Vi fortsetter nå til neste del av CEICW - Internett E-mail
Jeg forutsetter at Exchange Server er installert og vi går nå over til å se på hvordan CEICW konfigurerer Exchange Server. Som vi forstår, vil CEICW konfigurere Exchange for å sende og motta internett SMTP basert e-post via en SMTP connector. Hvis installert, vil også CEICW konfigurere MS konnektor for POP3 e-postkasser.
Figur 28 – CEICW – Internet E-mail skjermbildet for konfigurasjon av internett e-post. Jeg ønsker å motta e-post fra internett og velger derfor Enable Internet e-mail og klikker Next.
På nytt står vi ovenfor tre valg vi får kort ta en titt på disse.
Enable Internet e-mail
Det er dette menypunktet du skal velge dersom du ønsker og sende / motta e-post fra internett. CEICW lage en SMTP connector. Dette er egentlig ikke nødvendig for å sende e-post med Exchange Server, men det er nødvendig dersom ETRN/TURN skal benyttes. CEICW vil derfor alltid lage en SMTP connector.
Disable Internet E-mail
Hvis du velger dette alternativet vil du ikke være i stand til å sende eller motta e-post til og fra internett. Du vil heller ikke kunne sende eller motta POP3 e-post. Exchange server vil kun være tilgjengelig internt dvs. mellom klienter av SBS Serveren.
Do not change Internet e-mail configuration
Dersom du har kjørt CEICW vil dette valget være tilgjengelig. Dette er korrekt valg dersom du ikke ønsker å forandre Exchange Server innstillinger eller har utført tilpassninger. CEICW vil ikke overskrive en eksisterende SMTP connector dersom CEICW har hvert kjørt før. På denne måten vil ikke brukerdefinerte innstillinger gå tapt.
Tips:
Uansett hva bruker har konfigurert vil følgende verdier konfigureres:
- Navnet på SMTP connector vil bli satt til SmallBusiness SMTP Connector.
- Bridgehead vil få det samme navnet som SBS Serveren.
- Address space vil bli satt til type SMTP, and address of * , and cost of one.
- Egenskapen “allow relay to these domains” i address space vil bli disabled, dette er en antispam konfigurasjon.
Figur 29 – CEICW – E-mail Delivery Method skjermbilde. Jeg vil sende post direkte til mottagere over Internett. For å få navneoppløsning til dette velger jeg Use DNS to route e-mail, og klikker Next.
Vi har to valgmuligheter og får ta en titt på disse.
Use DNS to route e-mail
Det er to valg for forsendelse av e-post. Det første valget Use DNS to route e-mail vil bruke internetts DNS servere for å finne frem til mottagere av e-post. Det gjelder selvfølgelig ikke intern e-post. Den vil bruke DNS serveren på SBS Serveren.
Forward all e-mail to e-mail server at you ISP
Alternativet er å sende all e-post til en annen SMTP server. Dette kan være en relevant problemstilling dersom man har vagt SBS Server på et avdelingskontor i et større selskap. I så fall må det opplyses om e-post serverens navn. Alternativt kan e-post oversendes til ISP e-post server. Dette er ikke en løsning jeg anbefaler fordi det vil fremgå av e-postet at denne har hvert videresend. Det er bla denne teknikken spammere benytter og man løper den risiko at posten ikke kommer frem i denne klassifiseres som spam.
Figur 30 – CEICW – E-mail Retrieval Method skjermbilde. Jeg ønsker å benytte POP3 (som jeg sørget for å installere) og motta e-post direkte til Exchange Server. Derfor velger jeg Use the Microsoft Connector for POP3 Mailboxes, Use Exchange og E-mail is delivered directly to my server, og klikker Next.
I denne delen av wizarden skal vi bestemme oss for E-mail Retrieval Method. Vi får også her ta en titt på valgmulighetene.
Use the Microsoft Connector for POP3 Mailboxes
Dersom POP3 ble installert under SBS Server Integrated Setup vil vi få valgmuligheten for å konfigurere POP3 Mailboxes. Dersom du har kjør CEICW tidligere og ikke konfigurert POP3 e-post kasser vil ikke dette menyvalget komme opp. POP3 tillater oss å hente e-post fra allerede eksisterende e-post postkasser, og denne tjenesten kan kjøres parallelt med Exchange Serveren øvrige tjenester. I utgangspunktet er det ment som en overgangsordning for en mer permanent løsning. Vi skal se nærmere på denne senere i artikkelen.
Tips
For å få frem dette menyvalget må du starte Microsoft Exchange POP3 servicen i service panelet, hvis den er installert og ikke kommer frem.
Disable - Use Exchange
Bare for å ha nevnt dette. Vi kan konfigurere Exchange Server til kun å mottatt e-post fra POP3 kontoer, eller kun ved bruk av SMTP i Exchange Server eller begge deler. Dersom vi disabler Use Exchange server vil vi ikke kunne motta e-post via SMTP over internett direkte eller ved nedlastning fra ISP. I et slikt tilfelle kan vi benytte POP3 for å motta e-post.
Enable – Use Exchange
Når vi enabler Use Exchange blir vi stilt ovenfor to valg. Vi kan motta e-posten direkte eller all e-post fra internett kan oppbevares hos ISP inntil denne blir hentet av Exchange Server. Det sistnevnte kan være en fordel dersom man ikke ønsker å miste e-post dersom SBS Serveren skulle være nede.
E-mail is delivered directly to my server
I dette tilfellet må vi ha en MX record knyttet til domenenavnet på en ekstern DNS server og MX rekorden må peke til SBS Serveren eksterne IP adresse. Dette er før øvrig beskrevet i Tabell 2 og en egen artikkel på smallbizserver.no ”En plan for ekstern DNS server”. Det kan være på sin plass å nevne at et domene kan ha flere MX rekorden, og at dersom SBS Server mot formodning skulle være nede så vil e-post kunne videresendes til en annen e-post server. Denne typen av tjenester kan man få fra ISP. Men det finnes også andre leverandører av slike tjenester. Når så SBS Serveren er opp kan man hente den e-posten som eventuelt har kommet.
Figur 31 - CEICW – TURN Authentication Information skjermbilde. Tar med dette skjermbilde for helhetens skyld. Det er imidlertid ikke en del av de valgene jeg har gjort.
E-mail is held by May ISP until my server sends a signal
Ved dette valget vil ISP eller en annen e-post server motta e-posten og holde den til det tidspunkt hvor Exchange Server laster denne ned. Vi må da supplere navnet på e-postserveren og vi må velge signalform for nedlastning fra den andre e-post serveren. I så måte blir vi presentert to valg; ETRN og TURN after authentication. Hvis du velger TURN må vil også levere authentication informasjon som vist i skjermbildet under.
Tips
Dersom du har konfigurert Exchange til å bruke Turn signal for å hente e-post og har spesifisert en smarthost for å sende e-post, og smarthosten spesifisert for å bruke TURN er en annen en den som sender e-post så er det nødvendig å benytte en egen SMTP connector for TURN autentifisering. I motsatt fall vil SMTP connector forsøke å benytte TURN for å sende e-post. Av den grunn vil CEICW opprette en ny SMTP connector for TURN. Exchange Server vil således bli konfigurert med to SMTP connector. Dersom det på et senere tidspunkt gjøres endringer og SMTP connector nr 2 ikke lenger trengs så vil denne slettes av CEICW.
Figur 32 – Her skal vi skrive inn vårt e-post domenenavn: snuff.com. Klikker Next.
E-mail Domain Name
Figur 33 – Vi står her i Exchange System Manager og ser på egenskapene til Resipient Policies.
Dette er skjermbilde for spesifikasjon av domene navn dvs e-post domenenavn bare for å være presis. For eksempel hvis du skal mota e-post som følger <mitt navn>@<mitt domene>.no så vil her domene navne du skal benytte være @<mitt domene>.no
Resipient Policies
Domenenavnet som spesifiseres vil bli konfigurert som ”default resipient policy” for Exchange Server. Hvis domene navnet ikke eksisterer fra før i SBS Server, vil det bli lagt til og konfigurert som default. Hvis domenenavnet finnes fra før men det er ikke oppført som default, vi de bli konfigurert som default policy. Det innebærer at alle brukere vil bli konfigurert med dette domene som avsender adresse.
Tips
Hvis du har kjørt CEICW flere ganger og spesifisert ulike domene navn kan du ha en rekke med domene navn for mottak av e-post i Resipient Policies. Dette er vist i skjermbildet under.
I Figur 33 ser vi et skjermbilde fra Exchange System Manager til venstre og jeg har klikket på Default Policy og valgt egenskaper. Informasjonen under fanen E-mail Address (Policy) fermkommer. I dette tilfellet har jeg kjørt CEICW to ganger. Den første gangen spesifiserte jeg snuff.com. Den andre gangen spesifiserte jeg knutt.com. Vi ser av skjermbildet at begge domenenavn er registrert. Det var nå sletts ikke dette som var meningen? Det kan være på sin plass med litt opprydding her.
Figur 34 - I dette skjermbildet ser vi at CEICW har lagt to postmaster alias kontoer på administrator. Det kan være enkelte som har litt å rydde opp her, eller hva tror du?
Når CEICW konfigurer recipient policy er det også nødvendig å konfigurere postmaster alias på Exchange Serveren. Et postmaster alias er påkrev av Request for Comments (RFC) for å tillate eksterne e-post brukere muligheten for å kunne rapportere problemer til en på forhånd kjent adresse (postmaster@domainname.com). Fordi domenenavnet er kjent når CEICW utfører konfigurasjonen vil den alltid legge til denne postadressen. Den blir knyttet til en bestemt bruker. Logikken vil her være som følger, CEICW sjekker først om det finnes en bruker med en eksisterende postmaster alias. Hvis den finner en slik bruker vil CEICW legge inn den neste postmaser alias der. Hvis det ikke finnes noen bruker med et postmaster alias, vil CEICW legge den på Administrator.
I denne sammenhengen er det hvert å merke seg at når CEICW er ferdig vil den starte Resipient Update Service (RUS) for å propagandere endringer til alle brukere på serveren. Dersom den Resipient Policy er forskjellig fra hva den var tidligere, vil Exchange Information Store service restartes. Alternativ vil ikke OWA fungere.
Figur 35 – CEICW – POP3 Mailbox Account kommer opp fordi jeg i Figur 30 huket av for Use the Microsoft Connector for POP3 Mailboxes. Hvis du ikke har gjort dette vil du heller ikke se dette skjermbildet. I mitt tilfelle har jeg en POP3 konto som jeg ønsker å laste ned til min Exchange server e-post konto. Jeg klikker derfor Add.
Figur 36 – CEICW – POP3 Mailbox vinduet kommer opp og jeg fyller ut verdiene, og klikker OK når jeg er ferdig.
Figur 37 – Vi ser her et skjermbilde for konfigurasjon av Global Mailbox. Dette er medtatt for helhetens skyld.
Litt om valgene i POP Mailbox vinduet
Av figuren E-mail server, Port, User name og Password er forhold vi kjenner fra før. Men når det gjelder Mailbox Information så kommer det opp noen nye valgmuligheter som vi får ta en titt på. I felte Mailbox type har vi to valg; User Mailbox eller Global Mailbox.
User Mailbox
Dette valget er korrekt dersom det dreier seg om en individuell e-post kasse. For eks ola@online.no. Når vi velger User Mailbox vil vi på understående valg Exchange User kunne velge hvilken bruker på SBS Serveren som skal motta e-posten. På den måten kan vi styre e-post for en bestemt konto til en bestemt bruker. Det er en hensiktsmessig løsning når brukere har hatt separate POP3 e-post kontoer. Vi kan registrere alle brukere og deres individuelle verdier. SBS Server POP3 connector vil da hente ned denne posten og fordele denne til de enkelte mottagere.
Global Mailbox
I dette tilfelle dreier det seg om en samlekonto for et helt domene. Det betyr at ISP samler alle e-post som kommer domene på en og samme konto, selv om det er adressert til forskjellige mottagere. Når vi laster ned e-post fra en slik konto får vi både e-posten ra Ola, Per og Pål i samme slengen. Det de har felles er domene @mittdomene.no. SBS Server POP3 connector må derfor prosessere denne e-posten for å kunne fordele den til individuelle e-post adresser på Exchange serveren. Den må undersøke hver e-post og fordeler denne til den brukeren som har denne e-post adressen. Legg merke til at vi ikke får spørsmål om ruting av e-post i CEICW!
Figur 38 – Vi ser her et skjermbilde fra POP3 Connector konfigurasjon hvor vi kan registers mottagere for å få ruting på Global Mailbox. Det er medtatt for helhetens skyld.
TIPS
Når du er ferdig med å kjøre CEICW kan du starte Server Management ekspandere Advanced Management og høyreklikke på POP3 Connector Manager. Velg properties og deretter Global Mailbox. Du vil da oppdage at du kan registrere ruting ved å registrere en eller flere mottageres e-post adresse og hvilken Exchange Server e-post konto dette skal styres til. På denne måten kan vi få ruting. For den skarpøyde som legger vi merke til at det ikke finnes felt for BCC, kan det forklares at e-post hentet med BCC felt vil gå tapt.
Dette er en artikkel om CEICW. Av den grunn blir ikke POP3 behandlet i sin fulle bredde. Det få ligge til en annen artikkel i fremtiden. Jeg tror imidlertid at jeg har dette vesentlige konfigurasjonsforhold så langt.
Figur 39 – Jeg har nå registrert min POP3 konto. Hvis jeg hadde hatt flere så hadde jeg på nytt klikket Add. Det har jeg ikke så jeg klikker Next for å fortsette Wizarden.
Figur 40 – I Mail Schedule kan vi konfigurere det tidsintervallet som skal benyttes mellom hver nedlastning av e-post på POP3 kontoer. Det kan være mye e-post, og det finnes derfor ikke et lavere intervall en 15 minutter. Jeg velger dette og klikker Next.
Figur 41 – Vi har nå kommet frem til Remove E-mail Attachments. Her aksepterer jeg default verdier for vedlegg som ikke aksepteres og konfigurere deretter Exchange server til å lagre vedlegg i en egen mappe slik at eventuelle brukere som får fjernet sine vedlegg kan få dette tilbake. Etter dette klikker jeg Next.
Remove E-mail Attachments
Her kan man konfigurere Exchange Server til å fjerne uønskede vedlegg. Dersom man ønsker å ta vare på fjernede vedlegg kan en katalog oppgis for dette formålet. Listen over uaksepterte fil extensions ligger i en XML fil ved navn SecAttsConfig.xml og oppbevares i SBS network directory. Exchange Server vil sammenligne vedlegg mot listen og blokkere de som har en uønsket extension. En videre vil Exchange legge inn en melding til brukeren som har fått filen fjernet. Denne meldingen lyder som følger:
Small Business Server has removed potentially unsafe e-mail attachment(s) from this message:
<list of attachments>
Because computer viruses are commonly spread through files attached to e-mail messages, certain types of files will not be delivered to your mailbox. For more information, contact the person responsible for your network.
Tips
Denne modulen stripper all e-post mottatt med SMTP. Det vil også gjelde POP3. Det kan samle seg mange vedlegg i denne katalogen etter hvert. Det er derfor beste praksis å implementere en rutine hvorved vedlegg slettes.
Figur 42 – Vi har nå kommet til veis ende. Legg merke til at vi får en oversikt over våre konfigurasjoner. Ved å klikke på here åpnes IE og vi kan lagre innholdet til en fil. Jeg har gjort dette og klikker Finish.
Figur 43 – CEICW – starter nå konfigurasjonen av SBS Server.
Figur 44 – CEICW er ferdig.
CEICWs - Øvrige konfigurasjoner som utføres i forbindelse med Exchange
Før vi gir oss får vi også ta en titt på de øvrige konfigurasjoner som CEICW utfører. Særlig interessant kan dette være for enkelte som ønsker å sjekke om server er på open relay. Tar derfor kort noen ord med om dette.
Figur 45 - Vi befinner oss i Exchange System Manager, har høyreklikket Default SMTP, valgt fanen Access og klikket på Relay. Av overstående kan vi slutte følgende. Serveren har et nettverskort, det interne nettverskortet har IP adressen 192.168.16.2, til slutt ser vi looopback med 127.0.0.1.
Andre konfigurasjoner på SMTP Service
CEICW vil konfigurere SMTP service med maksimum 500 innkommende forbindelser (connections). Dette for avverge eventuelle Denial of Service (DoS) angrep. CEICW vil videre konfigurere et maksimum på 10 utgående forbindelser (connections). Dette vil bidra til å spare båndbredde ved forsendelse av e-post slik at internett linjen også kan benyttes til andre ting. Dette gjøres ved at CEICW konfigurerer MaxConnectonsPerDomain. For å tillate reverse look-ups vil CEICW konfigurere det oppgitte domene navn for e-post som FQDN på SMTP connector.
Relay Rights
Hvis man har valgt å slå på Exchange Server, vil CEICW konfigurere Exchange Server slik at den tillater Relay av e-post fra alle SBS Serverens klienter. Måten CEICW gjør dette på er at konfigurerer Exchange til å tillate Relay fra IP Adressen til det interne nettverskortet. For å inkludere klientene, legger den til nettversmasken til denne IP Adressen. I tillegg vil CEICW inkludere IP adressen til det eksterne nettverskortet dersom SBS Serveren har to nettverskort.
Innstilling av ruter/brannmur
I denne delen av artikkelen skal vi ta en titt på ruteren/brannmuren og se på hva som må gjøres med denne. Vi vil først se på saken generelt og deretter spesifikt i forhold til en Zywall 5 som skal konfigureres ferdig for SBS Server. Som vi husker fra artikkelens utgangspunkt så har vi et nettverskort i SBS Serveren som er koblet i en ruter/brannmur. Ruteren/brannmuren kobler oss videre til internett, og besørger pålogging hos internettleverandøren.
La oss først oppsummere hva som må gjøres i ruteren/brannmuren:
- Ruteren/brannmuren må kobles til internett og den må stilles inn for å få kontakt med ISP. Disse innstillinger vil variere med de ulike leverandører. I denne artikkelen skal vi stille inn ruteren/brannmuren til å benytte Telenor med PPPoE. I ditt tilfelle må du følge veiledningen fra leverandøren.
- De fleste rutere leveres i dag med en aktiv DHCP server ferdig konfigurert. Denne DHCP serveren må vi slå av i mitt tilfelle. Deretter må ruteren gis en fast IP adresse i samme scope som SBS Serveren, men utenfor DHCP server intervallet til denne. Dette slik at ruterens Lan adresse er ekskludert fra distribusjon i SBS Serverens DHCP server.
- Vi har publisert tjenester som skal være tilgjengelig på internett. Vi må derfor konfigurere kommunikasjon gjennom ruteren/brannmuren fra internett til SBS Serveren. Med andre or må vi overføre kommunikasjon fra internett gjennom NAT og brannmuren på ruteren til nettverskortet på SBS Serveren (forwarding). I denne forbindelse må vi ha en god oversikt over porter som benyttes av de komponentene som vi har publisert med CEICW, og ikke minst må vi konfigurere ruteren.
- Til slutt må vi stille in ruteren for øvrig. Dette slik at den virker som vi ønsker.
De fleste punktene her vil være relativt greie. Det vil selvfølgelig variere med hvilken ruter/brannmur som står mot internett, og det kan tidvis være noe herk å stille inn disse i den grad man ikke kjenner ruteren på forhånd. Mitt utgangspunkt er alt all trafikk gjennom ruteren blokkeres begge veier! Deretter åpner vi for de portene som faktisk er nødvendig. Vi trenger derfor to aktuelle oversikter som på en klar og entydig måte viser hvilke porter vi må åpne.
|
PORTER SOM KAN FORWARDERS FRA RUTER TIL SBS SERVER (WAN TIL LAN) |
|
Tjeneste |
Protokoll |
Port |
Retning |
|
Outlook Web Access |
TCP |
443 |
Fra internett (Wan) til SBS Server (Lan) |
|
Outlook via the Internet (RPC over http) |
TCP |
443 |
Fra internett (Wan) til SBS Server (Lan) |
|
Remote Web Workplace |
TCP |
443
4125 |
Fra internett (Wan) til SBS Server (Lan) |
|
Performance and Usage Reports |
TCP |
443 |
Fra internett (Wan) til SBS Server (Lan) |
|
Outlook Mobile Access |
TCP |
443 |
Fra internett (Wan) til SBS Server (Lan) |
|
Remote Desktop Web Connection |
TCP |
443 |
Fra internett (Wan) til SBS Server (Lan) |
|
Windows CompanyWeb (SharePoint Services intranet site) |
TCP |
443 |
Fra internett (Wan) til SBS Server (Lan) |
|
Backup rapport (hvis NTBackup brukes) |
TCP |
443 |
Fra internett (Wan) til SBS Server (Lan) |
|
Hjelpesider for sluttbruker |
TCP |
443 |
Fra internett (Wan) til SBS Server (Lan) |
|
SBS Server Connect Computer Wizard |
TCP |
443 |
Fra internett (Wan) til SBS Server (Lan) |
|
CompanyWeb (SharePoint) |
TCP |
444 |
Fra internett (Wan) til SBS Server (Lan) |
|
Exchange Server |
TCP |
25 |
Fra internett (Wan) til SBS Server (Lan) |
|
SBS Server VPN (PPTP) |
TCP
GRE |
1723
00 |
Fra internett (Wan) til SBS Server (Lan) |
|
Terminal Services RDP til SBS Server |
TCP |
3389 |
Fra internett (Wan) til SBS Server (Lan) |
|
FTP server |
TCP |
21 |
Fra internett (Wan) til SBS Server (Lan) |
Tabell 7 – Denne viser alle aktuelle porter som kan forwarders fra ruter til SBS Server etter behov og publiseringer i CEICW. Det er også tatt med noen andre porter for helhetens skyld.
Tips
Hvis det ikke virker når du er ferdig med konfigurasjonen, gå da ikke hen å forward port 80 til SBS Serveren i den tro at det er den som mangler! Du tar feil. Ingen websteder på SBS Serveren trenger port 80 forwardet til SBS Server for å få webstedene til å virke. Alle websteder kan nås krypter med SSL over port 443 eller 444 så lenge disse er korrekt forwardet fra ruteren til SBS Serveren. Husk at du må bruke HTTPS.
NØDVENDIGE PORTER SOM MÅ ÅPNES TIL INTERNETT (LAN TIL WAN) |
|
Tjeneste |
Protokoll |
Port |
Retning |
|
DNS oppslag |
TCP |
53 |
Fra LAN til WAN |
|
NTP for timeserver |
TCP |
123 |
Fra LAN til WAN |
|
Internet Explorer http |
TCP |
80 |
Fra LAN til WAN |
|
Internet Explorer https |
TCP |
443 |
Fra LAN til WAN |
|
VPN PPTP |
TCP
GRE |
1723
00 |
Fra LAN til WAN |
|
Post Office Protocol POP3 |
TCP |
110 |
Fra LAN til WAN |
|
Exchange Server |
TCP |
25 |
Fra LAN til WAN |
|
Terminal Services |
TCP |
3389 |
Fra LAN til WAN |
|
FTP server |
TCP |
21 |
Fra LAN til WAN |
Tabell 8 – Dette er en liste over de mest aktuelle porter å åpne innefra og ut.
Tips
Ikke så rent sjelden ser vi at alle porter er åpne innenifra og ut. Det er ikke beste praksis. Beste praksis er å stenge alt, for så å åpne de portene som er nødvendig.
Noen går for langt. Noe for kort. Håper jeg har dekket de fleste rellevante forhold.
Lykke til!
Dag Staale Jenssen
27.01.2007
Korrigert for feil 17.03.2007