Управление коннекторами получения

В предыдущей части мы создали коннектор получения для получения почты, входящей из интернета, и мы также протестировали его, используя утилиту telnet.

Чтобы протестировать коннектор получения, мы должны знать о базовых SMTP командах, чтобы отправлять сообщения с помощью сеанса telnet. Следующие команды позволят вам отправлять пробное сообщение с помощью утилиты telnet. Все базовые SMTP команды, необходимые для отправки сообщения, приведены ниже:

1. Коннекторы получения, которые мы создали, прослушивают порт 25 и определенный IP адрес. Давайте воспользуемся утилитой telnet для подключения к нашему серверу: telnet <IP> 25Expected result: 220 <FQDN name> Banner information
2. Запуск SMTP сеанса. EHLO example.org Ожидаемый результат: список всех SMTP команд, которые принимаются коннектором получения. Ответ приветствия (hello answer) с IP адресом, используемым отправителем, будет отображен в первой строке.

3. Определение отправителя тестового сообщения.

   Сообщение от (Mail from):user@example.org

   Ожидаемый результат (Expected result): 250 2.1.0 Sender OK

4. Определение получателя тестового сообщения. SMTP домен, используемый получателем должен существовать в текущей организации.

   Сообщение кому (Rcpt to):user@<your-domain>

   Ожидаемый результат (Expected result): 250 2.1.5 Recipient OK

5. Запуск тестового сообщения.

   Data <enter>

   Ожидаемый результат (Expected result): 354 Start mail input; end with <CRLF>.<CRLF>

6. Нажмите клавишу <enter> дважды и впишите содержимое, которое будет отображено в теле сообщения. Для завершения введите точку ‘.’ в пустой строке и нажмите клавишу <Enter>.

   Это тестовое сообщение. <enter>

   . <enter>

   Ожидаемый результат: 250 2.6.0 <Message ID@ServerName.fqdn> Queued mail for delivery

7. Завершение сеанса.

   Завершить

   Ожидаемый результат: 221 2.0.0 Service closing transmission channel

Мы можем зайти на OWA, чтобы проверить, было ли сообщение получено. Весь процесс показан на рисунке 01.

Рисунок 01

Этот процесс важен для диагностирования почтового потока, равно как и для проверки коннектора получения.

Работа с функциями безопасности коннектора получения.

Итак, мы только что настроили коннектор получения, используя консоль и оболочку Exchange Management Console и Exchange Management Shell, теперь мы можем начать работу с некоторыми настройками безопасности нашего коннектора получения. Вся безопасность, которую мы увидим здесь, модифицируется коннекторами получения и настраивается с помощью оболочки управления Exchange Management Shell. Давайте настроим некоторые функции безопасности в нашем новом интернет коннекторе получения следующим образом:

Изменение информации баннера’

Некоторые компании не желают отображать имя сервера в SMTP подключениях. Мы можем изменить информацию баннера, используемую коннектором получения, с помощью нижеприведенной команды, результаты использования которой показаны на рисунке 02.

Set-ReceiveConnector <connector-name> -Banner ‘220 Mail Server’

Увеличить

Рисунок 02

Если вы все еще пользуетесь Exchange Server 2003/2000 и хотите изменить это поведение, вы можете воспользоваться следующей статьей из базы знаний Microsoft KB Article: How to change the default connection response that you receive after you connect to the SMTP port in Exchange 2003.

Указание количества ошибок во время сеанса’

Мы можем контролировать количество протокола ошибок в одном сеансе. Значение по умолчанию составляет 5, чтобы задать значение 2, мы можем использовать следующую команду:

Set-ReceiveConnector <Connector Name> -MaxProtocolErrors 2

Теперь, если SMTP Server/пользователь подключается и достигает максимального количества ошибок, определенных для коннектора получения, будет отображаться следующее сообщение (рисунок 03):

Увеличить

Рисунок 03

Дросселирование коннектора получения’

Коннекторы получения позволяют нам ограничивать входящий трафик для предотвращения чрезмерного использования с определенного источника, защищая систему от ненужных перегрузок. Вот три опции, которые здесь есть:

• MaxInboundConnectionsperSource: Определяет максимальное количество подключений, созданных на одном коннекторе одним источником. Стандартное значение этого параметра составляет 100.
• MaxInboundConnection: Определяет, сколько подключений коннектор получения будет принимать одновременно. Стандартное значение этого параметра составляет 5000.
• MaxInboundConnectionPercentagePersource: Основываясь на значении MaxInboundConnection, этот параметр указывает, сколько подключений один источник может создавать на коннекторе получения. Умолчание составляет 2%.

Чтобы настроить коннектор получения с помощью параметров, которые мы только что рассмотрели, мы можем запустить следующую команду:

Set-ReceiveConnector <Connector-Name> -MaxInboundConnection <Number> -MaxInboundConnectionsperSource <Number> -MaxInboundConnectionPercentagePerSource <Number>

Мы также можем настроить таймаут для определенных аспектов коннектора получения, таких как: во время SMTP соединения, а также во время неактивного соединения. Чтобы настроить ConnectionTimeout, мы можем запустить следующую команду:

Set-ReceiveConnector <Connector-Name> -ConnectionTimeout <days.hours:minutes:seconds>

Чтобы отключиться во время простоя, мы используем следующую команду:

Set-ReceiveConnector <Connector-Name> -ConnectionInactiveTimeout <days.hours:minutes:seconds>

Мы также можем ограничить количество получателей, лимит скорости и максимальный размер сообщения на уровне коннектора. Чтобы произвести эти настройки, мы можем использовать следующие параметры в команде:

• MaxRecipientsPerMessage: Максимальное количество получателей на одно сообщение, умолчание составляет 200.
• MaxMessageSize: Максимальный размер сообщения, по умолчанию значение задано в 10MB.
• MaxRateLimit: Этот параметр задает максимальное количество сообщений, которое один клиент может отправлять в минуту.

Давайте изменим наш интернет коннектор получения, чтобы он принимал до 100 пользователей максимум, максимальный размер сообщения будет более 2MB, а ограничение скорости составит 200, используем команду:

Set-ReceiveConnector<Connector Name> ‘MaxRecipientsPerMessage:100 ‘MaxMessageSize:5MB ‘MaxRateLimit:200

Последней функцией, которую мы рассмотрим в этой статье, будет TarpitIntervall. В Exchange Server 2003 нам придется настраивать ее с помощью редактора системного реестра (Registry Editor) (http://support.microsoft.com/kb/842851). В Exchange Server 2007 мы можем сделать, используя оболочку Exchange Management Shell. Функция tarpit вставляет предопределенный период задержки в каждый SMTP ответ, содержащий ошибку с кодом 5.x.x, во время SMTP коммуникации между серверами. Данная функция применяется только для анонимных подключений и будет использоваться при включенном агенте фильтрации реципиентов (Recipient Filter Agent) и функции поиска получателей (Recipient Lookup).

В этой статье мы используем один модуль Exchange Server 2007; все три основные роли установлены (Mailbox, CAS и Hub Transport). Модуль получает почту из интернета, мы также настроили на нем агента антиспама (можно посмотреть способы настойки одного сервера Exchange Server на получение интернет сообщений и настройки функций антиспама в следующей статье: Configuring Mail Flow in a Single Exchange Server 2007). Давайте рассмотрим агента фильтрации получателей и включим функцию поиска получателей:

1. Открываем консоль Exchange Management Console.
2. Разворачиваем конфигурацию организации.
3. Жмем на Hub Transport.
4. Переходим по вкладке Anti-Spam.
5. Дважды нажимаем на Фильтрации получателей.
6. Переходим во вкладку Заблокированные получатели.
7. Отмечаем первую опцию «Блокировать сообщения, отправленные получателям, которые не внесены в список Глобальных адресов» (рисунок 04).

Рисунок 04

Итак, отныне все сообщения, адресованные неизвестному нашей организации получателю будут блокироваться сервером Exchange Server, как показано в первой строке rcpt to: SMTP на рисунке 05. Однако мы можем столкнуться с проблемой, где спамер попытается осуществить атаку нашего сервера, используя атаку словаря для выявления того, какие адреса действительны в нашей организации. Как предотвратить это? Для предотвращения этого нет способа, но для каждого неверного адреса, с которыми атакующий пытается создать SMTP соединение, будет отображаться ошибка ‘5.1.1 User unknown’, а для каждой из таких ошибок мы можем настроить функцию tarpit для задержки ответов сервера.

Рисунок 05

Стандартное значение составляет 5 секунд, для изменения этого значения мы можем использовать команду:

Set-ReceiveConnector ‘<Connector-Name>’ ‘TarPitInterval:<Number of seconds>

Заключение

В этой части мы рассмотрели, как настраивать параметры безопасности и ограничения коннектора получения. Мы также узнали, что некоторые настройки необходимо выполнять в оболочке Exchange Management Shell. В следующей части мы поработаем с информацией журналов регистрации и начнем работать со способами аутентификации, а также посмотрим, как настраивать разрешения с помощью AdsiEdit.msc и Exchange Management Shell.