Header Canonicalization выставляем в Simple, из документации:

Possible values for HeaderCanonicalization and BodyCanonicalization are Simple (recommended) and Relaxed

Более подробно про параметры Body Canonicalization, Header Canonicalization можно прочитать вспецификации DKIM

На вкладке DKIM Settings так же можно настроить заголовки почтового сообщения, которые будут подписываться. Оставим все по умолчанию.

9
Не забываем нажать кнопку Save configuration.

4) Переходим на вкладку Domain Settings и удаляем домены по умолчанию example.com и example.org. Следующим шагом добавляем наш почтовый домен кнопкой Add и заполняем основные поля. Поле Domain Name  — это имя вашего почтового домена, например для адресов типа UserName@company.com это поле примет значение company.com

16

Поле Selector – это произвольная строка которая добавляется к имени домена. С помощью поля Selectorправильно идентифицируется public key в TXT записи на DNS сервере:

51

Если взять наше значение из поля Selector и посмотреть на Email Headers, то мы увидим тег s= который имеет значение из поля Selector, тег d= имеет значение указывающие на наш почтовый домен. Таким образом сервер получатель понимает какой именно public key на нашем DNS сервере нужно проверять.

rsz_52

Следующим шагом генерируем ключевую пару (public key и private key). Private key будет храниться строго на сервере, и с его помощью будет подписываться вся исходящая почта. Нажимаем кнопку Generate Key  и Exchange DKIM Signer предлагает нам сохранить *.xml файл в папку keys, что мы и делаем:

17
В итоге должно получиться три файла в папке keys для нашего почтового домена:

  • MailDomain.ru.xml
  • MailDomain.ru.xml.pub – файл содержит public key, в будущем мы разместим его в TXT-записи на нашем внешнем DNS сервере.
  • MailDomain.ru.xml.pem — файл содержит private key.

После сохранения *.xml файла не забываем нажать на кнопку Save Domain.

Далее Exchange Dkim Signer предлагает нам создать TXT-запись на внешнем DNS сервере который обслуживает наш почтовый домен:

41
В панели хостинг провайдера вашего DNS сервера создаем TXT запись:
42

Обратите внимание на то, что запись публичного ключа разделена кавычками (стрелочка под номером два). Когда я впервые настраивал TXT запись на DNS сервере, то столкнулся с проблемой, что электронно-цифровая подпись письма не проходила проверку на принимающем почтовом сервере.

После нескольких попыток перенастройки самого агента и TXT-записи DNS сервера, было принято решение написать в тех.поддержку DNS хостинг провайдера. Ответ от тех.поддержки был таким:

Размер записи превышает 255 символов и поэтому не обрабатывается. Вам нужно разбить на несколько IN TXT:

recname IN  TXT "foobar" "baz" "blivit" "alpha" ... "zulu"

После разбиения TXT-записи публичного ключа кавычками, письма стали успешно проходить проверку электронно-цифровой подписи на принимающем почтовом сервере.

Не все DNS хостинг провайдеры требуют разбивать TXT-запись менее чем на 255 символов, так как некоторые из них это делают прозрачно для пользователя.

После создания TXT-записи в DNS желательно подождать 5-8 минут и уже потом проверять работоспособность.

 

Проверка агента Exchange DKIM Signer

Отправим тестовые письма на известные почтовые домены gmail.com и yandex.com:

24
На скриншоте выше видно, что отработала только SPF запись.

Теперь посмотрим, как будет выглядеть скриншот после включения агента:

25

Получающий сервер, в данном случае gmail.com, определил, что почтовое сообщение было отправлено через действительный почтовый домен (SPF) и им же подписано (DKIM).

Посмотрим, как yandex.ru определяет, что сообщение имеет достоверную цифровую подпись:

33
Посмотрим на Email Headers на сервере получения gmail.com:

27

Посмотрим в логи агента на сервере Exchange:

28
Из представленных скриншотов выше можно сделать вывод, что мы удачно сконфигурировали агента и вся исходящая почта у нас имеет достоверную электронную цифровую подпись.

Кстати, более детальную информации по вашему почтовому домену и задействованных на нем технологиях можно получить отправив письмо на адрес mailtest@unlocktheinbox.com

 

Обновление агента Exchange DKIM Signer

Обновление реализуется очень легко. На скриншоте ниже видно, что я использую не последнюю версию агента. Чтобы это исправить, нужно просто нажать на кнопку Upgrade:

29

Обновление происходит быстро и не должно возникнуть проблем. Если у вас не получилось корректно обновиться, то всегда можно сохранить ключи и переустановить программу заново. Перезагрузка сервера не требуется.

Сколько я не тестировал обновление программы, оно завершалось удачей в 100% случаев:30

 

Удаление агента Exchange DKIM Signer

Удаление возможно через PowerShell скрипт .\Uninstall.ps1 который находится там же, где и .\Install.ps1, но в документации написано, что это нерекомендуемый способ удаления.

Простой и рекомендуемый способ удалить агента – это запустить Configuration.DkimSigner.exe из папки «C:\Program Files\Exchange DkimSigner», нажать на кнопку Configure, выбрать агента DkimExchange Signer и нажать кнопку Uninstall:

32
При успешном удалении вы увидите сообщение:

33

 

Итак, на практическом примере мы установили, сконфигурировали, проверили работу, обновили, удалили DKIM Signing Agent for Microsoft Exchange Server.

Отключение Daylight saving time. (Переход на летнее время)

Как вам известно в Азербайджане отменили переход на летнее время, Майкрософт еще не успел выпустить обновление.

Небольшое изменение в файле реестра позволит в 2 клика эту делему обойти, либо можете импортировать приложенный к данной статье файл реестра в GPO и пропушить на все доменные компьютеры/сервера

 

AZ-DST-Disable.rar

 

 

А также второй вариант:

Создаем BAT файл и копируем в него следующее:

 

@echo off

echo Setting time zone to AZST, DST off

echo ///////////////—————\\\\\\\\\\\\\\\\\

tzutil /S «Azerbaijan Standard Time»_dstoff

echo

Данный скрипт можно добавить в AD GPO StartUp script policy.

Уменьшение размера тонкого диска в ESXi

Когда я начал работать с ESXi, столкнулся с проблемой нехватки дискового пространства из-за сильно разросшихся тонких дисков. Вообще, лучше создавать диски меньшего размера, потому что увеличить диск в ESXi намного проще, чем уменьшить. Но что же делать, если все-таки возникла необходимость уменьшить диск? Причем, мое положение усугубляли LVM разделы на сервере, которые не распознавал Acronis, и, следовательно, не мог изменить размер раздела. Читать далее

Пересылка больших файлов. Автоматическое получение ссылки для скачивания на почту

Пользователям достаточно часто приходится заниматься пересылкой больших файлов как внутри локальной сети, так и за её пределы. К примеру, Пьеро нужно выслать Мальвине документацию объёмом 10 гигабайт. Тут на помощь не придет корпоративная почта, так как пользователи обычно не хотят заморачиваться с копированием ссылок и т.п. Если они в одной локальной сети, то поможет расшаренная папка, а если они на разных концах страны… Как правило, приходится пользоваться FTP-сервером, что зачастую не очень удобно, либо интернет-сервисами обмена большими файлами.

Так пришла идея создать удобный и контролируемый сервис для пересылки больших файлов в локальной сети.

Реализация на PowerShell, платформа Windows.

Требования:

  • Веб сервер опубликованный в интернет.
  • Расшаренная папка на компьютере под Windows (для определения владельца файла).
  • Настройка на сервере с шарой выполнения скрипта по расписанию, раз в минуту.

Как это работает:

  • Пользователь помещает ZIP архив в расшаренную папку на сервере.
  • Скрипт ищет ZIP-файлы в расшаренной папке и перемещает их в папку веб-сервера, затем отправляет письмо Владельцу файла.
  • Пользователю приходит письмо со ссылкой на скачивание файла через ваш веб-сервер.
  • Пользователь пересылает письмо со ссылкой на скачивание адресату.

Читать далее

Цифровые SSL сертификаты. Разновидности, как выбрать?

Существует достаточно много цифровых сертификатов, каждый из которых служит для своих целей. Самые распространенный тип сертификатов это естественно SSL сертификаты, которые также имеют несколько подвидов. Также существуют Code Signing сертификаты, Website Anti Malware Scanner сертификаты и Unified Communications сертификаты.

Поскольку мы занимаемся продажей всех видов сертификатов, то накопилось некоторое количество опыта по сертификатам и знаний как правильно подобрать нужный сертификат для конкретной ситуации. Постараюсь в нескольких постах поделиться этой информацией.

Так что если у вас стоит задача поднять защищенное https соединение для вашего сайта, то в этом посте я постараюсь раскрыть все тонкости и особенности SSL сертификатов, чтобы сделать правильный выбор было проще.

Начнем с самых распространенных SSL сертификатов.

Читать далее

S4B централизованное архивирование сообщений. Роль Archiving.

Skype-for-Business-HomeDesktop


Для того, чтобы централизовано хранить историю переписки в S4B существует роль архивирования (Archiving). Доступ к этим данным можно предоставить группе пользователей, например, сотрудникам службы безопасности.

В этой статье я хочу рассмотреть вариант хранения истории в отдельной базе на SQL сервере. В первую очередь необходимо обратить внимание на требования к SQL для этой роли. В данный момент подойдут версии SQL 2008 R2, 2012 и 2014 как сказано в технете, подойдет как Standard, так и Enterprise.

Что касается используемого пула Skype for Business, то:

  • В варианте S4B Standard Pool — используется SQL express 2012. Такая версия не подходит для роли Archiving. Потребуется отдельный (Standalone) SQL сервер с установленными компонентами Reporting Services.
  • В варианте S4B Enterprise Pool — уже используется Standalone SQL сервер подходящей версии. В этом варианте логично использовать его же. Если на это SQL не установлены компоненты SQL Reporting Services, то их необходимо будет что называется  «доустановить».

Читать далее

Уходим с SSL на TLS

Привет. Введение Протоколу SSL уже много времени, и ему пора на покой. Тем более – замена ему достаточно давно уже есть. Выглядит она как протокол TLS, который вырос, возмужал, и готов к работе. Я попробую чуть-чуть пробежаться по тому, что и как для этого надо сделать в Windows Server и основных серверных приложениях. У данной […]

Привет.

Введение

Протоколу SSL уже много времени, и ему пора на покой. Тем более – замена ему достаточно давно уже есть. Выглядит она как протокол TLS, который вырос, возмужал, и готов к работе. Я попробую чуть-чуть пробежаться по тому, что и как для этого надо сделать в Windows Server и основных серверных приложениях.

 

Оглавление

  • Краткая история вопроса – SSL
  • Версии и преимущества TLS
    • Про TLS 1.0
    • Про TLS 1.1
    • Про TLS 1.2
    • Про TLS 1.2 и Windows XP SP3
    • Про TLS 1.2 и Windows 2003 SP2
  • BEAST: как работает атака на SSL 2.0/3.0 и TLS 1.0
  • Включаем TLS на Windows-системе
  • Отключаем SSL на Windows-системе
  • Закручиваем гайки: Включаем безопасное пересогласование TLS на Windows-системе
  • Атака на SSL/TLS – THC-SSL-DOS
  • Закручиваем гайки: настройки криптоалгоритмов на хосте
  • Управляем настройками согласования SSL/TLS в браузерах
  • Проверяем работу TLS 1.1 и 1.2
  • Что делать, если у меня нет возможности включить TLS новых версий

Приступим.

Читать далее

Бронируем TLS в Windows Server 2012 R2

Новая статья по защите и настройке протоколов SSL/TLS в нашей базе полезной информации, Knowledge Base

Привет.

Защита TLS – штука крайне нужная. У неё много аспектов – как безопасность самой хостовой ОС, на которой развёрнут веб-сервер, так и безопасность работающих приложений, криптографические аспекты и многое другое. Я попробую написать про то, что с моей точки зрения, является важным и не сильно документированным / очевидным. На этом вода про то, что с TLS лучше, чем без TLS, а с настроенным TLS лучше, чем с не настроенным TLS, официально объявляется закончившейся.

Стартовые ограничения статьи – не будет рассматриваться тюнинг SSL, т.к. уже 13 лет как есть TLS, SSL мы будем выключать полностью. Не будет рассматриваться настройка систем младше NT 6.0, т.к. про это можно найти в предыдущей статье, да и те, кто думает о безопасности TLS, наружу Windows Server 2003й в 2014м году не выставляет.

Для большинства операций я буду использовать ATcmd – им проще делать тонкий тюнинг SSL/TLS. Если хотите – можете найти другие методы по выполнению аналогичных действий на своей ОС, это некритично – функционал называется стандартно, и ту же фрагментацию TLS можно настраивать чем удобно.

Бронируем TLS в Windows Server 2012 R2

  • Версия SSL/TLS на сервере
  • Отключаем неиспользуемые версии SSL/TLS и PCT/MPUH
  • Пересогласование TLS
  • Фиксируем только нужные cipher suites
  • Блокируем небезопасные криптоалгоритмы
  • Настраиваем фрагментацию TLS
  • SSL Close-Notify
  • Журналирование TLS
  • Отправка клиенту списка доверенных CA в CTL-формате
  • Логика проверки x.509-сертификата клиента
  • Проверка промежуточных сертификатов через Интернет
  • Механизм HSTS – HTTP Strict Transport Security
  • Кэшируем SSL/TLS-сессии – используя Session ID
  • Кэшируем SSL/TLS-сессии – используя Session Tickets

Поехали.

Читать далее

Защищаем и оптимизируем RDP

Тюнинг RDP может значительно расширить функционал работы и ускорить доступ к терминальным серверам. Разбираем, как именно.

 

Введение

Протокол RDP – удобное, эффективное и практичное средство для удалённого доступа как для целей администрирования, так и для повседневной работы.
Учитывая, что его реализации есть практически везде (различные платформы и ОС), и их много, нужно хорошо представлять его возможности.
По крайней мере, это будет нужно по ряду причин:

  • Зачастую вместо RDP используется другое решение (VNC, Citrix ICA) по простой причине – предполагается, что “встроенный RDP минимальный и ничего не умеет”.
  • Во многих решениях, связанных с модными сейчас облачными технологиями (перевод офисов на “тонкие клиенты”, да и просто организация терминальных серверов), бытует мнение что “RDP плохой потому что встроенный”.
  • Есть стандартный миф про то, что “RDP нельзя без VPN наружу выставлять, ломанут” (миф имеет под собой обоснование, но уже давно не актуален).
  • Ну, раз уж про мифы заговорили – бытует мнение, что “Перейдя с RDP на Citrix трафик в пару раз падает”. Ведь цитрикс – это дорого, следовательно как минимум на 157% круче.

Все эти мифы – ерунда и смесь устаревших “дельных советов”, актуальных во времена NT 4.0, а так же откровенных вымыслов, не имеющих никаких причин к существованию. Так как IT – это точная наука, надо разобраться. Хорошо настроеный протокол RDP новых версий, с учётом всех новых функциональных возможностей, является достаточно хорошим и надёжным инструментом для организации удалённого доступа.

Поэтому мы займёмся:

  • Кратким упоминанием про версии RDP
  • Настройкой режима защиты RDP-сессии
  • Настройкой шифрования для RDP
  • Привязкой к конкретному адаптеру и порту
    • Меняем стандартный порт на нужный
    • Делаем раздельные настройки RDP для нескольких сетевых адаптеров
  • Включением NLA
    • Как включается NLA со стороны RDP-сервера
    • NLA и Windows XP
    • Как включить CredSSP в XP
  • Выбором правильного сертификата для RDP
  • Блокированием подключений по RDP учётным записям с пустым паролем
  • Настройка ACL для подключения по RDP
  • Оптимизацией скорости RDP
    • Отключаем редирект неиспользуемых устройств
    • Настраиваем общую логику оптимизации визуальных данных RDP
  • Оптимизацией сжатия RDP
    • Настраиваем общее сжатие RDP
    • Настраиваем сжатие аудиопотока RDP
  • Оптимизацией соотношения потоков данных RDP
  • Включением Require secure RPC communication для RDP

Приступим.

Читать далее

Бронируем NTLM в домене Active Directory

Защищаем протоколы семейства LanManager — NTLMv1 / NTLMv2

 

Привет.

 

Протоколы семейства Lan Manager существуют очень давно – и, хотя, казалось бы, с появлением в Windows 2000 поддержки krbv5, должны были бы уходить на покой, остаются широко применяемыми. Причин этому несколько – во-первых последняя версия – NTLMv2 – широко распространена практически везде (выступая под ликом MS-CHAPv2 что в аутентификации для Wifi через EAP-MSCHAPv2, что для 802.1х, что внутри PEAP для различных применений, например VPN-подключений), во-вторых она является “подстраховкой” в случае не-срабатывания Kerberos в домене Active Directory, да и некоторые операции – например, работу с локальными учётными записями на доменных машинах – Kerberos обрабатывать не умеет, поэтому там всегда используется кто-то из LM.

 

Полностью искоренить Lan Manager внутри домена возможно, но для начала стОит навести порядок в использовании существующих диалектов Lan Manager. Важнее ведь не сделать в сети одиночные “островки безопасности”, а поднять нижнюю планку – чтобы небезопасные и откровенно устаревшие варианты LM не использовались, а используемый NTLMv2 был бы безопасен настолько, насколько возможно.

 

Давайте займёмся этим. Я предполагаю, что вы владеете материалом на уровне нашего бесплатного курсаMicrosoft 20410 – ну, а если нет, то самое время с ним познакомиться.

 

Безопасное использование протоколов семейства Lan Manager (NTLMv2 в частности)

  • Прощаемся с LM
  • Возможные побочные следствия отключения LM
  • Полное отключение LM
  • Выключаем хранение LM-хэшей
  • Удаление хранящихся LM-хэшей
  • Выключение отправки LM-запроса и LM-ответа по сети
  • Препятствование генерации LM-хэшей
  • Прощаемся с NTLMv1
  • То, что будет иметь потенциальные проблемы от отключения NTLMv1
  • PPP-соединения и NTLMv1
  • Защита RPC-запросов
  • Защита RDP Gateway от использования NTLMv1
  • Включаем Extended Protection for Authentication
  • Настраиваем NTLMv2

Читать далее

Exchange 2013 CU10

Только что вышли очередные обновления для Exchange Server.

Released: September 2015 Quarterly Exchange Updates

Exchange 2013 CU10: Ссылка для скачивания, Список исправлений

Exchange 2013 CU10 не содержит изменения в схему, но содержит некоторые изменения в RBAC. Поэтому перед установкой обязательно необходимо выполнить подготовку схемы. Если использовать GUI для установки обновления и учетная запись обладает необходимыми правами, то схема подготовится автоматически. Или же можно предварительно подготовить схему вручную командой setup.exe /PrepareAD

Встречаем Exchange 2016 RTM

Качать здесь: Microsoft Exchange Server 2016

Ссылка на официальный релиз: Exchange Server 2016: Forged in the cloud. Now available on-premises.

 

Уже много было всего написано про то, чем будет отличаться Exchange 2016 от своих предшественников. И сейчас я хотел бы лишь поделиться ссылками на наиболее интересные материалы. Я решил, что лучше потом более подробно расмотреть с технической стороны все значимые нововведения, чем сейчас пытаться перечислить все новое.

 

FSMO Roles, или хозяева операций

Введение

В жизни каждого системного администратора наступает момент, когда ему приходится лихорадочно вспоминать, какая роль на каком контроллере домена развернута, а главное, какая за что отвечает. Как правило, это сценарии обновления, миграции или аварийного восстановления.

По долгу службы регулярно приходится сталкиваться с большим разнообразием фантазий и суеверий на тему равноправности контроллеров домена (“начиная с Windows 2000”), интересных предположений о работе, например, роли Infrastructure Master, поэтому прояснить ситуацию раз и навсегда крайне желательно.

Итак. Все мы знаем, что ролей FSMO (Flexible Single Master Operation) в Active Directory встречается аж пять штук. Это:

  • Schema Master
  • Domain Naming Master
  • Infrastructure Master
  • RID Master
  • PDC Emulator

Каждая из них сейчас будет рассмотрена подробнее. Читать далее

Ищем, кто отправил письмо с общего почтового ящика. Используем журнал событий Microsoft Exchange

Автор статьи — Paul Cunningham, обладатель статуса Microsoft MVP и нескольких сертификатов по Exchange Server 2007, 2010 and 2013. Paul также является издателем ресурса Exchange Server Pro.

Оригинальный материал на английском языке.

В годы моей работы администратором Exchаnge самым частым заданием из разряда «ктоэтосделал?!» было найти отправителя конкретного письма с общего почтового ящика.
Представьте себе, что общий почтовый ящик «HelpDesk» используется большой командой ИТ-персонала и все эти сотрудники имеют разрешения на отправку писем от имени общей учетной записи (например, для того, чтобы отправлять оповещения об отключении или техническом обслуживании систем).
В один из дней сотрудник службы поддержки, устав от рутинных операций, отправляет «гениальное» письмо в рассылку по всей компании, письмо получает негативный отклик.

Задача в том, чтобы найти – кто именно отправил такой «подарок», решение можно найти разными способами: например, можно отследить ip-адрес, с которого было отправлено сообщение, затем сопоставить адрес с компьютером и найти пользователя. Можно также потратить время, проверяя вручную папки «Отправленные» у всех подозреваемых. Также неплохим вариантом остаётся задать вопрос, кто это сделал – иногда можно надеяться на честный ответ.

В любом случае возможность определить отправителя по журналам событий Exchange не помешает, и хорошая новость заключается в том, что такая возможность есть! (в случае если у вас используется Microsoft Exchange 2010 SP1 или более поздняя версия, включая Exchange 2013). Нужная функция называется «mailbox audit logging», и плохая новость состоит в том, что она по умолчанию выключена. Как вы понимаете, функцию надо было включить до инцидента с письмом, в противном случае событие отправки не попадёт в журнал Exchange.

Читать далее

WPAD и PAC файл

Обобщение и перевод официальной информации на тему получения автоматического определения настроек прокси.

WPAD
Web Proxy Auto-Discovery Protocol (протокол автоматической настройки прокси) — метод, используемый клиентами для определения места (URL) расположения конфигурационного файла с использованием технологий DHCP и/или DNS. wiki
 
PAC-файл — Proxy Auto Configuration файл настроек прокси для браузера на javascript (wpad.dat, proxy.pac).
 

По умолчанию браузер ищет файл настроек wpad.dat на wpad.domain.loc (если машина в домене domain.loc) по web.

НАСТРОЙКА WPAD 

Порядок поиска файла настроек proxy:

  1. DHCP
  2. SLP
  3. DNS A / CNAME
  4. DNS SRV
  5. DNS TXT

Читать далее

Создание и настройка DAG в Exchange 2013

DAG (Database Availability Group) – позволяет обеспечить отказоустойчивость Баз Данных почтовых ящиков. Суть его работы заключается в том, что создаются копии базы и при выходе из строя одного сервера база автоматически активируется на другом.

Впервые DAG появился в Exchange 2010, а в Exchange 2013 он получил некоторые улучшения.

Итак, рассмотрим схему нашей инфраструктуры. Она очень простая.

01

У нас есть Контроллер Домена (без него никуда) и два сервера Exchange 2013, на которых установлены обе роли Exchange – Mailbox и Client Access.

ovo-02

 

Также хочу обратить внимание, что у нас есть отдельная сеть для репликации – 172.16.0.0/24.

Читать далее

Exchange 2013 Включение антиспам


[PS] C:\ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1
[PS] C:\Windows\system32> Restart-Service MSExchangeTransport
[PS] C:\Windows\system32> set-TransportConfig -InternalSMTPServers @{Add="192.168.1.1"}
[PS] C:\Windows\system32> Set-ContentFilterConfig -QuarantineMailbox postmaster@xxxx.az
[PS] C:\Windows\system32>Add-IPBlockListProvider -name bl.spamcop.net -lookupdomain bl.spamcop.net

Name LookupDomain Priority
—- ———— ———
bl.spamcop.net bl.spamcop.net 1

[PS] C:\Windows\system32>Add-IPBlockListProvider -name zen.spamhaus.org -lookupdomain zen.spamhaus.org

Name LookupDomain Priority
—- ———— ———
zen.spamhaus.org zen.spamhaus.org 2

[PS] C:\Windows\system32>Set-SenderIDConfig -SpoofedDomainAction Delete
[PS] C:\Windows\system32>Set-SenderReputationConfig -SenderBlockingEnabled $true -SrlBlockThreshold 6 -SenderBlockingPeriod 36
[PS] C:\Windows\system32>Set-SenderFilterConfig -BlankSenderBlockingEnabled $true
[PS] C:\Windows\system32>Set-ContentFilterConfig -SCLQuarantineThreshold 6
[PS] C:\Windows\system32>Set-ContentFilterConfig -SCLDeleteEnabled $true
[PS] C:\Windows\system32>Set-ContentFilterConfig -SCLQuarantineEnabled $true -QuarantineMailbox postmaster@xxxx.az
[PS] C:\Windows\system32>Set-ContentFilterConfig -SCLRejectEnabled $false
[PS] C:\Windows\system32>Set-ContentFilterConfig -QuarantineMailbox postmaster@xxx.az
[PS] C:\Windows\system32> Restart-Service MSExchangeTransport

Высокая доступность Exchange Server 2013 и Lync Server 2013

Высокая доступность Exchange server 2013 и Lync server 2013 (Часть 1)

Высокая доступность Exchange server 2013 и Lync server 2013 (Часть 2)

Высокая доступность Exchange server 2013 и Lync server 2013 (Часть 3)

Установка Lync Server 2013 Standard: Быстрый старт

Lync Server 2013 Видео обзор

Lync Server 2013: Коротко о главном

Возможности Lync Server 2013 (функционал)