Iz Rosalab Wiki

Svrha

Ovaj priručnik opisuje kako povezati različite klijente e-pošte na Microsoft Exchange server. Cilj je dobiti sistem koji je funkcionalno ekvivalentan Microsoft Outlook-u.

Ulazni podaci

Primeri koriste server Microsoft Exchange 2010 (v14.03.0361.001) Service Pack 3 Update RollUp 18. Testiranje se vrši unutar korporativne mreže. DNS serveri određuju eksterne adrese pošte za server pošte. Exchange server bi trebao raditi:

1. OWA (Outlook Web Access) - web klijent za pristup serveru zajednice Microsoft Exchange
2. OAB (Offline Address Book) - izvanmrežni adresar
3. EWS (Exchange Web Services) – usluga koja omogućava pristup podacima poštanskog sandučeta pohranjenim u Exchange Online (kao dio Office 365) i lokalnoj Exchange (počevši od Exchange Servera 2007)

Postavke Exchange servera

Autentifikacija je ključna za uspešan rad klijenata koji nisu Microsoft na Exchange 2010. Njegove parametre možete vidjeti na Exchange serveru sa ulogom CAS (Client Access Server). Pokrenite dodatak IIS Manager i otvorite karticu Sites/Default Web Site. Obratite pažnju na autentifikaciju u tri komponente:

• OWA - Država" Uključeno"za" Osnovna autentifikacija" i " Windows autentikacija»:

• OAB - Država " Uključeno"za" Osnovna autentifikacija" i " Windows autentikacija»:

• EWS - Status " Uključeno"za" Anonimna autentifikacija», « Osnovna autentifikacija" i " Windows autentikacija»:

Slojevi (posrednici) i pomoćni programi

Davmail

Neki klijenti e-pošte ne mogu se povezati direktno na Microsoft Exchange i zahtijevaju korištenje posrednika. U ovom primjeru, proxy server se koristi kao posrednik Davmail.

• Instaliraj Davmail, dobijanjem administratorskih prava sa su ili sudo:

sudo urpmi davmail

• Trči Davmail:

• Na kartici "Glavno" u " OWA (razmjena) URL» unesite adresu vašeg servera u formatu «https:// /EWS/Exchange.asmx" ili link na OWA

u formatu "https:// /owa".

• Zapamtite brojeve portova Lokalni IMAP port" i " Lokalni SMTP port". U ovom primjeru, to su 1143 i 1025, respektivno.

Da ne biste svaki put ručno pokretali server Davmail, morate dodati njegov poziv u autoload.

• Idi na meni " Postavke sistema → Pokretanje i isključivanje → Automatsko pokretanje“, pritisnite [ Dodajte aplikaciju] i upišite "davmail" u traku za pretraživanje, a zatim pritisnite [ uredu]:

Sada lokalni proxy Davmailće se automatski pokrenuti pri pokretanju sistema. Ako vam smeta njegova ikona na traci zadataka, postoji mogućnost da je sakrijete. Da biste to učinili, uredite liniju davmail.server=false u datoteci .davmail.properties, mijenjajući false u true:

sudo mcedit /home/<имя_пользователя>/.davmail.properties

Klijenti e-pošte za povezivanje na Exchange

Sada možete početi s postavljanjem klijenata pošte.

Thunderbird

Mozilla Thunderbird je glavni mail klijent za ROSA Linux distribucije i najvjerovatnije je već instaliran na vašem sistemu i spreman za rad. Ako nije, može se instalirati iz ROSA spremišta. Ovaj primjer koristi verziju 52.2.1.

• Instaliraj Thunderbird:

sudo urpmi mozilla-thunderbird

• Dodajte interfejs na ruskom jeziku:

sudo urpmi mozilla-thunderbird-en

• Instalirajte dodatak Lightning koji vam omogućava korištenje kalendara:

sudo urpmi mozilla-thunderbird-lightning

• Trči Thunderbird.

• u poglavlju " Računi"u koraku" Kreirajte nalog» odaberi « Email". Pojavit će se prozor dobrodošlice.

• U prozoru koji se otvori kliknite na [ Preskoči ovo i koristi moju postojeću poštu].

• u prozoru" Postavljanje mail naloga» unesite u polja « Tvoje ime», « E-mail adresa mail" i " Lozinka» vaše akreditive.

• Pritisnite [ Nastavi]. Program će pokušati pronaći veze (neuspješno) i pojavit će se poruka o grešci:

Ovdje će vam trebati brojevi portova koje pamtite prilikom postavljanja Davmail.

• Za kategorije " dolazni" i " odlazni' promijenite ime servera u 'localhost'.
• Odredi za " IMAP" port 1143, i za " SMTP"- port 1025.
• u polju" Korisničko ime» Navedite UPN (User Principal Name) - ime domene korisnika u formatu "[email protected]".
• Kliknite na [ Ponovo testiraj].

Ako unesete ispravne akreditive, neće biti grešaka. Sistem može zatražiti da prihvatite certifikat Exchange servera. Ako se to ne dogodi, možda ste prerano isključili interfejs. Davmail.

Kreirajte korisnički kalendar

• U kategoriji " Računi» odaberi « Kreirajte novi kalendar».
• U prozoru koji se pojavi odaberite vrijednost " Online" i pritisnite [ Dalje].
• Odaberite format " CalDAV"i na terenu" Adresa» unesite "http://localhost:1080/users/ /kalendar":

Kreirajte adresar

Adresar Thunderbird ne podržava CardDAV protokol i može se povezati samo na LDAP direktorij Exchange Servera.

• Otvorite postojeće adresare klikom na [ Adresar] i odabirom “ Datoteka -> Novo -> LDAP direktorij».

• U prozoru čarobnjaka navedite sljedeće opcije:
  • Ime- bilo koji odgovarajući naziv
  • Ime servera- lokalni domaćin
  • Korijenski element (osnovni DN)-ou=ljudi
  • Port- 1389 (od Davmail)
  • Korisničko ime (vezivanje DN)- UPN korisničko ime

• Pritisnite [ uredu]. Program će od vas tražiti da unesete lozinku.

• Idite na meni sa opcijama Thunderbird. U kategoriji " Izrada» odaberite karticu « Addressing” i ispod teksta “Prilikom unosa adrese potražite odgovarajuće poštanske adrese u” označite kvadratić “ server direktorija” odabirom imena vašeg adresara.

evolucija

Mail klijent je takođe dostupan u ROSA repozitorijumima evolucija(u ovom primjeru se koristi verzija 3.16.4).

• Instaliraj evolucija:

sudo urpmi evolution

• Instalirajte konektor Razmjena, kompatibilan sa verzijom 2007 i novijim:

sudo urpmi evolution-ews

• Trči evolucija.

• U prozoru čarobnjaka kliknite na [ Sljedeći] dok se ne prebacite na karticu " Račun».
• Popunite polja " Puno ime" i " Email».
• Na kartici " Primanje pošte» na listi « Tip servera» Odaberite Exchange Web Services.
• Navedite UPN ime korisnika u formatu "Korisničko ime@VašaDomena.ru" kao ime.
• u polju" URL hosta» unesite "https://ExchangeMailServerName/EWS/Exchange.asmx .
• u polju" OAB URL» unesite URL adresara van mreže.
• Odaberite "Basic" kao tip provjere autentičnosti.

Nakon uspješnog podešavanja, program će tražiti lozinku:

Nakon unosa lozinke evolucija dobiti pristup svom poštanskom sandučetu, adresaru i kalendarima.

Za sva pitanja vezana za ovaj članak, kontaktirajte [email protected]

Ako pokušavate da dodate svoj Outlook.com nalog u drugu aplikaciju za e-poštu, možda će vam trebati POP, IMAP ili SMTP postavke za Outlook.com. Možete ih pronaći ispod ili pratiti vezu POP i IMAP podešavanje na Outlook.com.

Ako želite da dodate svoj Outlook.com nalog na pametni uređaj, kao što je kućna sigurnosna kamera, trebat će vam lozinka aplikacije. Za više informacija pogledajte Dodavanje Outlook.com naloga u drugu aplikaciju za e-poštu ili pametni uređaj.

POP, IMAP i SMTP postavke za Outlook.com

Ako želite da dodate svoj Outlook.com nalog u drugi program za e-poštu koji podržava POP ili IMAP, koristite sledeće postavke servera.

napomene:

Ime IMAP servera Outlook.Office365.com

IMAP port: 993

Metoda IMAP enkripcije TLS

Outlook.office365.com Ime POP servera

POP port: 995

Metoda POP šifriranja TLS

Ime SMTP servera smtp.office365.com

SMTP port: 587

Metoda SMTP enkripcije STARTTLS

Uključite POP pristup u Outlook.com

Ako želite da pristupite pošti u Outlook.com koristeći POP protokol, moraćete da ga uključite.

Promijenite postavke vašeg mail provajdera

Ako pokušavate da povežete drugi nalog sa Outlook.com koristeći POP protokol, možda ćete morati da promenite neke od postavki dobavljača e-pošte da biste uspostavili vezu koja je možda bila blokirana.

Za Gmail naloge sa POP pristupom, .

Za Yahoo račune s POP pristupom, slijedite dolje navedene korake.

Ako koristite druge provajdere e-pošte, trebali biste ih kontaktirati za upute o tome kako deblokirati vezu.

Greške sa Outlook.com IMAP vezom

Ako ste podesili svoj Outlook.com nalog kao IMAP u više klijenata e-pošte, možda ćete dobiti poruku o grešci u vezi. Radimo na popravci i ažurirat ćemo ovaj članak ako budemo imali više informacija. Za sada isprobajte sljedeće rješenje:

Ako koristite Outlook.com za pristup nalogu koji koristi domenu koja nije @live. com, @hotmail. com ili @outlook. com, nećete moći sinhronizirati račune koristeći IMAP. Da biste riješili ovaj problem, uklonite povezani IMAP račun u Outlook.com i ponovo ga konfigurirajte kao POP vezu. Za uputstva o tome kako da ponovo konfigurišete svoj nalog da koristite POP, obratite se svom dobavljaču naloga e-pošte.

Ako koristite GoDaddy nalog, slijedite ove upute da promijenite postavke svog GoDaddy naloga za korištenje POP veze. Ako korištenje POP protokola nije riješilo problem ili trebate omogućiti IMAP protokol (onemogućen prema zadanim postavkama), trebate kontaktirati servis

U ovom članku ćemo naučiti kako da konfigurišemo statičke RPC portove za usluge RPC klijentskog pristupa, Exchange adresara i pristupa javnoj fascikli u Exchange 2010.

Zamislimo da imamo složenu organizaciju koja koristi Exchange Server 2010 SP1 (ili noviji) koji takođe ima . CAS serveri se obično nalaze na mreži koja je odvojena zaštitnim zidovima od mreža sa kojih se očekuje da će korisnici pristupiti (Outlook mreže). Outlook klijent se povezuje sa CAS serverom preko RPC-a, što znači da se bilo koji port iz slobodnog opsega portova može koristiti na nivou mreže. Nije tajna da se u Windows Serveru 2008 i 2008 R2 opseg 49152-65535 koristi kao dinamički opseg portova za RPC veze (u prethodnim verzijama Windows Servera korišćeni su RPC portovi u opsegu 1025-65535).

Da zaštitni zidovi ne bi postali "sito", poželjno je suziti raspon korištenih RPC portova, idealno tako što će ih učiniti statičnim na svakom Client Access Serveru u nizu Client Access. Osim toga, korištenje statičkih RPC portova omogućava vam da smanjite potrošnju memorije na balansatorima opterećenja (posebno HLB) i pojednostavite njihovu konfiguraciju (nema potrebe za specificiranjem velikih raspona portova).

U Exchange 2010, usluga RPC klijentskog pristupa kao i usluga Exchange adresara mogu se postaviti na statičke portove. Outlook komunicira sa ovim servisima preko MAPI interfejsa.

Statički port za Exchange 2010 RPC uslugu klijentskog pristupa

Virtuelna usluga Exchange 2010 RPC klijentskog pristupa povezana je sa uslugom RPC klijentskog pristupa na koju se Outlook MAPI klijenti povezuju u Exchange 2010. Kada se Outlook klijent poveže na Exchange, na Exchange 2010 Client Access serveru, RPC Client Access usluga koristi TCP End Point Mapper port (TCP/135) i nasumični port iz RPC dinamičkog raspona portova (6005-59530) za dolazne veze

Da biste postavili statički port za uslugu RPC klijentskog pristupa u Exchange 2010, potrebno je da otvorite odjeljak u uređivaču registra:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Kreirajte novi ključ pod nazivom ParametersSystem, unutar koje kreirate parametar tipa REG_DWORD Sa imenom TCP/IP port. Postavka TCP/IP porta specificira statički port za uslugu RPC klijentskog pristupa. Microsoft dokumentacija preporučuje odabir porta u rasponu 59531 - 60554 i korištenje ove vrijednosti na svim CAS serverima (naveli smo port 59532, naravno, ne bi ga trebao koristiti nijedan drugi softver).

Nakon dodjeljivanja statičkih portova, morate ponovo pokrenuti uslugu Microsoft Exchange RPC klijentskog pristupa da bi promjene stupile na snagu.

Restart-Service MSExchangerRPC

Statički port za uslugu Exchange 2010 adresar

Prije SP1, Exchange 2010 je koristio posebnu konfiguracijsku datoteku za postavljanje statičkog porta usluge Exchange 2010 adresar Microsoft.exchange.addressbook.service.exe.config. Nakon izdavanja Exchange 2010 SP1, možete postaviti statički port ove usluge putem registra. Da biste to učinili, otvorite uređivač registra i idite na granu:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters

Kreirajte novi parametar RpcTcpPort(tipa REG_SZ) i dajte mu broj porta koji želite da popravite za uslugu Exchange adresara. Preporučljivo je koristiti bilo koji slobodni port u rasponu 59531-60554, a zatim ga koristiti na svim Exchange 2010 Client Access serverima u domeni. Postavićemo RpcTcpPort=59533

Nakon toga morate ponovo pokrenuti uslugu Microsoft Exchange adresara

Restart-Service MSExchangeAB

Bitan: Prilikom migracije sa Exchange 2010 RTM na SP1, ovaj ključ se mora postaviti ručno, ne nasljeđuje se automatski.

Postavljanje statičkog porta za povezivanje na dijeljene foldere

Javnim fasciklama se pristupa sa Outlook klijenta direktno preko RPC usluge klijentskog pristupa na serveru sa ulogom poštanskog sandučeta. Ova postavka se mora izvršiti na svim serverima sa ulogom poštanskog sandučeta koji sadrže bazu podataka javnih fascikli (slično CAS serverima). Otvorite uređivač registra i idite na granu

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Kreirajte novi ključ pod nazivom ParametersSystem, unutar kojeg kreirate parametar tipa REG_DWORD pod nazivom TCP/IP port. Postavite njegovu vrijednost: TCP/IP Port = 59532.

Nakon što statički postavite port za javnu fasciklu, potrebno je da ponovo pokrenete uslugu Microsoft Exchange RPC klijentskog pristupa na svakom serveru poštanskog sandučeta.

Provjerite korištenje statičkog porta između Outlooka i Exchange 2010

Nakon što su promjene napravljene, provjerite da li se Outlook povezuje na statičke RPC portove koje smo naveli. Da biste to učinili, ponovo pokrenite Outlook na klijentskoj mašini, a zatim pokrenite sljedeću naredbu na komandnoj liniji:

Netstat -na

Primjenjivo na: Exchange Server 2010 SP1

Zadnja izmjena odjeljka: 2011-04-22

Ovaj odeljak pruža informacije o portovima, autentifikaciji i šifrovanju za sve puteve podataka koji se koriste u Microsoft Exchange Serveru 2010. Odeljak „Napomene“ posle svake tabele pojašnjava ili definiše nestandardne metode autentifikacije ili šifrovanja.

Transportni serveri

U Exchange 2010 postoje dvije uloge servera koje obavljaju funkcije prijenosa poruka: Hub Transport server i Edge Transport server.

Sledeća tabela pruža informacije o portovima, autentifikaciji i šifrovanju putanje podataka između ovih transportnih servera i drugih Exchange 2010 servera i usluga.

Putevi podataka za transportne servere

Putanja podataka	Potrebni portovi			Podrška za šifrovanje
Između dva Hub transportna servera				Da, sa TLS-om (Transport Layer Security)
Sa Hub Transport servera na Edge Transport server		direktno poverenje	direktno poverenje	Da, koristeći TLS
Od Edge Transport servera do Hub Transport servera		direktno poverenje	direktno poverenje	Da, koristeći TLS
Između dva Edge Transport servera		Anonimno, provjera autentičnosti certifikata	Anonimno, sa sertifikatom	Da, koristeći TLS
Od servera poštanskog sandučeta do preko Microsoft Exchange usluge slanja pošte		NTLM. Ako se uloga Hub Transport servera i uloga poslužitelja poštanskih sandučića izvode na istom serveru, koristi se Kerberos protokol.		Da, koristeći RPC enkripciju
Od Hub transportnog servera do servera poštanskih sandučića putem MAPI-ja		NTLM. Ako su uloga Hub Transport servera i uloga servera poštanskih sandučića instalirane na istom serveru, koristi se Kerberos protokol.		Da, koristeći RPC enkripciju
				Da, koristeći TLS
Usluga Microsoft Exchange EdgeSync sa Hub Transport servera na Edge Transport server				Da, koristeći LDAP preko SSL-a (LDAPS)
Pristupite Active Directory-u sa Hub Transport servera
Pristup usluzi Active Directory Rights Management Service (AD RMS) sa Hub Transport servera				Da, sa SSL-om
SMTP klijenti na Hub Transport server (na primjer, krajnji korisnici koji koriste Windows Live Mail)				Da, koristeći TLS

Napomene za transportne servere

• Sav saobraćaj između Hub transportnih servera je šifrovan korišćenjem Transport Layer Security (TLS) i samopotpisanih sertifikata instaliranih od strane Exchange 2010 instalacije.
• Sav promet između Edge Transport servera i Hub Transport servera je autentificiran i šifriran. Uzajamni TLS se koristi kao mehanizam za autentifikaciju i šifriranje. Umjesto provjere valjanosti X.509, Exchange 2010 koristi direktno poverenje. Direktno povjerenje znači da prisustvo certifikata u Active Directory Services ili Active Directory Lightweight Directory Services (AD LDS) potvrđuje autentičnost certifikata. Usluga direktorija Active Directory smatra se pouzdanim mehanizmom za skladištenje. Kada se koristi direktno povjerenje, nije bitno da li se koristi samopotpisani certifikat ili certifikat potpisan od strane CA. Kada pretplatite Edge transportni server na Exchange organizaciju, Edge pretplata objavljuje sertifikat Edge transportnog servera u servisu direktorijuma Active Directory tako da ga transportni serveri čvorišta mogu verifikovati. Usluga Microsoft Exchange EdgeSync dodaje skup certifikata Hub Transport servera u Active Directory Lightweight Directory Services (AD LDS) tako da ih Edge Transport server može provjeriti.
• EdgeSync koristi sigurnu LDAP vezu sa Hub Transport servera na pretplaćene Edge Transport servere na TCP portu 50636. Active Directory Lightweight Directory Services takođe sluša na TCP portu 50389. Veze na ovom portu ne koriste SSL. Možete koristiti LDAP uslužne programe da se povežete na ovaj port i provjerite AD LDS podatke.
• Prema zadanim postavkama, promet između Edge Transport servera koji se nalaze u dvije različite organizacije je šifriran. Exchange 2010 Setup kreira samopotpisani sertifikat i podrazumevano omogućava TLS. Ovo omogućava bilo kom sistemu za slanje da šifrira dolaznu SMTP sesiju u Exchange. Podrazumevano, Exchange 2010 takođe pokušava da koristi TLS za sve udaljene veze.
• Metode provjere autentičnosti za promet između Hub Transport servera i servera poštanskih sandučića se razlikuju kada su uloge Hub Transport i Mailbox servera instalirane na istom računaru. Lokalni prijenos pošte koristi Kerberos autentifikaciju. Daljinski prijenos pošte koristi NTLM autentifikaciju.
• Exchange 2010 takođe podržava bezbednost domena. Domain Security je skup funkcija Exchange 2010 i Microsoft Outlook 2010 koje pružaju jeftinu alternativu za S/MIME i druga sigurnosna rješenja za razmjenu poruka na Internetu. Sigurnost domena pruža način upravljanja sigurnim komunikacijskim putevima između domena na Internetu. Jednom kada su ove bezbedne putanje konfigurisane, poruke koje su uspešno poslate preko njih od autentifikovanog pošiljaoca pojavljuju se korisnicima Outlooka i Outlook Web Access-a kao poruke „zaštićene na nivou domene“. Za više informacija pogledajte Pregled sigurnosti domene.
• Mnogi agenti mogu raditi i na Hub Transport serverima i na Edge Transport serverima. Agenti za zaštitu od neželjene pošte obično koriste informacije sa lokalnog računara na kojem rade. Dakle, interakcija sa udaljenim računarima praktično nije potrebna. Izuzetak je filtriranje primatelja. Filtriranje primatelja zahtijeva AD LDS ili Active Directory poziv. Preporučujemo da izvršite filtriranje primaoca na Edge transportnom serveru. U ovom slučaju, AD LDS direktorij je na istom računalu na kojem je instalirana uloga Edge Transport servera, tako da nije potrebna daljinska veza. Ako je filtriranje primatelja instalirano i konfigurirano na Hub Transport serveru, potreban je pristup usluzi Active Directory direktorija.
• Agent za analizu protokola koristi funkcija Reputacija pošiljaoca u Exchange 2010. Ovaj agent se takođe povezuje sa različitim eksternim proxy serverima da bi odredio putanje dolaznih poruka za sumnjive veze.
• Sve ostale funkcije zaštite od neželjene pošte koriste podatke koji se prikupljaju, pohranjuju i dostupni samo na lokalnom računalu. Obično se podaci kao što je kombinovana lista sigurnih pošiljalaca ili podaci o primaocima za filtriranje primaoca guraju u lokalni AD LDS direktorijum pomoću usluge Microsoft Exchange EdgeSync.
• Agenti za upravljanje pravima nad informacijama (IRM) na serverima Hub Transport povezuju se sa serverima Active Directory Rights Management Services (AD RMS) u organizaciji. Active Directory Rights Management Service (AD RMS) je web usluga koju preporučujemo da osigurate SSL-om. Veze sa AD RMS serverima se ostvaruju pomoću HTTPS-a i autentifikuju se pomoću Kerberos ili NTLM, u zavisnosti od konfiguracije AD RMS servera.
• Pravila evidencije, pravila transporta i pravila klasifikacije poruka pohranjeni su u Active Directory i njima pristupaju agent za evidentiranje i agent za pravila transporta na transportnim serverima u čvorištu.

  Serveri poštanskih sandučića

  Na serverima poštanskih sandučića, da li se koristi NTLM ili Kerberos provjera autentičnosti ovisi o korisničkom kontekstu ili procesu pod kojim se pokreće potrošač sloja poslovne logike Exchange. U ovom kontekstu, potrošači su sve aplikacije ili procesi koji koriste sloj poslovne logike Exchange. Kao rezultat toga, u koloni Zadana autentifikacija stolovi Putanja podataka za servere poštanskih sandučića mnogi redovi imaju vrijednost NTLM/Kerberos.

  Exchangeov sloj poslovne logike se koristi za pristup i interakciju sa Exchange prodavnicom. Exchangeov sloj poslovne logike se takođe poziva iz Exchange prodavnice radi interakcije sa spoljnim aplikacijama i procesima.

  Kada potrošač sloja Exchange poslovne logike radi u kontekstu lokalnog sistema, korisnikov metod provjere autentičnosti za pristup Exchange spremištu je uvijek Kerberos. Kerberos metoda provjere autentičnosti se koristi jer primalac mora biti autentificiran pomoću računala računa "Local System" i zahtijeva dvosmjerno povjerenje s autentifikacijom.

  Ako primalac sloja Exchange poslovne logike ne radi u kontekstu lokalnog sistema, metoda provjere autentičnosti je NTLM. Na primjer, kada administrator pokrene Exchange Management Shell cmdlet koji koristi Exchangeov sloj poslovne logike, koristi se NTLM autentikacija.

  RPC saobraćaj je uvijek šifriran.

  Sledeća tabela pruža informacije o portovima, autentifikaciji i šifrovanju putanje podataka za servere poštanskih sandučića.

  Putanja podataka za servere poštanskih sandučića

  Putanja podataka	Potrebni portovi	Zadana autentifikacija	Podržana metoda provjere autentičnosti	Podrška za šifrovanje	Podrazumevano šifrovanje podataka
  	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC Net Logon)			Da, koristeći Kerberos enkripciju
  Administrativni daljinski pristup (udaljeni registar)				Da, koristeći IPsec
  Administrativni daljinski pristup (SMB, fajlovi)				Da, koristeći IPsec
  Web usluga dostupnosti (pristup poštanskom sandučetu klijenta)				Da, koristeći RPC enkripciju
  Grupiranje				Da, koristeći RPC enkripciju
  Između servera klijentskog pristupa (Exchange ActiveSync)	80/TCP, 443/TCP (SSL)		Kerberos, provjera autentičnosti certifikata	Da, koristeći HTTPS	Da, koristeći samopotpisani certifikat
  Između servera klijentskog pristupa (Outlook Web Access)	80/TCP, 443/TCP (HTTPS)			Da, sa SSL-om
  Server za klijentski pristup na server za klijentski pristup (Exchange Web Services)				Da, sa SSL-om
  Server za klijentski pristup na server za klijentski pristup (POP3)				Da, sa SSL-om
  Server za klijentski pristup na server za klijentski pristup (IMAP4)				Da, sa SSL-om
  Office Communications Server to Client Access server (kada je omogućena integracija Office Communications Server i Outlook Web App)	5075-5077/TCP (IN), 5061/TCP (IZLAZ)	mTLS (obavezno)	mTLS (obavezno)	Da, sa SSL-om

  Napomene za servere klijentskog pristupa

  Serveri objedinjene razmjene poruka

  IP gateway-i i IP PBX-ovi podržavaju samo potvrdu autentičnosti certifikata, koja koristi uzajamnu TLS autentifikaciju za šifriranje SIP prometa i autentifikaciju zasnovanu na IP adresi za SIP ili TCP veze. IP gateway-i ne podržavaju NTLM i Kerberos autentifikaciju. Stoga, kada koristite autentifikaciju zasnovanu na IP adresi, mehanizam provjere autentičnosti za nešifrirane veze (TCP) koristi IP adrese veza. Kada se koristi u objedinjenoj razmjeni poruka, autentifikacija zasnovana na IP-u provjerava da li je datoj IP adresi dozvoljeno povezivanje. IP adresa je konfigurisana na IP gateway-u ili IP PBX-u.

  IP gatewayi i IP PBX-ovi podržavaju Mutual TLS za šifriranje SIP prometa. Nakon uspješnog uvoza i izvoza potrebnih pouzdanih certifikata, IP gateway ili IP PBX će zatražiti certifikat od servera Unified Messaging, a zatim zatražiti certifikat od IP gatewaya ili IP PBX-a. Razmjena pouzdanih certifikata između IP gateway-a ili IP PBX-a i servera objedinjene razmjene poruka omogućava oba uređaja da bezbedno komuniciraju koristeći Mutual TLS.

  Sljedeća tabela pruža informacije o portu, autentifikaciji i šifriranju za putanje podataka između UM servera i drugih servera.

  Putevi podataka za servere objedinjene razmjene poruka

  Putanja podataka	Potrebni portovi	Zadana autentifikacija	Podržana metoda provjere autentičnosti	Podrška za šifrovanje	Podrazumevano šifrovanje podataka
  Pristup Active Directory-u	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (RPC Net Logon)			Da, koristeći Kerberos enkripciju
  UM Dial-in (IP PBX/VoIP Gateway)	5060/TCP, 5065/TCP, 5067/TCP (u nebezbednom režimu), 5061/TCP, 5066/TCP, 5068/TCP (u sigurnom režimu), dinamički raspon portova 16000-17000/TCP (upravljanje), dinamički UDP portovi iz opsega 1024-65535/UDP (RTP)	Po IP adresi	Po IP adresi, MTLS	Da, koristeći SIP/TLS, SRTP
  UM web servis	80/TCP, 443/TCP (SSL)	Integrirana Windows autentifikacija (pregovarajte)		Da, sa SSL-om
  Sa servera objedinjene razmjene poruka na server za klijentski pristup	5075, 5076, 5077 (TCP)	Integrirana Windows autentifikacija (pregovarajte)	Osnovni, Digest, NTLM, Negotiate (Kerberos)	Da, sa SSL-om
  UM server na server za klijentski pristup (reprodukcija na telefonu)	Dynamic RPC			Da, koristeći RPC enkripciju
  Od servera objedinjene razmjene poruka na server za transport čvorišta				Da, koristeći TLS
  Sa servera objedinjene razmjene poruka na server poštanskog sandučeta				Da, koristeći RPC enkripciju

  Napomene za servere objedinjene razmjene poruka

  • Kada kreirate UM IP gateway objekat u Active Directory, morate definirati IP adresu fizičkog IP gatewaya ili IP PBX-a. Kada odredite IP adresu UM IP gateway objekta, IP adresa se dodaje na listu važećih IP gateway-a ili IP PBX-ova (također poznatih kao učesnici SIP sesije) sa kojima UM server može komunicirati. Nakon što kreirate UM IP gateway, možete ga povezati sa UM planom biranja. Mapiranje UM IP gatewaya u plan biranja omogućava UM serverima koji su mapirani na plan biranja da koriste autentifikaciju zasnovanu na IP adresi za komunikaciju sa IP gatewayom. Ako UM IP gateway nije kreiran ili konfiguriran da koristi ispravnu IP adresu, autentifikacija neće uspjeti i UM serveri neće prihvatiti veze sa IP adrese tog IP gatewaya. Osim toga, ako implementirate Mutual TLS, IP gateway ili IP PBX i servere objedinjene razmjene poruka, UM IP gateway mora biti konfiguriran da koristi potpuno kvalificirano ime domene (FQDN). Nakon što konfigurirate UM IP gateway koristeći FQDN, morate također dodati zapis hosta za gateway u zonu za prosljeđivanje DNS-a.
  • U Exchange 2010, server objedinjene razmjene poruka može komunicirati na portu 5060/TCP (nebezbedan) ili portu 5061/TCP (bezbedan), a može se konfigurisati da koristi oba porta.

  Za više informacija pogledajte Razumijevanje UM VoIP sigurnosti i razumijevanje protokola, portova i usluga u objedinjenoj razmjeni poruka.

  Pravila Windows zaštitnog zida kreirana od strane Exchange 2010 instalacije

  Windows zaštitni zid sa naprednom bezbednošću je zaštitni zid zasnovan na stanju računara koji filtrira ulazni i odlazni saobraćaj na osnovu pravila zaštitnog zida. Instalacija Exchange 2010 kreira pravila Windows zaštitnog zida da otvori portove potrebne za komunikaciju između servera i klijenta u svakoj ulozi servera. Stoga više ne morate koristiti SCW za konfiguriranje ovih postavki. Za više informacija o Windows zaštitnom zidu sa naprednom bezbednošću pogledajte Windows zaštitni zid sa naprednom bezbednošću i IPsec.

  Sljedeća tabela navodi pravila Windows zaštitnog zida koja generiše Exchange instalacija, uključujući portove koji su otvoreni na svakoj ulozi servera. Ova pravila možete pogledati pomoću dodatka Windows zaštitnog zida sa naprednom sigurnošću MMC-a.

  Ime pravila	Uloge servera	Port	Program
  MSExchangeADTopology - RPC (TCP dolazni)		Dynamic RPC	Bin\MSExchangeADTopologyService.exe
  MSExchangeMonitoring - RPC (TCP dolazni)	Client Access server, Hub Transport server, Edge Transport server, Unified Messaging server	Dynamic RPC	Bin\Microsoft.Exchange.Management.Monitoring.exe
  MSExchangeServiceHost - RPC (TCP dolazni)		Dynamic RPC	Bin\Microsoft.Exchange.ServiceHost.exe
  MSExchangeServiceHost - RPCEPMap (TCP dolazni)			Bin\Microsoft.Exchange.Service.Host
  MSExchangeRPCEPMap (GFW) (TCP dolazni)
  MSExchangeRPC (GFW) (TCP dolazni)	Server za klijentski pristup, Hub transportni server, server poštanskih sandučića, server objedinjene razmjene poruka	Dynamic RPC
  MSExchange - IMAP4 (GFW) (TCP dolazni)	Server za klijentski pristup
  MSExchangeIMAP4 (TCP dolazni)	Server za klijentski pristup		ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe
  MSExchange - POP3 (FGW) (TCP dolazni)	Server za klijentski pristup
  MSExchange - POP3 (TCP dolazni)	Server za klijentski pristup		ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe
  MSExchange - OWA (GFW) (TCP dolazni)	Server za klijentski pristup	5075, 5076, 5077 (TCP)
  MSExchangeOWAAppPool (TCP-in)	Server za klijentski pristup	5075, 5076, 5077 (TCP)	inetsrv\w3wp.exe
  MSExchangeAB RPC (TCP dolazni)	Server za klijentski pristup	Dynamic RPC
  MSExchangeAB-RPCEPMap (TCP-in)	Server za klijentski pristup		Bin\Microsoft.Exchange.AddressBook.Service.exe
  MSExchangeAB-RpcHttp (TCP-in)	Server za klijentski pristup	6002, 6004 (TCP)	Bin\Microsoft.Exchange.AddressBook.Service.exe
  RpcHttpLBS (TCP dolazni)	Server za klijentski pristup	Dynamic RPC	System32\Svchost.exe
  MSExchangeRPC - RPC (TCP dolazni)		Dynamic RPC
  MSExchangeRPC - PRCEPMap (TCP dolazni)	Server za klijentski pristup, Server za poštansko sanduče		Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
  MSExchangeRPC (TCP dolazni)	Server za klijentski pristup, Server za poštansko sanduče		Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
  MSExchangeMailboxReplication (GFW) (TCP dolazni)	Server za klijentski pristup
  MSExchangeMailboxReplication (TCP dolazni)	Server za klijentski pristup		Bin\MSExchangeMailboxReplication.exe
  MSExchangeIS - RPC (TCP dolazni)	Server poštanskog sandučeta	Dynamic RPC
  MSExchangeIS RPCEPMap (TCP dolazni)	Server poštanskog sandučeta
  MSExchangeIS (GFW) (TCP dolazni)	Server poštanskog sandučeta	6001, 6002, 6003, 6004 (TCP)
  MSExchangeIS (TCP dolazni)	Server poštanskog sandučeta
  MSExchangeMailboxAssistants - RPC (TCP dolazni)	Server poštanskog sandučeta	Dynamic RPC
  MSExchangeMailboxAssistants - RPCEPMap (TCP dolazni)	Server poštanskog sandučeta		Bin\MSExchangeMailboxAssistants.exe
  MSExchangeMailSubmission - RPC (TCP dolazni)	Server poštanskog sandučeta	Dynamic RPC
  MSExchangeMailSubmission - RPCEPMap (TCP dolazni)	Server poštanskog sandučeta		Bin\MSExchangeMailSubmission.exe
  MSExchangeMigration - RPC (TCP dolazni)	Server poštanskog sandučeta	Dynamic RPC	Bin\MSExchangeMigration.exe
  MSExchangeMigration - RPCEPMap (TCP dolazni)	Server poštanskog sandučeta		Bin\MSExchangeMigration.exe
  MSExchangerepl - Log Copier (TCP dolazni)	Server poštanskog sandučeta		Bin\MSExchangeRepl.exe
  MSExchangerepl - RPC (TCP dolazni)	Server poštanskog sandučeta	Dynamic RPC	Bin\MSExchangeRepl.exe
  MSExchangerepl - RPC-EPMap (TCP-in)	Server poštanskog sandučeta		Bin\MSExchangeRepl.exe
  MSExchangeSearch - RPC (TCP dolazni)	Server poštanskog sandučeta	Dynamic RPC	Bin\Microsoft.Exchange.Search.ExSearch.exe
  MSExchangeThrottling - RPC (TCP dolazni)	Server poštanskog sandučeta	Dynamic RPC	Bin\MSExchangeThrottling.exe
  MSExchangeThrottling - RPCEPMap (TCP dolazni)	Server poštanskog sandučeta		Bin\MSExchangeThrottling.exe
  MSFTED - RPC (TCP dolazni)	Server poštanskog sandučeta	Dynamic RPC
  MSFTED - RPCEPMap (TCP-in)	Server poštanskog sandučeta
  MSExchangeEdgeSync - RPC (TCP dolazni)	Hub Transport Server	Dynamic RPC
  MSExchangeEdgeSync RPCEPMap (TCP dolazni)	Hub Transport Server		Bin\Microsoft.Exchange.EdgeSyncSvc.exe
  MSExchangeTransportWorker - RPC (TCP ulazni)	Hub Transport Server	Dynamic RPC	Bin\edgetransport.exe
  MSExchangeTransportWorker - RPCEPMap (TCP dolazni)	Hub Transport Server		Bin\edgetransport.exe
  MSExchangeTransportWorker (GFW) (TCP dolazni)	Hub Transport Server
  MSExchangeTransportWorker (TCP dolazni)	Hub Transport Server		Bin\edgetransport.exe
  MSExchangeTransportLogSearch - RPC (TCP dolazni)		Dynamic RPC
  MSExchangeTransportLogSearch - RPCEPMap (TCP dolazni)	Hub Transport server, Edge Transport server, Server Mailbox		Bin\MSExchangeTransportLogSearch.exe
  SESWorker (GFW) (TCP-in)	Unified Messaging Server
  SESWorker (TCP dolazni)	Unified Messaging Server		UnifiedMessaging\SESWorker.exe
  UMService (GFW) (TCP dolazni)	Unified Messaging Server
  UMService (TCP dolazni)	Unified Messaging Server		Bin\UMService.exe
  UMWorkerProcess (GFW) (TCP dolazni)	Unified Messaging Server	5065, 5066, 5067, 5068
  UMWorkerProcess (TCP ulazni)	Unified Messaging Server	5065, 5066, 5067, 5068	Bin\UMWorkerProcess.exe
  UMWorkerProcess - RPC (TCP ulazni)	Unified Messaging Server	Dynamic RPC	Bin\UMWorkerProcess.exe

  Napomene o pravilima Windows zaštitnog zida kreirana od strane Exchange 2010 instalacije

  • Na serverima sa instaliranim IIS-om, Windows otvara HTTP (port 80, TCP) i HTTPS (port 443, TCP) portove. Exchange 2010 Setup ne otvara ove portove. Stoga ovi portovi nisu navedeni u prethodnoj tabeli.
  • U Windows Server 2008 i Windows Server 2008 R2, Windows zaštitni zid sa naprednom bezbednošću omogućava vam da navedete proces ili uslugu za koju je port otvoren. Ovo je sigurnije jer port može koristiti samo proces ili usluga navedena u pravilu. Exchange Setup kreira pravila zaštitnog zida sa navedenim imenom procesa. U nekim slučajevima, radi kompatibilnosti, kreira se i dodatno pravilo koje nije ograničeno na ovaj proces. Možete onemogućiti ili ukloniti pravila koja nisu ograničena na procese i zadržati odgovarajuća pravila ograničena na procese ako ih podržava vaše trenutno okruženje za implementaciju. Pravila koja nisu ograničena na procese mogu se razlikovati po riječi (GFW) u ime pravila.
  • Mnoge Exchange usluge koriste pozive udaljenih procedura (RPC) za komunikaciju. Serverski procesi koji koriste pozive udaljenih procedura povezuju se s RPC maperom krajnje točke da bi dobili dinamičke krajnje točke i registrirali ih u bazi podataka mapiranja krajnjih točaka. RPC klijenti stupaju u interakciju s RPC Endpoint Mapperom kako bi odredili krajnje točke koje koristi proces servera. Po defaultu, RPC Endpoint Mapper sluša port 135 (TCP). Kada konfigurišete Windows zaštitni zid za proces koji koristi udaljene pozive procedura, instalacija Exchange 2010 kreira dva pravila zaštitnog zida za taj proces. Jedno pravilo dozvoljava komunikaciju s RPC maperom krajnje točke, a drugo pravilo dozvoljava komunikaciju s dinamički dodijeljenom krajnjom točkom. Za više informacija o daljinskim pozivima procedura, pogledajte članak. Za više informacija o kreiranju pravila Windows zaštitnog zida za dinamički poziv udaljene procedure, pogledajte članak.

    Za više informacija pogledajte članak Microsoftove baze znanja 179442

Exchange Server i zaštitni zidovi

Vatrozidovi (firewall) za mail servere (Exchange Server), portove mail servera, front-end i back-end servere pošte, SMTP, POP3, IMAP4 virtuelne servere

Kao i svaki računar povezan na Internet, računar na kojem se nalazi server pošte mora biti zaštićen zaštitnim zidom. Istovremeno, opcije za instaliranje mail servera u smislu mrežne konfiguracije mogu biti vrlo različite:

· Najjednostavnija opcija je instalirati mail server na računar koji je ujedno i proxy/firewall, a zatim otvoriti potrebne portove na interfejsu okrenutom ka Internetu. Obično se ova šema koristi u malim organizacijama;

· Druga opcija je da instalirate mail server na lokalnoj mreži i konfigurišete ga da radi preko proxy servera. Da biste to uradili, možete povezati javni IP sa serverom pošte i proslediti ga kroz proxy ili koristiti alate za mapiranje portova na proxy serveru. Mnogi proxy serveri imaju posebne čarobnjake ili unaprijed definirana pravila za organiziranje takvog rješenja (na primjer, u ISA Server). Ova opcija se koristi u većini organizacija.

· Još jedna fundamentalna mogućnost je kreiranje DMZ-a i postavljanje u njega front-end Exchange servera (takva mogućnost se pojavila od verzije 2000) ili SMTP Relay baziran na drugom Exchange serveru ili, na primjer, sendmail na *nix. Obično se koristi u mrežama velikih organizacija.

U svakom slučaju, mail server mora osigurati komunikaciju na najmanje TCP portu 25 (SMTP) i UDP portu 53 (DNS). Ostali portovi koji mogu biti potrebni Exchange Serveru u zavisnosti od vaše mrežne konfiguracije (svi TCP):

80 HTTP - za pristup web sučelju (OWA)

· 88 Kerberos protokol autentikacije - ako se koristi Kerberos autentifikacija (rijetko);

· 102 MTA .X .400 konektor preko TCP/IP (ako se X .400 konektor koristi za komunikaciju između grupa rutiranja);

· 110 Post Office Protocol 3 (POP 3) - za pristup klijentu;

· 119 Network News Transfer Protocol (NNTP) - ako se koriste novinske grupe;

· 135 komunikacija klijent/server RPC Exchange administracija - standardni RPC port za udaljenu administraciju Exchange koristeći standardne alate System Manager;

· 143 Internet Message Access Protocol (IMAP) - za pristup korisnika;

· 389 LDAP - za pristup servisu imenika;

· 443 HTTP (Sloj sigurnih utičnica (SSL)) (i ispod) - isti protokoli zaštićeni SSL-om.

563 NNTP (SSL)

636 LDAP (SSL)

993 IMAP4 (SSL)

995 POP3 (SSL)

· 3268 i 3269 - zahtjevi prema serveru globalnog kataloga (pretraga u Active Directory-u i provjera članstva u univerzalnim grupama).

Nema smisla zatvarati sučelje Exchange Servera okrenutog unutar organizacije zaštitnim zidom – koristit će se za interakciju s kontrolerima domena, administrativnim uslužnim programima, sistemima za sigurnosnu kopiju itd. Za sučelje izloženo Internetu, preporučljivo je ostaviti portove 53 (ako će Exchange sam rješavati imena hosta, a ne prosljeđivati ​​zahtjeve lokalnom DNS serveru) i 25. Vrlo često klijenti moraju pristupiti svojim poštanskim sandučićima izvana (od kuće). , tokom putovanja i sl.). Najbolje rešenje u ovoj situaciji je da konfigurišete OWA (web interfejs za pristup Exchange serveru, koji je podrazumevano instaliran, dostupan na http://server_name/exchange) da radi preko SSL-a i dozvoli pristup samo na portu 443. Pored rješavanje problema sa sigurnom autentifikacijom i enkripcijom poruka automatski rješava problem sa SMTP Relayom (više o tome kasnije) i situaciju kada korisnik slučajno preuzme radnu e-poštu u foldere e-mail klijenta na kućnom računaru, a zatim ne može pronaći ove poruke na poslu (da ne spominjemo da je čuvanje radne pošte kod kuće kršenje sigurnosti).

Nova funkcija predstavljena u Exchange Serveru. od verzije 2000, mogućnost korištenja više virtualnih SMTP i POP3 servera sa različitim sigurnosnim postavkama. Na primjer, SMTP server koji komunicira s Internetom može se konfigurirati za poboljšanu sigurnost i stroga ograničenja isporuke, dok se SMTP server koji korisnici unutar organizacije koriste može konfigurirati za maksimalne performanse i prilagođenost korisnicima.

Takođe je potrebno spomenuti određenu zbrku u terminologiji – vrlo često se firewall za Exchange nazivaju sistemi za filtriranje poruka, o čemu će biti riječi u nastavku.