Ограничение пользователей в отправке и получении внешних сообщений в Exchange Server 2007

OSzone.net » Microsoft » Exchange Server » Exchange Server 2007 » Ограничение пользователей в отправке и получении внешних сообщений в Exchange Server 2007
Автор: Андерсен Патрисио (Anderson Patricio)
Иcточник: www.msexchange.ru
Опубликована: 29.10.2009

В целях написания статьи я создал фиктивную организацию, которую назвал MSExchange.org, и пользователя с именем Anderson.Patricio. В этой статье мы будем работать над возможностью пользователя отправлять и принимать почту из интернета. Вот некоторые темы, которые мы рассмотрим в этой статье:

Основной задачей здесь является предоставление определенных способов выполнения задач в вашей личной среде или во всей корпоративной сети. Вы также можете использовать сочетание нижеприведенных сценариев в соответствии со своими требованиями.

Управление входящим трафиком для определенного пользователя

Существует несколько способов управления входящим трафиком для определенного пользователя. Мы можем создавать транспортные правила (Transport Rules), настраивать фильтрацию получателей (Recipient Filtering), вносить изменения на уровне почтового ящика и т.д.

Первой опцией будет использование транспортных правил (Transport Rules). Эта функция позволяет нам создавать правило, которое будет возвращать NDR отправителю, скажем, говорящее о том, что у этого конкретного пользователя нет разрешения на получение почты из интернета. Это можно сделать следующим образом:

  1. Открываем консоль Exchange Management Console
  2. Разворачиваем конфигурацию организации (Organization Configuration)
  3. Нажимаем на транспортном сервере-концентраторе (Hub Transport)
  4. Переходим в закладку Транспортные правила (Transport rules)
  5. В меню действий выбираем опцию Создание нового транспортного правила (New Transport Rule)’
  6. На вводной странице определяем имя правила и нажимаем Далее
  7. На странице условий (Conditions) выбираем элемент от пользователей внутри организации или за ее пределами (from users inside or outside the organization), а также элемент отправлять людям (sent to people). В следующем окне можно определить значение предыдущих элементов. Для этого выбираем значение За пределами организации (Outside) для первого элемента, а для второго элемента вводим почтовый ящик пользователя, который не сможет получать сообщения из интернета. Когда все готово, нажимаем Далее
  8. На странице «Действия» выбираем опцию отправлять сообщение о возврате отправителю с расширенным кодом состояния (send bounce message to sender with enhanced status code), на странице Step 2 можно изменить текст сообщения и код состояния (рисунок 1).

*
Увеличить

Рисунок 1

  1. Страница исключений. Давайте просто нажмем Далее, Новое правило (New) и Закончить (Finish).

Второй опцией будет использование агента антиспама с фильтрацией получателей, он включен по умолчанию на пограничном транспортном сервере (Edge Transport Server). Однако если вы используете роль сервера Hub Transport для получения почты из интернета, вам нужно включить транспортных агентов антиспама (Anti-Spam Transport Agents), информацию о том, как это сделать, можно найти в следующей статье.

В любом случае процесс настройки фильтрации получателей очень похож на предыдущий процесс. Мы рассмотрим изменения на сервере Hub Transport, которые включают следующее:

  1. Открываем консоль Exchange Management Console
  2. Разворачиваем Organization Configuration
  3. Выбираем Hub Transport
  4. Переходим в закладку Anti-spam
  5. Дважды нажимаем на Фильтрации получателя (Recipient filtering)
  6. Переходим в закладку Заблокированные получатели (Blocked Recipients)
  7. Отмечаем опцию Блокировать следующих получателей (Block the following recipients) и вводим внутренних пользователей, для которых хотим заблокировать получение почты из интернета (рисунок 2)

*

Рисунок 2

В результате, как вы уже догадались, все сообщения, отправленные из интернета на адрес anderson@msexchange.org, будут возвращать NDR, говорящее о том, что такой пользователь не существует в данной организации.

Иногда блокирования внешнего входящего трафика для пользователя недостаточно, и вам нужно сделать ограничения немного жестче. Ограничить пользователя получением сообщений только от своего начальника, и больше никаких входящих сообщений.

Примечание: вы также можете создать такое ограничение с помощью транспортных правил, однако целью этой статьи является предоставление дополнительных опций, и поэтому я решил настроить данное ограничение на уровне почтового ящика.

Процесс настройки состоит из следующих шагов:

  1. Открываем консоль Exchange Management Console
  2. Разворачиваем узел Настройка получателя (Recipient Configuration)
  3. Нажимаем Mailbox
  4. Дважды нажимаем на почтовом ящике, которых хотим ограничить
  5. Переходим в закладку Параметры почтового потока (Mail flow settings)
  6. Нажимаем Ограничения доставки сообщений (Message Delivery Restriction) и переходим в Свойства (Properties)
  7. На этой странице мы можем ограничить пользователя получением сообщений только от определенных пользователей. Этот пользователь сможет принимать сообщения только от аутентифицированных пользователей (рисунок 3)

Примечание: Любое сообщение, входящее из интернета, не аутентифицируется.

*

Рисунок 3

Управление исходящим трафиком

Итак, мы рассмотрели несколько способов блокирования входящего трафика для определенных внутренних пользователей, а сейчас мы рассмотрим их способность отправлять внешние исходящие сообщения. Когда мы говорим об ограничении, мы говорим об архитектуре транспортного сервера-концентратора в сочетании с транспортными правилами, которые в совокупности делают отличную работу в таком типе управления. Таким образом, простым и легким способом управления исходящим трафиком является использование транспортных правил, и вот, как их настраивать:

  1. Открываем консоль Exchange Management Console
  2. Разворачиваем Organization Configuration
  3. Выбираем Hub Transport
  4. Переходим в закладку Транспортные правила
  5. В панели действий выбираем опцию Новое транспортное правило (New Transport Rule)
  6. На вводной странице указываем название правила и нажимаем Далее
  7. На странице условий (Conditions) выбираем элемент от людей (from people) и элемент от людей внутри и за пределами организации (from people inside or outside the organization). На странице Step 2 можно указать значения этих элементов, необходимо убедиться, что для первого элемента (from people) выбраны все пользователи, которым запрещено отправлять сообщения, а для второго элемента выбрано значение Outside
  8. На странице действий выбираем опцию отправлять сообщение о возврате отправителю с расширенным кодом состояния (send bounce message to sender with enhanced status code), можно перейти на страницу Step 2 и изменить текст сообщения и код состояния. В данном случае мы изменим текст на ‘You are not allowed to send external messages" (рисунок 4).

*
Увеличить

Рисунок 4

В результате любое сообщение, отправленное нашим тестовым пользователем, будет создавать NDR в его почтовом ящике, и конечный пользователь будет видеть информацию о внутренней политике, которую мы только что добавили в транспортное правило (рисунок 5).

*

Рисунок 5

Работа с исключениями’

Создание правил в своей организации очень удобно, но мы все отлично знаем, что существуют определенные исключения, которые необходимо создавать. Говоря техническим языком, это не большая проблема, и создание исключений включено в процесс создания транспортных правил.

Однако если присмотреться поближе ко всем транспортным правилам, которые мы создали, мы не найдем встроенного правила, которое бы позволяло внутреннему пользователю отправлять сообщения на определенный внешний домен. Конечно, можно создать контакт и указать его в исключениях, но этого невозможно сделать, когда речь идет о целом домене. Допустим, требованием является то, что внутренний пользователь должен иметь возможность отправлять сообщения любому адресату в домене Microsoft.com или live.com, и это уже серьезная настройка, поскольку если у пользователя будет много контактов в этих доменах, создание контактов-исключений может представлять трудности.

Давайте изменим транспортное правило, которое мы создали, чтобы блокировать внешние сообщения из нашей организации, а для этого выберем элемент за исключением сообщений, в заголовке которых встречается следующий текст (except when the text patterns appears in a message header) на странице Исключения (Exceptions). Нажимаем на ссылку заголовок сообщения (message header), вводим TO, нажимаем на ссылку образец текста (text patterns) и, наконец, вводим @domain.com$ (где @domain.com может быть заменен любым именем домена, который вам нужно добавить в исключения).

Мы используем RegEx выражение для соответствия домена, который должен быть исключением в нашем транспортном правиле. Когда вы видите выражение ‘@domain.com$’, любой текст с таким выражением будет соответствовать правилу, например: user1@domain.com, userXX@domain.com. Однако если пользователь решить отправить сообщение на user1@domain.com.fr, у него ничего не выйдет.

Исключение, которое мы добавили в транспортное правило, чтобы разрешать внутренним пользователям отправлять сообщения на определенные домены, показано на рисунке 6.

*
Увеличить

Рисунок 6

Теперь, используя только что рассмотренный способ, мы можем создать исключение для входящей почты из интернета, изменяя существующее транспортное правило и добавляя элемент за исключением тех случаев, когда заголовок сообщения содержит следующий образец текста (except when the text patterns appears in a message header) на странице Исключения. Затем нужно добавить текст ‘FROM‘ в ссылке заголовок сообщения, а в списке обслуживаемых доменов использовать такой же образец текста, который мы использовали в предыдущем процессе (@domain.com$). Общая информация этих изменений показана на рисунке 7.

*
Увеличить

Рисунок 7

Эти исключения были созданы с помощью транспортных правил. Если у вас настроена фильтрация отправителей или параметры на уровне почтового ящика, они не будут применяться. Следует это учитывать, когда вы планируете использование такого типа ограничений в своей среде.

Заключение

В этой статье мы рассмотрели некоторые задачи, которые администратор может выполнить для ограничения входящего и исходящего трафика в Exchange Server 2007.


Ссылка: http://www.oszone.net/10459/Exchange-Server-2007