Dal Wiki di Rosalab
Scopo
Questo manuale descrive come connettere vari client di posta elettronica al server Microsoft Exchange. L'obiettivo è ottenere un sistema che sia funzionalmente equivalente a Microsoft Outlook.
Dati in ingresso
Gli esempi utilizzano il server Microsoft Exchange 2010 (v14.03.0361.001) Service Pack 3 Update RollUp 18. Il test viene eseguito all'interno della rete aziendale. I server DNS specificano gli indirizzi di posta esterni per il server di posta. Il server Exchange dovrebbe eseguire:
- OWA (Outlook Web Access) - client Web per l'accesso al server della community di Microsoft Exchange
- OAB (rubrica offline) - rubrica offline
- EWS (Exchange Web Services): un servizio che fornisce l'accesso ai dati delle cassette postali archiviati in Exchange Online (come parte di Office 365) e Exchange locale (a partire da Exchange Server 2007)
Impostazioni del server di scambio
L'autenticazione è fondamentale per il corretto funzionamento dei client non Microsoft su Exchange 2010. È possibile visualizzare i suoi parametri sul server Exchange con il ruolo CAS (Client Access Server). Avvia lo snap-in Gestione IIS e apri la scheda Siti/Sito Web predefinito. Notare l'autenticazione in tre componenti:
- OWA - Stato" Acceso" per " Autenticazione di base" E " Autenticazione di Windows»:
- OAB - Stato " Acceso" per " Autenticazione di base" E " Autenticazione di Windows»:
- EWS - Stato " Acceso" per " Autenticazione anonima», « Autenticazione di base" E " Autenticazione di Windows»:
Layer (intermediari) e utilità ausiliarie
DavMail
Alcuni client di posta elettronica non possono connettersi direttamente a Microsoft Exchange e richiedono l'utilizzo di un intermediario. In questo esempio, un server proxy viene utilizzato come intermediario DavMail.
- Installare DavMail, ottenendo i diritti di amministratore con su o sudo:
- Correre DavMail:
- Nella scheda "Principale" in " URL OWA (scambio).» inserisci l'indirizzo del tuo server nel formato «https://
/EWS/Exchange.asmx" o un collegamento a OWA
nel formato "https://
- Ricorda i numeri di porta Porta IMAP locale" E " Porta SMTP locale". In questo esempio, questi sono rispettivamente 1143 e 1025.
Per non avviare manualmente il server ogni volta DavMail, devi aggiungere la sua chiamata per caricare automaticamente.
- Vai al menù" Impostazioni di sistema → Avvio e spegnimento → Avvio automatico", premi il [ Aggiungi applicazione] e digita "davmail" nella barra di ricerca, quindi premi [ ok]:
Ora proxy locale DavMail si avvierà automaticamente all'avvio del sistema. Se la sua icona nella barra delle applicazioni ti infastidisce, c'è un'opportunità per nasconderla. Per fare ciò, modifica la riga davmail.server=false nel file .davmail.properties, cambiando false in true:
sudo mcedit /home/<имя_пользователя>/.proprietà.davmail
Client di posta elettronica per la connessione a Exchange
Ora puoi iniziare a configurare i client di posta.
Thunderbird
Mozilla Thunderbirdè il principale client di posta per le distribuzioni ROSA Linux ed è molto probabilmente già installato sul tuo sistema e pronto per l'uso. In caso contrario, può essere installato dai repository ROSA. Questo esempio utilizza la versione 52.2.1.
- Installare Thunderbird:
- Aggiungi un'interfaccia in lingua russa:
- Installa il componente aggiuntivo lightning che ti consente di utilizzare i calendari:
- Correre Thunderbird.
- Nella sezione " Conti"al passo" Creare un account" Selezionare " E-mail". Apparirà una finestra di benvenuto.
- Nella finestra che si apre, fare clic su [ Salta questo e usa la mia posta esistente].
- Nella finestra " Configurazione di un account di posta» entra nei campi « il tuo nome», « Indirizzo e-mail posta" E " Parola d'ordine» le tue credenziali.
- Stampa [ Procedere]. Il programma proverà a trovare le connessioni (senza successo) e verrà visualizzato un messaggio di errore:
Qui avrai bisogno dei numeri di porta che ricordi durante la configurazione DavMail.
- Per le categorie " in arrivo" E " estroverso' cambia il nome del server in 'localhost'.
- Specificare per " IMAP" porta 1143, e per " SMTP"- porta 1025.
- In campo" Nome utente» Specificare UPN (User Principal Name) - il nome di dominio dell'utente nel formato "[email protected]".
- Clicca sul [ Riprova].
Se inserisci le credenziali corrette, non ci saranno errori. Il sistema potrebbe richiedere di accettare il certificato del server Exchange. Se ciò non accade, potresti aver disattivato l'interfaccia troppo presto. DavMail.
Crea un calendario utente
- Nella categoria " Conti" Selezionare " Crea un nuovo calendario».
- Nella finestra che appare, seleziona il valore " in linea" e premi [ Ulteriore].
- Scegli il formato " CalDAV" e nel campo " L'indirizzo» inserisci "http://localhost:1080/users/
/calendario":
Crea una rubrica
La rubrica Thunderbird non supporta il protocollo CardDAV e può essere connesso solo a una directory LDAP di Exchange Server.
- Aprire le rubriche esistenti facendo clic su [ La rubrica] e selezionando “ File -> Nuovo -> Directory LDAP».
- Nella finestra della procedura guidata, specificare le seguenti opzioni:
- Nome- qualsiasi nome adatto
- Nome del server- host locale
- Elemento radice (DN di base)-ou=persone
- Porta- 1389 (da Davmail)
- Nome utente (bind DN)- Nome utente UPN
- Stampa [ ok]. Il programma ti chiederà di inserire una password.
- Vai al menu delle opzioni Thunderbird. Nella categoria " Redazione» seleziona la scheda « Indirizzamento” e sotto il testo “Quando inserisci un indirizzo, cerca gli indirizzi postali adatti in” seleziona la casella “ server di directory” selezionando il nome della tua rubrica.
Evoluzione
Un client di posta è disponibile anche nei repository ROSA Evoluzione(in questo esempio viene utilizzata la versione 3.16.4).
- Installare Evoluzione:
- Installare il connettore Scambio, compatibile con la versione 2007 e successive:
- Correre Evoluzione.
- Nella finestra della procedura guidata, fare clic su [ Prossimo] finché non si passa alla scheda " Account».
- Compila i campi " Nome e cognome" E " E-mail».
- Nella scheda " Ricezione della posta" nella lista " Tipo di server» Selezionare Servizi Web Exchange.
- Specificare il nome UPN dell'utente nel formato "Nome [email protected]" come nome.
- In campo" URL host» inserisci "https://ExchangeMailServerName/EWS/Exchange.asmx .
- In campo" URL della Rubrica offline» inserire l'URL della rubrica offline.
- Seleziona "Base" come tipo di autenticazione.
Una volta completata la configurazione, il programma chiederà una password:
Dopo aver inserito la password Evoluzione accedi alla tua casella di posta, alla rubrica e ai calendari.
Per qualsiasi domanda relativa a questo articolo, si prega di contattare [email protetta]
Se stai cercando di aggiungere il tuo account Outlook.com a un'altra applicazione di posta elettronica, potresti aver bisogno delle impostazioni POP, IMAP o SMTP per Outlook.com. Puoi trovarli di seguito o seguire il collegamento Configurazione POP e IMAP su Outlook.com.
Se desideri aggiungere il tuo account Outlook.com a un dispositivo smart, come una videocamera di sicurezza domestica, avrai bisogno di una password per l'app. Per ulteriori informazioni, vedere Aggiungere il proprio account Outlook.com a un'altra app di posta elettronica o dispositivo smart.
Impostazioni POP, IMAP e SMTP per Outlook.com
Se desideri aggiungere il tuo account Outlook.com a un altro programma di posta elettronica che supporta POP o IMAP, utilizza le seguenti impostazioni del server.
Appunti:
Nome del server IMAP Outlook.Office365.com
Porta IMAP: 993
Metodo di crittografia IMAP TLS
Outlook.office365.com Nome del server POP
Porta POP: 995
Metodo di crittografia POP TLS
Nome del server SMTP smtp.office365.com
Porta SMTP: 587
Metodo di crittografia SMTP STARTTLS
Attiva l'accesso POP in Outlook.com
Se desideri accedere alla posta in Outlook.com utilizzando il protocollo POP, dovrai attivarlo.
Modifica le impostazioni del provider di posta
Se stai tentando di connettere un altro account a Outlook.com utilizzando il protocollo POP, potrebbe essere necessario modificare alcune impostazioni del provider di posta elettronica per stabilire una connessione che potrebbe essere stata bloccata.
Per gli account Gmail con accesso POP, .
Per gli account Yahoo con accesso POP, segui i passaggi seguenti.
Se stai utilizzando altri provider di posta elettronica, dovresti contattarli per istruzioni su come sbloccare la connessione.
Errori di connessione IMAP di Outlook.com
Se hai impostato il tuo account Outlook.com come IMAP in più client di posta elettronica, potresti ricevere un messaggio di errore di connessione. Stiamo lavorando a una soluzione e aggiorneremo questo articolo se abbiamo maggiori informazioni. Per ora, prova la seguente soluzione:
Se utilizzi Outlook.com per accedere a un account che utilizza un dominio diverso da @live. com, @hotmail. com o @outlook. it, non potrai sincronizzare gli account utilizzando IMAP. Per risolvere questo problema, rimuovere l'account IMAP connesso in Outlook.com e riconfigurarlo come una connessione POP. Per istruzioni su come riconfigurare il tuo account per utilizzare POP, contatta il provider del tuo account e-mail.
Se stai utilizzando un account GoDaddy, segui queste istruzioni per modificare le impostazioni del tuo account GoDaddy per utilizzare una connessione POP. Se l'utilizzo del protocollo POP non ha risolto il problema, oppure è necessario abilitare il protocollo IMAP (disabilitato di default), è necessario contattare il servizio
In questo articolo impareremo come configurare le porte RPC statiche per i servizi Accesso client RPC, Rubrica di Exchange e Accesso alle cartelle pubbliche in Exchange 2010.
Immaginiamo di avere un'organizzazione complessa che esegue Exchange Server 2010 SP1 (o versioni successive) che dispone anche di . I server CAS si trovano generalmente su una rete separata da firewall dalle reti a cui gli utenti dovrebbero accedere (reti Outlook). Il client Outlook si connette al server CAS tramite RPC, il che significa che qualsiasi porta dell'intervallo libero di porte può essere utilizzata a livello di rete. Non è un segreto che in Windows Server 2008 e 2008 R2, l'intervallo 49152-65535 viene utilizzato come intervallo di porte dinamiche per le connessioni RPC (nelle versioni precedenti di Windows Server, venivano utilizzate porte RPC nell'intervallo 1025-65535).
Per evitare che i firewall diventino un "setaccio", è opportuno restringere l'intervallo di porte RPC utilizzate, idealmente rendendole statiche su ciascun server Accesso client nell'array Accesso client. Inoltre, l'uso di porte RPC statiche consente di ridurre il consumo di memoria sui sistemi di bilanciamento del carico (in particolare HLB) e semplificarne la configurazione (non è necessario specificare intervalli di porte di grandi dimensioni).
In Exchange 2010, il servizio Accesso client RPC e il servizio Rubrica di Exchange possono essere impostati su porte statiche. Outlook comunica con questi servizi tramite l'interfaccia MAPI.
Porta statica per il servizio Accesso client RPC di Exchange 2010
Il servizio virtuale Accesso client RPC di Exchange 2010 è associato al servizio Accesso client RPC a cui si connettono i client MAPI di Outlook in Exchange 2010. Quando un client Outlook si connette a Exchange, su un server Accesso client di Exchange 2010, il servizio Accesso client RPC utilizza la porta TCP End Point Mapper (TCP/135) e una porta casuale dall'intervallo di porte dinamiche RPC (6005-59530) per l'ingresso connessioni
Per impostare una porta statica per il servizio Accesso client RPC in Exchange 2010, è necessario aprire la sezione nell'editor del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC
Crea una nuova chiave denominata ParametriSistema, all'interno del quale creare un parametro di tipo REG_DWORD Con nome Porta TCP/IP. L'impostazione Porta TCP/IP specifica una porta statica per il servizio Accesso client RPC. La documentazione Microsoft consiglia di scegliere una porta nell'intervallo 59531 - 60554 e di utilizzare questo valore su tutti i server CAS (abbiamo specificato la porta 59532, ovviamente, non dovrebbe essere utilizzata da nessun altro software).
Dopo le assegnazioni di porte statiche, è necessario riavviare il servizio Accesso client RPC di Microsoft Exchange affinché le modifiche abbiano l'effetto.
Servizio di riavvio MSExchangeRPC
Porta statica per il servizio Rubrica di Exchange 2010
Prima di SP1, Exchange 2010 utilizzava un file di configurazione speciale per impostare la porta statica del servizio Rubrica di Exchange 2010 Microsoft.exchange.addressbook.service.exe.config. Dopo il rilascio di Exchange 2010 SP1, è possibile impostare la porta statica di questo servizio tramite il registro. Per fare ciò, apri l'editor del registro e vai al ramo:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters
Crea un nuovo parametro RpcTcpPort(di tipo REG_SZ) e assegnargli il numero di porta che desideri correggere per il servizio Rubrica di Exchange. Si consiglia di utilizzare qualsiasi porta libera nell'intervallo 59531-60554 e quindi utilizzarla su tutti i server Accesso client di Exchange 2010 nel dominio. Imposteremo RpcTcpPort=59533
Successivamente, è necessario riavviare il servizio Rubrica di Microsoft Exchange
Servizio di riavvio MSExchangeAB
Importante: Quando si esegue la migrazione da Exchange 2010 RTM a SP1, questa chiave deve essere impostata manualmente, non viene ereditata automaticamente.
Configurazione di una porta statica per la connessione a cartelle condivise
È possibile accedere alle cartelle pubbliche da un client Outlook direttamente tramite il servizio Accesso client RPC su un server con il ruolo Cassetta postale. Questa impostazione deve essere eseguita su tutti i server con il ruolo Cassetta postale che contengono un database di cartelle pubbliche (simile ai server CAS). Apri l'editor del registro e vai al ramo
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC
Crea una nuova chiave denominata ParametriSistema, all'interno del quale creare un parametro di tipo REG_DWORD denominato Porta TCP/IP. Imposta il suo valore: Porta TCP/IP = 59532.
Dopo aver impostato la porta delle cartelle pubbliche in modo statico, è necessario riavviare il servizio Accesso client RPC di Microsoft Exchange su ciascun server di cassette postali.
Verifica l'utilizzo della porta statica tra Outlook ed Exchange 2010
Dopo aver apportato le modifiche, verifica che Outlook si connetta alle porte RPC statiche specificate. A tale scopo, riavvia Outlook sul computer client, quindi esegui il comando seguente al prompt dei comandi:
Netstat -na
Applicabile a: Exchange Server 2010 SP1
Ultima modifica della sezione: 2011-04-22
Questa sezione fornisce informazioni su porte, autenticazione e crittografia per tutti i percorsi di dati utilizzati in Microsoft Exchange Server 2010. La sezione "Note" dopo ogni tabella chiarisce o definisce metodi di crittografia o autenticazione non standard.
Server di trasporto
In Exchange 2010 sono disponibili due ruoli del server che eseguono funzioni di trasporto dei messaggi: un server Trasporto Hub e un server Trasporto Edge.
La tabella seguente fornisce informazioni su porte, autenticazione e crittografia del percorso dati tra questi server di trasporto e altri server e servizi di Exchange 2010.
Percorsi dati per server di trasporto
Percorso dati | Porte richieste | Supporto per la crittografia | |||
---|---|---|---|---|---|
Tra due server Trasporto Hub |
Sì, con TLS (Transport Layer Security) |
||||
Da un server Trasporto Hub a un server Trasporto Edge |
fiducia diretta |
fiducia diretta |
Sì, utilizzando TLS |
||
Da un server Trasporto Edge a un server Trasporto Hub |
fiducia diretta |
fiducia diretta |
Sì, utilizzando TLS |
||
Tra due server Trasporto Edge |
Anonimo, autenticazione del certificato |
Anonimo, con certificato |
Sì, utilizzando TLS |
||
Da un server Cassette postali tramite il servizio di invio della posta di Microsoft Exchange |
NTLM. Se il ruolo del server Trasporto Hub e il ruolo del server Cassette postali sono in esecuzione sullo stesso server, viene utilizzato il protocollo Kerberos. |
Sì, utilizzando la crittografia RPC |
|||
Da un server Trasporto Hub a un server Cassette postali tramite MAPI |
NTLM. Se il ruolo del server Trasporto Hub e il ruolo del server Cassette postali sono installati sullo stesso server, viene utilizzato il protocollo Kerberos. |
Sì, utilizzando la crittografia RPC |
|||
Sì, utilizzando TLS |
|||||
Servizio Microsoft Exchange EdgeSync da un server Trasporto Hub a un server Trasporto Edge |
Sì, utilizzando LDAP su SSL (LDAPS) |
||||
Accedi ad Active Directory da un server Trasporto Hub |
|||||
Accesso al servizio di gestione dei diritti di Active Directory (AD RMS) da un server Trasporto Hub |
Sì, con SSL |
||||
Client SMTP a un server Trasporto Hub (ad esempio, utenti finali che utilizzano Windows Live Mail) |
Sì, utilizzando TLS |
Note per i server di trasporto
- Tutto il traffico tra i server Trasporto Hub viene crittografato utilizzando Transport Layer Security (TLS) e i certificati autofirmati installati dal programma di installazione di Exchange 2010.
- Tutto il traffico tra i server Trasporto Edge e Trasporto Hub viene autenticato e crittografato. Il TLS reciproco viene utilizzato come meccanismo di autenticazione e crittografia. Invece della convalida X.509, utilizza Exchange 2010 fiducia diretta. Attendibilità diretta significa che la presenza di un certificato in Active Directory Services o Active Directory Lightweight Directory Services (AD LDS) verifica l'autenticità del certificato. Il servizio directory di Active Directory è considerato un meccanismo di archiviazione attendibile. Quando viene utilizzato il trust diretto, non importa se viene utilizzato un certificato autofirmato o un certificato firmato da una CA. Quando un server Trasporto Edge si iscrive a un'organizzazione di Exchange, la sottoscrizione Edge pubblica il certificato del server Trasporto Edge nel servizio directory di Active Directory in modo che i server Trasporto Hub possano verificarlo. Il servizio Microsoft Exchange EdgeSync aggiunge un set di certificati del server Trasporto Hub a Active Directory Lightweight Directory Services (AD LDS) in modo che il server Trasporto Edge possa convalidarli.
- EdgeSync utilizza una connessione LDAP protetta da un server Trasporto Hub ai server Trasporto Edge sottoscritti sulla porta TCP 50636. Active Directory Lightweight Directory Services è in ascolto anche sulla porta TCP 50389. Le connessioni a questa porta non utilizzano SSL. È possibile utilizzare le utilità LDAP per connettersi a questa porta e controllare i dati di AD LDS.
- Per impostazione predefinita, il traffico tra i server Trasporto Edge ubicati in due organizzazioni diverse è crittografato. Il programma di installazione di Exchange 2010 crea un certificato autofirmato e abilita TLS per impostazione predefinita. Ciò consente a qualsiasi sistema di invio di crittografare una sessione SMTP in entrata su Exchange. Per impostazione predefinita, Exchange 2010 tenta anche di utilizzare TLS per tutte le connessioni remote.
- I metodi di autenticazione per il traffico tra i server Trasporto Hub e Cassette postali sono diversi quando i ruoli del server Trasporto Hub e Cassette postali sono installati sullo stesso computer. Il trasferimento di posta locale utilizza l'autenticazione Kerberos. Il trasferimento di posta remoto utilizza l'autenticazione NTLM.
- Exchange 2010 supporta anche la sicurezza del dominio. Domain Security è un insieme di funzionalità di Exchange 2010 e Microsoft Outlook 2010 che forniscono un'alternativa a basso costo a S/MIME e altre soluzioni di sicurezza della messaggistica Internet. La sicurezza del dominio fornisce un modo per gestire percorsi di comunicazione protetti tra i domini su Internet. Una volta configurati questi percorsi protetti, i messaggi inviati correttamente tramite essi da un mittente autenticato vengono visualizzati agli utenti di Outlook e Outlook Web Access come messaggi "protetti a livello di dominio". Per ulteriori informazioni, vedere Panoramica sulla sicurezza del dominio.
- Molti agenti possono essere eseguiti sia sui server Trasporto Hub che sui server Trasporto Edge. In genere, gli agenti anti-spam utilizzano le informazioni dal computer locale su cui vengono eseguiti. Pertanto, l'interazione con i computer remoti non è praticamente necessaria. L'eccezione è il filtro dei destinatari. Il filtraggio dei destinatari richiede una chiamata AD LDS o Active Directory. Si consiglia di eseguire il filtraggio dei destinatari su un server Trasporto Edge. In questo caso, la directory AD LDS si trova sullo stesso computer in cui è installato il ruolo del server Trasporto Edge, quindi non è richiesta alcuna connessione remota. Se il filtro dei destinatari è installato e configurato su un server Trasporto Hub, è necessario disporre dell'accesso al servizio directory di Active Directory.
- L'agente di analisi del protocollo viene utilizzato dalla funzionalità di reputazione mittente in Exchange 2010. Questo agente si connette anche a vari server proxy esterni per determinare i percorsi dei messaggi in entrata per le connessioni sospette.
- Tutte le altre funzionalità anti-spam utilizzano dati raccolti, archiviati e disponibili solo sul computer locale. In genere, i dati come l'elenco di mittenti attendibili combinati oi dati dei destinatari per il filtro dei destinatari vengono inviati alla directory AD LDS locale tramite il servizio Microsoft Exchange EdgeSync.
- Gli agenti Information Rights Management (IRM) sui server Trasporto Hub si connettono ai server Active Directory Rights Management Services (AD RMS) nell'organizzazione. Active Directory Rights Management Service (AD RMS) è un servizio Web che consigliamo di proteggere con SSL. Le connessioni ai server AD RMS vengono effettuate tramite HTTPS e vengono autenticate tramite Kerberos o NTLM, a seconda della configurazione del server AD RMS.
- Le regole di registro, le regole di trasporto e le regole di classificazione dei messaggi sono archiviate in Active Directory e vi accedono l'agente di registrazione e l'agente delle regole di trasporto sui server Trasporto Hub.
Server di cassette postali
Nei server Cassette postali, l'utilizzo dell'autenticazione NTLM o Kerberos dipende dal contesto utente o dal processo in cui è in esecuzione il consumer del livello di logica aziendale di Exchange. In questo contesto, i consumatori sono applicazioni o processi che utilizzano il livello della logica aziendale di Exchange. Di conseguenza, nella colonna Autenticazione predefinita tavoli Percorsi dati per i server Cassette postali molte righe hanno un valore NTLM/Kerberos.
Il livello della logica aziendale di Exchange viene utilizzato per accedere e interagire con l'archivio di Exchange. Il livello della logica aziendale di Exchange viene anche chiamato dall'archivio di Exchange per interagire con applicazioni e processi esterni.
Quando un consumer del livello di logica aziendale di Exchange viene eseguito nel contesto del sistema locale, il metodo di autenticazione del consumer per l'accesso all'archivio di Exchange è sempre Kerberos. Il metodo di autenticazione Kerberos viene utilizzato perché il destinatario deve essere autenticato utilizzando l'account del computer "Sistema locale" e richiede un trust bidirezionale con l'autenticazione.
Se il destinatario del livello di logica aziendale di Exchange non è in esecuzione nel contesto del sistema locale, il metodo di autenticazione è NTLM. Ad esempio, quando un amministratore esegue un cmdlet di Exchange Management Shell che utilizza il livello della logica aziendale di Exchange, viene utilizzata l'autenticazione NTLM.
Il traffico RPC è sempre crittografato.
La tabella seguente fornisce informazioni su porte, autenticazione e crittografia del percorso dati per i server Cassette postali.
Percorsi dati per i server Cassette postali
Percorso dati Porte richieste Autenticazione predefinita Metodo di autenticazione supportato Supporto per la crittografia Crittografia dei dati per impostazione predefinita 389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (Accesso rete RPC)
Sì, utilizzando la crittografia Kerberos
Accesso remoto amministrativo (registro remoto)
Sì, utilizzando IPsec
Accesso remoto amministrativo (SMB, file)
Sì, utilizzando IPsec
Servizio Web di disponibilità (Accesso alla cassetta postale del cliente)
Sì, utilizzando la crittografia RPC
Raggruppamento
Sì, utilizzando la crittografia RPC
Tra server Accesso client (Exchange ActiveSync)
80/TCP, 443/TCP (SSL)
Kerberos, autenticazione del certificato
Sì, utilizzando HTTPS
Sì, utilizzando un certificato autofirmato
Tra server Accesso client (Accesso Web Outlook)
80/TCP, 443/TCP (HTTPS)
Sì, con SSL
Da server di accesso client a server di accesso client (servizi Web Exchange)
Sì, con SSL
Da server di accesso client a server di accesso client (POP3)
Sì, con SSL
Da server di accesso client a server di accesso client (IMAP4)
Sì, con SSL
Da Office Communications Server a server Accesso client (quando è abilitata l'integrazione di Office Communications Server e Outlook Web App)
5075-5077/TCP (IN), 5061/TCP (OUT)
mTLS (richiesto)
mTLS (richiesto)
Sì, con SSL
Note per i server Accesso client
Server di messaggistica unificata
I gateway IP e i PBX IP supportano solo l'autenticazione del certificato, che utilizza l'autenticazione TLS reciproca per crittografare il traffico SIP e l'autenticazione basata sull'indirizzo IP per le connessioni SIP o TCP. I gateway IP non supportano l'autenticazione NTLM e Kerberos. Pertanto, quando si utilizza l'autenticazione basata sull'indirizzo IP, gli indirizzi IP di connessione vengono utilizzati come meccanismo di autenticazione per le connessioni non crittografate (TCP). Quando viene utilizzata nella messaggistica unificata, l'autenticazione basata su IP verifica se l'indirizzo IP specificato può connettersi. L'indirizzo IP è configurato sul gateway IP o IP PBX.
I gateway IP e i PBX IP supportano il TLS reciproco per crittografare il traffico SIP. Dopo aver importato ed esportato correttamente i certificati attendibili necessari, il gateway IP o l'IP PBX richiederà un certificato dal server di messaggistica unificata e quindi richiederà un certificato dal gateway IP o dall'IP PBX. Lo scambio di certificati attendibili tra il gateway IP o IP PBX e il server di messaggistica unificata consente a entrambi i dispositivi di comunicare in modo sicuro tramite TLS reciproco.
La tabella seguente fornisce informazioni su porta, autenticazione e crittografia per i percorsi dei dati tra i server Messaggistica unificata e altri server.
Percorsi dei dati per i server di messaggistica unificata
Percorso dati Porte richieste Autenticazione predefinita Metodo di autenticazione supportato Supporto per la crittografia Crittografia dei dati per impostazione predefinita Accesso ad Active Directory
389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (Accesso rete RPC)
Sì, utilizzando la crittografia Kerberos
Chiamata in ingresso di messaggistica unificata (IP PBX/Gateway VoIP)
5060/TCP, 5065/TCP, 5067/TCP (in modalità non protetta), 5061/TCP, 5066/TCP, 5068/TCP (in modalità protetta), intervallo di porte dinamiche 16000-17000/TCP (gestione), UDP dinamico porte della gamma 1024-65535/UDP (RTP)
Per indirizzo IP
Per indirizzo IP, MTLS
Sì, utilizzando SIP/TLS, SRTP
Servizio Web di messaggistica unificata
80/TCP, 443/TCP (SSL)
Autenticazione Windows integrata (negoziazione)
Sì, con SSL
Da un server di messaggistica unificata a un server Accesso client
5075, 5076, 5077 (TCP)
Autenticazione Windows integrata (negoziazione)
Base, Digest, NTLM, Negozia (Kerberos)
Sì, con SSL
Server di messaggistica unificata a server di accesso client (riproduzione su telefono)
RPC dinamico
Sì, utilizzando la crittografia RPC
Da un server di messaggistica unificata a un server Trasporto Hub
Sì, utilizzando TLS
Da un server di messaggistica unificata a un server Cassette postali
Sì, utilizzando la crittografia RPC
Note per i server di messaggistica unificata
- Quando si crea un oggetto gateway IP di messaggistica unificata in Active Directory, è necessario definire l'indirizzo IP del gateway IP fisico o del PBX IP. Quando si determina l'indirizzo IP dell'oggetto gateway IP di messaggistica unificata, l'indirizzo IP viene aggiunto all'elenco di gateway IP o PBX IP consentiti (noti anche come partecipanti alla sessione SIP) con cui il server di messaggistica unificata può comunicare. Dopo aver creato un gateway IP di messaggistica unificata, è possibile associarlo a un dial plan di messaggistica unificata. Il mapping di un gateway IP di messaggistica unificata a un dial plan consente ai server di messaggistica unificata associati a un dial plan di utilizzare l'autenticazione basata sull'indirizzo IP per comunicare con il gateway IP. Se il gateway IP di messaggistica unificata non è stato creato o configurato per utilizzare l'indirizzo IP corretto, l'autenticazione avrà esito negativo ei server di messaggistica unificata non accetteranno connessioni dall'indirizzo IP di quel gateway IP. Inoltre, se si implementa il TLS reciproco, un gateway IP o un IP PBX e server di messaggistica unificata, il gateway IP di messaggistica unificata deve essere configurato per utilizzare un nome di dominio completo (FQDN). Dopo aver configurato un gateway IP di messaggistica unificata utilizzando l'FQDN, è necessario aggiungere anche un record host per il gateway alla zona di ricerca DNS in avanti.
- In Exchange 2010, il server Messaggistica unificata può comunicare sulla porta 5060/TCP (non protetta) o sulla porta 5061/TCP (sicura) e può essere configurato per utilizzare entrambe le porte.
Per ulteriori informazioni, vedere Informazioni sulla sicurezza VoIP di messaggistica unificata e Informazioni su protocolli, porte e servizi nella messaggistica unificata.
Regole di Windows Firewall create dall'installazione di Exchange 2010
Windows Firewall con protezione avanzata è un firewall basato su computer con stato che filtra il traffico in entrata e in uscita in base alle regole del firewall. Il programma di installazione di Exchange 2010 crea regole di Windows Firewall per aprire le porte necessarie per la comunicazione tra server e client in ogni ruolo del server. Pertanto, non è più necessario utilizzare SCW per configurare queste impostazioni. Per ulteriori informazioni su Windows Firewall con sicurezza avanzata, vedere Windows Firewall con sicurezza avanzata e IPsec.
Nella tabella seguente sono elencate le regole di Windows Firewall generate dal programma di installazione di Exchange, incluse le porte aperte in ogni ruolo del server. È possibile visualizzare queste regole utilizzando lo snap-in MMC di Windows Firewall con protezione avanzata.
Nome della regola Ruoli del server Porta Programma MSExchangeADTopology - RPC (TCP in entrata)
RPC dinamico
Bin\MSExchangeADTopologyService.exe
MSExchangeMonitoring - RPC (TCP in entrata)
Server Accesso client, Server Trasporto Hub, Server Trasporto Edge, Server Messaggistica unificata
RPC dinamico
Bin\Microsoft.Exchange.Management.Monitoring.exe
MSExchangeServiceHost - RPC (TCP in entrata)
RPC dinamico
Bin\Microsoft.Exchange.ServiceHost.exe
MSExchangeServiceHost - RPCEPMap (TCP in entrata)
Bin\Microsoft.Exchange.Service.Host
MSExchangeRPCEPMap (GFW) (TCP in entrata)
MSExchangeRPC (GFW) (TCP in entrata)
Server Accesso client, Server Trasporto Hub, Server Cassette postali, Server Messaggistica unificata
RPC dinamico
MSExchange - IMAP4 (GFW) (TCP in entrata)
Server di accesso client
MSExchangeIMAP4 (TCP in entrata)
Server di accesso client
ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe
MSExchange - POP3 (FGW) (TCP in entrata)
Server di accesso client
MSExchange - POP3 (TCP in entrata)
Server di accesso client
ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe
MSExchange - OWA (GFW) (TCP in entrata)
Server di accesso client
5075, 5076, 5077 (TCP)
MSExchangeOWAAppPool (TCP-in)
Server di accesso client
5075, 5076, 5077 (TCP)
inetsrv\w3wp.exe
MSExchangeAB RPC (TCP in entrata)
Server di accesso client
RPC dinamico
MSExchangeAB-RPCEPMap (TCP-in)
Server di accesso client
Bin\Microsoft.Exchange.AddressBook.Service.exe
MSExchangeAB-RpcHttp (TCP-in)
Server di accesso client
6002, 6004 (TCP)
Bin\Microsoft.Exchange.AddressBook.Service.exe
RpcHttpLBS (TCP in entrata)
Server di accesso client
RPC dinamico
System32\Svchost.exe
MSExchangeRPC - RPC (TCP in entrata)
RPC dinamico
MSExchangeRPC - PRCEPMap (TCP in entrata)
Server di accesso client, server di cassette postali
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeRPC (TCP in entrata)
Server di accesso client, server di cassette postali
Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
MSExchangeMailboxReplication (GFW) (TCP in entrata)
Server di accesso client
MSExchangeMailboxReplication (TCP in entrata)
Server di accesso client
Raccoglitore\MSExchangeMailboxReplication.exe
MSExchangeIS - RPC (TCP in entrata)
Server di cassette postali
RPC dinamico
MSExchangeIS RPCEPMap (TCP in entrata)
Server di cassette postali
MSExchangeIS (GFW) (TCP in entrata)
Server di cassette postali
6001, 6002, 6003, 6004 (TCP)
MSExchangeIS (TCP in entrata)
Server di cassette postali
MSExchangeMailboxAssistants - RPC (TCP in entrata)
Server di cassette postali
RPC dinamico
MSExchangeMailboxAssistants - RPCEPMap (TCP in entrata)
Server di cassette postali
Raccoglitore\MSExchangeMailboxAssistants.exe
MSExchangeMailSubmission - RPC (TCP in entrata)
Server di cassette postali
RPC dinamico
MSExchangeMailSubmission - RPCEPMap (TCP in entrata)
Server di cassette postali
Bin\MSExchangeMailSubmission.exe
MSExchangeMigration - RPC (TCP in entrata)
Server di cassette postali
RPC dinamico
Bin\MSExchangeMigration.exe
MSExchangeMigration - RPCEPMap (TCP in entrata)
Server di cassette postali
Bin\MSExchangeMigration.exe
MSExchangerepl - Copiatrice log (TCP in entrata)
Server di cassette postali
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC (TCP in entrata)
Server di cassette postali
RPC dinamico
Bin\MSExchangeRepl.exe
MSExchangerepl - RPC-EPMap (TCP-in)
Server di cassette postali
Bin\MSExchangeRepl.exe
MSExchangeSearch - RPC (TCP in entrata)
Server di cassette postali
RPC dinamico
Bin\Microsoft.Exchange.Search.ExSearch.exe
MSExchangeThrottling - RPC (TCP in entrata)
Server di cassette postali
RPC dinamico
Bin\MSExchangeThrottling.exe
MSExchangeThrottling - RPCEPMap (TCP in entrata)
Server di cassette postali
Bin\MSExchangeThrottling.exe
MSFTED - RPC (TCP in entrata)
Server di cassette postali
RPC dinamico
MSFTED - RCPEPMap (TCP-in)
Server di cassette postali
MSExchangeEdgeSync - RPC (TCP in entrata)
Server Trasporto Hub
RPC dinamico
MSExchangeEdgeSync RPCEPMap (TCP in entrata)
Server Trasporto Hub
Bin\Microsoft.Exchange.EdgeSyncSvc.exe
MSExchangeTransportWorker - RPC (TCP in entrata)
Server Trasporto Hub
RPC dinamico
Bin\edgetransport.exe
MSExchangeTransportWorker - RPCEPMap (TCP in entrata)
Server Trasporto Hub
Bin\edgetransport.exe
MSExchangeTransportWorker (GFW) (TCP in entrata)
Server Trasporto Hub
MSExchangeTransportWorker (TCP in entrata)
Server Trasporto Hub
Bin\edgetransport.exe
MSExchangeTransportLogSearch - RPC (TCP in entrata)
RPC dinamico
MSExchangeTransportLogSearch - RPCEPMap (TCP in entrata)
Server Trasporto Hub, Server Trasporto Edge, Server Cassette postali
Raccoglitore\MSExchangeTransportLogSearch.exe
SESWorker (GFW) (TCP-in)
Server di messaggistica unificata
SESWorker (TCP in entrata)
Server di messaggistica unificata
Messaggistica unificata\SESWorker.exe
UMService (GFW) (TCP in entrata)
Server di messaggistica unificata
UMService (TCP in entrata)
Server di messaggistica unificata
Bin\UMService.exe
UMWorkerProcess (GFW) (TCP in entrata)
Server di messaggistica unificata
5065, 5066, 5067, 5068
UMWorkerProcess (TCP in entrata)
Server di messaggistica unificata
5065, 5066, 5067, 5068
Bin\UMWorkerProcess.exe
UMWorkerProcess - RPC (TCP in entrata)
Server di messaggistica unificata
RPC dinamico
Bin\UMWorkerProcess.exe
Note sulle regole di Windows Firewall create dall'installazione di Exchange 2010
- Sui server con IIS installato, Windows apre le porte HTTP (porta 80, TCP) e HTTPS (porta 443, TCP). Il programma di installazione di Exchange 2010 non apre queste porte. Pertanto, queste porte non sono elencate nella tabella precedente.
- In Windows Server 2008 e Windows Server 2008 R2, Windows Firewall con protezione avanzata consente di specificare un processo o un servizio per il quale è aperta una porta. Questo è più sicuro perché la porta può essere utilizzata solo dal processo o dal servizio specificato nella regola. Il programma di installazione di Exchange crea regole firewall con il nome del processo specificato. In alcuni casi, per motivi di compatibilità, viene creata anche una regola aggiuntiva che non si limita a questo processo. È possibile disabilitare o rimuovere le regole senza restrizioni di processo e mantenere le regole con restrizioni di processo corrispondenti se l'ambiente di distribuzione corrente le supporta. Le regole non limitate ai processi possono essere distinte dalla parola (GFW) in nome della regola.
- Molti servizi di Exchange utilizzano le chiamate di procedura remota (RPC) per comunicare. I processi del server che utilizzano le chiamate di procedura remota si connettono al mapper dell'endpoint RPC per ottenere gli endpoint dinamici e registrarli nel database del mapper dell'endpoint. I client RPC interagiscono con RPC Endpoint Mapper per determinare gli endpoint utilizzati dal processo server. Per impostazione predefinita, RPC Endpoint Mapper è in ascolto sulla porta 135 (TCP). Quando si configura Windows Firewall per un processo che utilizza chiamate di procedura remota, il programma di installazione di Exchange 2010 crea due regole del firewall per tale processo. Una regola consente la comunicazione con il mapper dell'endpoint RPC e la seconda consente la comunicazione con un endpoint assegnato dinamicamente. Per ulteriori informazioni sulle chiamate di procedura remota, vedere l'articolo. Per ulteriori informazioni sulla creazione di regole di Windows Firewall per la chiamata di procedura remota dinamica, vedere l'articolo.
Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 179442
Firewall (firewall) per server di posta (Exchange Server), porte per server di posta, server di posta front-end e back-end, server virtuali SMTP, POP3, IMAP4
Come ogni computer connesso a Internet, il computer che ospita il server di posta deve essere protetto con un firewall. Allo stesso tempo, le opzioni per l'installazione di un server di posta in termini di configurazione di rete possono essere molto diverse:
· L'opzione più semplice consiste nell'installare un server di posta su un computer che sia anche un server proxy/firewall, quindi aprire le porte necessarie sull'interfaccia di fronte a Internet. In genere, questo schema viene utilizzato nelle piccole organizzazioni;
· Un'altra opzione consiste nell'installare un server di posta sulla rete locale e configurarlo per funzionare tramite un server proxy. Per fare ciò, puoi associare l'ip pubblico al server di posta e passarlo attraverso un proxy o utilizzare gli strumenti di mappatura delle porte sul server proxy. Molti server proxy dispongono di procedure guidate speciali o regole predefinite per l'organizzazione di tale soluzione (ad esempio, in ISA Server). Questa opzione è utilizzata nella maggior parte delle organizzazioni.
· Un'altra possibilità fondamentale è creare una DMZ e collocarvi il front-end Exchange Server (questa possibilità è comparsa dalla versione 2000) o SMTP Relay basato su un altro Exchange Server o, ad esempio, sendmail su *nix. Solitamente utilizzato nelle reti di grandi organizzazioni.
In ogni caso, il server di posta deve garantire la comunicazione almeno sulla porta TCP 25 (SMTP) e sulla porta UDP 53 (DNS). Altre porte che potrebbero essere richieste da Exchange Server a seconda della configurazione di rete (tutti TCP):
80 HTTP - per accedere all'interfaccia Web (OWA)
· 88 Protocollo di autenticazione Kerberos - se viene utilizzata l'autenticazione Kerberos (rara);
· 102 connettore MTA .X .400 su TCP /IP (se si utilizza il connettore X .400 per la comunicazione tra i gruppi di routing);
· 110 Post Office Protocol 3 (POP 3) - per l'accesso dei clienti;
· 119 Network News Transfer Protocol (NNTP) - se vengono utilizzati i newsgroup;
· 135 Comunicazione client/server Amministrazione RPC Exchange - porta RPC standard per l'amministrazione remota di Exchange utilizzando gli strumenti standard del Gestore di sistema;
· 143 Protocollo di accesso ai messaggi Internet (IMAP) - per l'accesso del cliente;
· 389 LDAP - per accedere al servizio di directory;
· 443 HTTP (Secure Sockets Layer (SSL)) (e sotto) - gli stessi protocolli protetti da SSL.
563 NNTP (SSL)
636 LDAP (SSL)
993 IMAP4 (SSL)
995 POP3 (SSL)
· 3268 e 3269: richieste al server di catalogo globale (ricerca in Active Directory e verifica dell'appartenenza a gruppi universali).
Non ha senso chiudere l'interfaccia di Exchange Server rivolta all'interno dell'organizzazione con un firewall: verrà utilizzato per interagire con controller di dominio, utilità di amministrazione, sistemi di backup, ecc. Per un'interfaccia esposta a Internet, si consiglia di lasciare le porte 53 (se Exchange risolverà i nomi host e non inoltrerà le richieste al server DNS locale) e 25. Molto spesso, i client devono accedere alle proprie caselle di posta dall'esterno (da casa , in viaggio, ecc.). La soluzione migliore in questa situazione è configurare OWA (l'interfaccia web per l'accesso a Exchange Server, installata per impostazione predefinita, disponibile all'indirizzo http://nome_server/exchange) per funzionare su SSL e consentire l'accesso solo sulla porta 443. Oltre a la risoluzione dei problemi con l'autenticazione sicura e la crittografia dei messaggi risolve automaticamente il problema con l'inoltro SMTP (ne parleremo più avanti) e la situazione in cui un utente scarica accidentalmente e-mail di lavoro nelle cartelle di un client di posta elettronica su un computer di casa e quindi non riesce a trovare questi messaggi in lavoro (per non parlare del fatto che archiviare la posta di lavoro a casa è una violazione della sicurezza).
Una nuova funzionalità introdotta in Exchange Server. dalla versione 2000, la possibilità di utilizzare più server SMTP e POP3 virtuali con diverse impostazioni di sicurezza. Ad esempio, il server SMTP che comunica con Internet può essere configurato per una maggiore sicurezza e rigide restrizioni di recapito, mentre il server SMTP utilizzato dagli utenti all'interno dell'organizzazione può essere configurato per essere il più efficiente e intuitivo possibile.
È anche necessario menzionare una certa confusione nella terminologia: molto spesso i firewall per Exchange sono chiamati sistemi di filtraggio dei messaggi, che verranno discussi di seguito.