Dal Wiki di Rosalab

Scopo

Questo manuale descrive come connettere vari client di posta elettronica al server Microsoft Exchange. L'obiettivo è ottenere un sistema che sia funzionalmente equivalente a Microsoft Outlook.

Dati in ingresso

Gli esempi utilizzano il server Microsoft Exchange 2010 (v14.03.0361.001) Service Pack 3 Update RollUp 18. Il test viene eseguito all'interno della rete aziendale. I server DNS specificano gli indirizzi di posta esterni per il server di posta. Il server Exchange dovrebbe eseguire:

1. OWA (Outlook Web Access) - client Web per l'accesso al server della community di Microsoft Exchange
2. OAB (rubrica offline) - rubrica offline
3. EWS (Exchange Web Services): un servizio che fornisce l'accesso ai dati delle cassette postali archiviati in Exchange Online (come parte di Office 365) e Exchange locale (a partire da Exchange Server 2007)

Impostazioni del server di scambio

L'autenticazione è fondamentale per il corretto funzionamento dei client non Microsoft su Exchange 2010. È possibile visualizzare i suoi parametri sul server Exchange con il ruolo CAS (Client Access Server). Avvia lo snap-in Gestione IIS e apri la scheda Siti/Sito Web predefinito. Notare l'autenticazione in tre componenti:

• OWA - Stato" Acceso" per " Autenticazione di base" E " Autenticazione di Windows»:

• OAB - Stato " Acceso" per " Autenticazione di base" E " Autenticazione di Windows»:

• EWS - Stato " Acceso" per " Autenticazione anonima», « Autenticazione di base" E " Autenticazione di Windows»:

Layer (intermediari) e utilità ausiliarie

DavMail

Alcuni client di posta elettronica non possono connettersi direttamente a Microsoft Exchange e richiedono l'utilizzo di un intermediario. In questo esempio, un server proxy viene utilizzato come intermediario DavMail.

• Installare DavMail, ottenendo i diritti di amministratore con su o sudo:

sudo urpmi davmail

• Correre DavMail:

• Nella scheda "Principale" in " URL OWA (scambio).» inserisci l'indirizzo del tuo server nel formato «https:// /EWS/Exchange.asmx" o un collegamento a OWA

nel formato "https:// /owa".

• Ricorda i numeri di porta Porta IMAP locale" E " Porta SMTP locale". In questo esempio, questi sono rispettivamente 1143 e 1025.

Per non avviare manualmente il server ogni volta DavMail, devi aggiungere la sua chiamata per caricare automaticamente.

• Vai al menù" Impostazioni di sistema → Avvio e spegnimento → Avvio automatico", premi il [ Aggiungi applicazione] e digita "davmail" nella barra di ricerca, quindi premi [ ok]:

Ora proxy locale DavMail si avvierà automaticamente all'avvio del sistema. Se la sua icona nella barra delle applicazioni ti infastidisce, c'è un'opportunità per nasconderla. Per fare ciò, modifica la riga davmail.server=false nel file .davmail.properties, cambiando false in true:

sudo mcedit /home/<имя_пользователя>/.proprietà.davmail

Client di posta elettronica per la connessione a Exchange

Ora puoi iniziare a configurare i client di posta.

Thunderbird

Mozilla Thunderbirdè il principale client di posta per le distribuzioni ROSA Linux ed è molto probabilmente già installato sul tuo sistema e pronto per l'uso. In caso contrario, può essere installato dai repository ROSA. Questo esempio utilizza la versione 52.2.1.

• Installare Thunderbird:

sudo urpmi mozilla-thunderbird

• Aggiungi un'interfaccia in lingua russa:

sudo urpmi mozilla-thunderbird-it

• Installa il componente aggiuntivo lightning che ti consente di utilizzare i calendari:

sudo urpmi mozilla-fulmine-fulmine

• Correre Thunderbird.

• Nella sezione " Conti"al passo" Creare un account" Selezionare " E-mail". Apparirà una finestra di benvenuto.

• Nella finestra che si apre, fare clic su [ Salta questo e usa la mia posta esistente].

• Nella finestra " Configurazione di un account di posta» entra nei campi « il tuo nome», « Indirizzo e-mail posta" E " Parola d'ordine» le tue credenziali.

• Stampa [ Procedere]. Il programma proverà a trovare le connessioni (senza successo) e verrà visualizzato un messaggio di errore:

Qui avrai bisogno dei numeri di porta che ricordi durante la configurazione DavMail.

• Per le categorie " in arrivo" E " estroverso' cambia il nome del server in 'localhost'.
• Specificare per " IMAP" porta 1143, e per " SMTP"- porta 1025.
• In campo" Nome utente» Specificare UPN (User Principal Name) - il nome di dominio dell'utente nel formato "[email protected]".
• Clicca sul [ Riprova].

Se inserisci le credenziali corrette, non ci saranno errori. Il sistema potrebbe richiedere di accettare il certificato del server Exchange. Se ciò non accade, potresti aver disattivato l'interfaccia troppo presto. DavMail.

Crea un calendario utente

• Nella categoria " Conti" Selezionare " Crea un nuovo calendario».
• Nella finestra che appare, seleziona il valore " in linea" e premi [ Ulteriore].
• Scegli il formato " CalDAV" e nel campo " L'indirizzo» inserisci "http://localhost:1080/users/ /calendario":

Crea una rubrica

La rubrica Thunderbird non supporta il protocollo CardDAV e può essere connesso solo a una directory LDAP di Exchange Server.

• Aprire le rubriche esistenti facendo clic su [ La rubrica] e selezionando “ File -> Nuovo -> Directory LDAP».

• Nella finestra della procedura guidata, specificare le seguenti opzioni:
  • Nome- qualsiasi nome adatto
  • Nome del server- host locale
  • Elemento radice (DN di base)-ou=persone
  • Porta- 1389 (da Davmail)
  • Nome utente (bind DN)- Nome utente UPN

• Stampa [ ok]. Il programma ti chiederà di inserire una password.

• Vai al menu delle opzioni Thunderbird. Nella categoria " Redazione» seleziona la scheda « Indirizzamento” e sotto il testo “Quando inserisci un indirizzo, cerca gli indirizzi postali adatti in” seleziona la casella “ server di directory” selezionando il nome della tua rubrica.

Evoluzione

Un client di posta è disponibile anche nei repository ROSA Evoluzione(in questo esempio viene utilizzata la versione 3.16.4).

• Installare Evoluzione:

sudo urpmi evoluzione

• Installare il connettore Scambio, compatibile con la versione 2007 e successive:

sudo urpmi evoluzione-ews

• Correre Evoluzione.

• Nella finestra della procedura guidata, fare clic su [ Prossimo] finché non si passa alla scheda " Account».
• Compila i campi " Nome e cognome" E " E-mail».
• Nella scheda " Ricezione della posta" nella lista " Tipo di server» Selezionare Servizi Web Exchange.
• Specificare il nome UPN dell'utente nel formato "Nome [email protected]" come nome.
• In campo" URL host» inserisci "https://ExchangeMailServerName/EWS/Exchange.asmx .
• In campo" URL della Rubrica offline» inserire l'URL della rubrica offline.
• Seleziona "Base" come tipo di autenticazione.

Una volta completata la configurazione, il programma chiederà una password:

Dopo aver inserito la password Evoluzione accedi alla tua casella di posta, alla rubrica e ai calendari.

Per qualsiasi domanda relativa a questo articolo, si prega di contattare [email protetta]

Se stai cercando di aggiungere il tuo account Outlook.com a un'altra applicazione di posta elettronica, potresti aver bisogno delle impostazioni POP, IMAP o SMTP per Outlook.com. Puoi trovarli di seguito o seguire il collegamento Configurazione POP e IMAP su Outlook.com.

Se desideri aggiungere il tuo account Outlook.com a un dispositivo smart, come una videocamera di sicurezza domestica, avrai bisogno di una password per l'app. Per ulteriori informazioni, vedere Aggiungere il proprio account Outlook.com a un'altra app di posta elettronica o dispositivo smart.

Impostazioni POP, IMAP e SMTP per Outlook.com

Se desideri aggiungere il tuo account Outlook.com a un altro programma di posta elettronica che supporta POP o IMAP, utilizza le seguenti impostazioni del server.

Appunti:

Nome del server IMAP Outlook.Office365.com

Porta IMAP: 993

Metodo di crittografia IMAP TLS

Outlook.office365.com Nome del server POP

Porta POP: 995

Metodo di crittografia POP TLS

Nome del server SMTP smtp.office365.com

Porta SMTP: 587

Metodo di crittografia SMTP STARTTLS

Attiva l'accesso POP in Outlook.com

Se desideri accedere alla posta in Outlook.com utilizzando il protocollo POP, dovrai attivarlo.

Modifica le impostazioni del provider di posta

Se stai tentando di connettere un altro account a Outlook.com utilizzando il protocollo POP, potrebbe essere necessario modificare alcune impostazioni del provider di posta elettronica per stabilire una connessione che potrebbe essere stata bloccata.

Per gli account Gmail con accesso POP, .

Per gli account Yahoo con accesso POP, segui i passaggi seguenti.

Se stai utilizzando altri provider di posta elettronica, dovresti contattarli per istruzioni su come sbloccare la connessione.

Errori di connessione IMAP di Outlook.com

Se hai impostato il tuo account Outlook.com come IMAP in più client di posta elettronica, potresti ricevere un messaggio di errore di connessione. Stiamo lavorando a una soluzione e aggiorneremo questo articolo se abbiamo maggiori informazioni. Per ora, prova la seguente soluzione:

Se utilizzi Outlook.com per accedere a un account che utilizza un dominio diverso da @live. com, @hotmail. com o @outlook. it, non potrai sincronizzare gli account utilizzando IMAP. Per risolvere questo problema, rimuovere l'account IMAP connesso in Outlook.com e riconfigurarlo come una connessione POP. Per istruzioni su come riconfigurare il tuo account per utilizzare POP, contatta il provider del tuo account e-mail.

Se stai utilizzando un account GoDaddy, segui queste istruzioni per modificare le impostazioni del tuo account GoDaddy per utilizzare una connessione POP. Se l'utilizzo del protocollo POP non ha risolto il problema, oppure è necessario abilitare il protocollo IMAP (disabilitato di default), è necessario contattare il servizio

In questo articolo impareremo come configurare le porte RPC statiche per i servizi Accesso client RPC, Rubrica di Exchange e Accesso alle cartelle pubbliche in Exchange 2010.

Immaginiamo di avere un'organizzazione complessa che esegue Exchange Server 2010 SP1 (o versioni successive) che dispone anche di . I server CAS si trovano generalmente su una rete separata da firewall dalle reti a cui gli utenti dovrebbero accedere (reti Outlook). Il client Outlook si connette al server CAS tramite RPC, il che significa che qualsiasi porta dell'intervallo libero di porte può essere utilizzata a livello di rete. Non è un segreto che in Windows Server 2008 e 2008 R2, l'intervallo 49152-65535 viene utilizzato come intervallo di porte dinamiche per le connessioni RPC (nelle versioni precedenti di Windows Server, venivano utilizzate porte RPC nell'intervallo 1025-65535).

Per evitare che i firewall diventino un "setaccio", è opportuno restringere l'intervallo di porte RPC utilizzate, idealmente rendendole statiche su ciascun server Accesso client nell'array Accesso client. Inoltre, l'uso di porte RPC statiche consente di ridurre il consumo di memoria sui sistemi di bilanciamento del carico (in particolare HLB) e semplificarne la configurazione (non è necessario specificare intervalli di porte di grandi dimensioni).

In Exchange 2010, il servizio Accesso client RPC e il servizio Rubrica di Exchange possono essere impostati su porte statiche. Outlook comunica con questi servizi tramite l'interfaccia MAPI.

Porta statica per il servizio Accesso client RPC di Exchange 2010

Il servizio virtuale Accesso client RPC di Exchange 2010 è associato al servizio Accesso client RPC a cui si connettono i client MAPI di Outlook in Exchange 2010. Quando un client Outlook si connette a Exchange, su un server Accesso client di Exchange 2010, il servizio Accesso client RPC utilizza la porta TCP End Point Mapper (TCP/135) e una porta casuale dall'intervallo di porte dinamiche RPC (6005-59530) per l'ingresso connessioni

Per impostare una porta statica per il servizio Accesso client RPC in Exchange 2010, è necessario aprire la sezione nell'editor del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Crea una nuova chiave denominata ParametriSistema, all'interno del quale creare un parametro di tipo REG_DWORD Con nome Porta TCP/IP. L'impostazione Porta TCP/IP specifica una porta statica per il servizio Accesso client RPC. La documentazione Microsoft consiglia di scegliere una porta nell'intervallo 59531 - 60554 e di utilizzare questo valore su tutti i server CAS (abbiamo specificato la porta 59532, ovviamente, non dovrebbe essere utilizzata da nessun altro software).

Dopo le assegnazioni di porte statiche, è necessario riavviare il servizio Accesso client RPC di Microsoft Exchange affinché le modifiche abbiano l'effetto.

Servizio di riavvio MSExchangeRPC

Porta statica per il servizio Rubrica di Exchange 2010

Prima di SP1, Exchange 2010 utilizzava un file di configurazione speciale per impostare la porta statica del servizio Rubrica di Exchange 2010 Microsoft.exchange.addressbook.service.exe.config. Dopo il rilascio di Exchange 2010 SP1, è possibile impostare la porta statica di questo servizio tramite il registro. Per fare ciò, apri l'editor del registro e vai al ramo:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeAB\Parameters

Crea un nuovo parametro RpcTcpPort(di tipo REG_SZ) e assegnargli il numero di porta che desideri correggere per il servizio Rubrica di Exchange. Si consiglia di utilizzare qualsiasi porta libera nell'intervallo 59531-60554 e quindi utilizzarla su tutti i server Accesso client di Exchange 2010 nel dominio. Imposteremo RpcTcpPort=59533

Successivamente, è necessario riavviare il servizio Rubrica di Microsoft Exchange

Servizio di riavvio MSExchangeAB

Importante: Quando si esegue la migrazione da Exchange 2010 RTM a SP1, questa chiave deve essere impostata manualmente, non viene ereditata automaticamente.

Configurazione di una porta statica per la connessione a cartelle condivise

È possibile accedere alle cartelle pubbliche da un client Outlook direttamente tramite il servizio Accesso client RPC su un server con il ruolo Cassetta postale. Questa impostazione deve essere eseguita su tutti i server con il ruolo Cassetta postale che contengono un database di cartelle pubbliche (simile ai server CAS). Apri l'editor del registro e vai al ramo

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MSExchangeRPC

Crea una nuova chiave denominata ParametriSistema, all'interno del quale creare un parametro di tipo REG_DWORD denominato Porta TCP/IP. Imposta il suo valore: Porta TCP/IP = 59532.

Dopo aver impostato la porta delle cartelle pubbliche in modo statico, è necessario riavviare il servizio Accesso client RPC di Microsoft Exchange su ciascun server di cassette postali.

Verifica l'utilizzo della porta statica tra Outlook ed Exchange 2010

Dopo aver apportato le modifiche, verifica che Outlook si connetta alle porte RPC statiche specificate. A tale scopo, riavvia Outlook sul computer client, quindi esegui il comando seguente al prompt dei comandi:

Netstat -na

Applicabile a: Exchange Server 2010 SP1

Ultima modifica della sezione: 2011-04-22

Questa sezione fornisce informazioni su porte, autenticazione e crittografia per tutti i percorsi di dati utilizzati in Microsoft Exchange Server 2010. La sezione "Note" dopo ogni tabella chiarisce o definisce metodi di crittografia o autenticazione non standard.

Server di trasporto

In Exchange 2010 sono disponibili due ruoli del server che eseguono funzioni di trasporto dei messaggi: un server Trasporto Hub e un server Trasporto Edge.

La tabella seguente fornisce informazioni su porte, autenticazione e crittografia del percorso dati tra questi server di trasporto e altri server e servizi di Exchange 2010.

Percorsi dati per server di trasporto

Percorso dati	Porte richieste			Supporto per la crittografia
Tra due server Trasporto Hub				Sì, con TLS (Transport Layer Security)
Da un server Trasporto Hub a un server Trasporto Edge		fiducia diretta	fiducia diretta	Sì, utilizzando TLS
Da un server Trasporto Edge a un server Trasporto Hub		fiducia diretta	fiducia diretta	Sì, utilizzando TLS
Tra due server Trasporto Edge		Anonimo, autenticazione del certificato	Anonimo, con certificato	Sì, utilizzando TLS
Da un server Cassette postali tramite il servizio di invio della posta di Microsoft Exchange		NTLM. Se il ruolo del server Trasporto Hub e il ruolo del server Cassette postali sono in esecuzione sullo stesso server, viene utilizzato il protocollo Kerberos.		Sì, utilizzando la crittografia RPC
Da un server Trasporto Hub a un server Cassette postali tramite MAPI		NTLM. Se il ruolo del server Trasporto Hub e il ruolo del server Cassette postali sono installati sullo stesso server, viene utilizzato il protocollo Kerberos.		Sì, utilizzando la crittografia RPC
				Sì, utilizzando TLS
Servizio Microsoft Exchange EdgeSync da un server Trasporto Hub a un server Trasporto Edge				Sì, utilizzando LDAP su SSL (LDAPS)
Accedi ad Active Directory da un server Trasporto Hub
Accesso al servizio di gestione dei diritti di Active Directory (AD RMS) da un server Trasporto Hub				Sì, con SSL
Client SMTP a un server Trasporto Hub (ad esempio, utenti finali che utilizzano Windows Live Mail)				Sì, utilizzando TLS

Note per i server di trasporto

• Tutto il traffico tra i server Trasporto Hub viene crittografato utilizzando Transport Layer Security (TLS) e i certificati autofirmati installati dal programma di installazione di Exchange 2010.
• Tutto il traffico tra i server Trasporto Edge e Trasporto Hub viene autenticato e crittografato. Il TLS reciproco viene utilizzato come meccanismo di autenticazione e crittografia. Invece della convalida X.509, utilizza Exchange 2010 fiducia diretta. Attendibilità diretta significa che la presenza di un certificato in Active Directory Services o Active Directory Lightweight Directory Services (AD LDS) verifica l'autenticità del certificato. Il servizio directory di Active Directory è considerato un meccanismo di archiviazione attendibile. Quando viene utilizzato il trust diretto, non importa se viene utilizzato un certificato autofirmato o un certificato firmato da una CA. Quando un server Trasporto Edge si iscrive a un'organizzazione di Exchange, la sottoscrizione Edge pubblica il certificato del server Trasporto Edge nel servizio directory di Active Directory in modo che i server Trasporto Hub possano verificarlo. Il servizio Microsoft Exchange EdgeSync aggiunge un set di certificati del server Trasporto Hub a Active Directory Lightweight Directory Services (AD LDS) in modo che il server Trasporto Edge possa convalidarli.
• EdgeSync utilizza una connessione LDAP protetta da un server Trasporto Hub ai server Trasporto Edge sottoscritti sulla porta TCP 50636. Active Directory Lightweight Directory Services è in ascolto anche sulla porta TCP 50389. Le connessioni a questa porta non utilizzano SSL. È possibile utilizzare le utilità LDAP per connettersi a questa porta e controllare i dati di AD LDS.
• Per impostazione predefinita, il traffico tra i server Trasporto Edge ubicati in due organizzazioni diverse è crittografato. Il programma di installazione di Exchange 2010 crea un certificato autofirmato e abilita TLS per impostazione predefinita. Ciò consente a qualsiasi sistema di invio di crittografare una sessione SMTP in entrata su Exchange. Per impostazione predefinita, Exchange 2010 tenta anche di utilizzare TLS per tutte le connessioni remote.
• I metodi di autenticazione per il traffico tra i server Trasporto Hub e Cassette postali sono diversi quando i ruoli del server Trasporto Hub e Cassette postali sono installati sullo stesso computer. Il trasferimento di posta locale utilizza l'autenticazione Kerberos. Il trasferimento di posta remoto utilizza l'autenticazione NTLM.
• Exchange 2010 supporta anche la sicurezza del dominio. Domain Security è un insieme di funzionalità di Exchange 2010 e Microsoft Outlook 2010 che forniscono un'alternativa a basso costo a S/MIME e altre soluzioni di sicurezza della messaggistica Internet. La sicurezza del dominio fornisce un modo per gestire percorsi di comunicazione protetti tra i domini su Internet. Una volta configurati questi percorsi protetti, i messaggi inviati correttamente tramite essi da un mittente autenticato vengono visualizzati agli utenti di Outlook e Outlook Web Access come messaggi "protetti a livello di dominio". Per ulteriori informazioni, vedere Panoramica sulla sicurezza del dominio.
• Molti agenti possono essere eseguiti sia sui server Trasporto Hub che sui server Trasporto Edge. In genere, gli agenti anti-spam utilizzano le informazioni dal computer locale su cui vengono eseguiti. Pertanto, l'interazione con i computer remoti non è praticamente necessaria. L'eccezione è il filtro dei destinatari. Il filtraggio dei destinatari richiede una chiamata AD LDS o Active Directory. Si consiglia di eseguire il filtraggio dei destinatari su un server Trasporto Edge. In questo caso, la directory AD LDS si trova sullo stesso computer in cui è installato il ruolo del server Trasporto Edge, quindi non è richiesta alcuna connessione remota. Se il filtro dei destinatari è installato e configurato su un server Trasporto Hub, è necessario disporre dell'accesso al servizio directory di Active Directory.
• L'agente di analisi del protocollo viene utilizzato dalla funzionalità di reputazione mittente in Exchange 2010. Questo agente si connette anche a vari server proxy esterni per determinare i percorsi dei messaggi in entrata per le connessioni sospette.
• Tutte le altre funzionalità anti-spam utilizzano dati raccolti, archiviati e disponibili solo sul computer locale. In genere, i dati come l'elenco di mittenti attendibili combinati oi dati dei destinatari per il filtro dei destinatari vengono inviati alla directory AD LDS locale tramite il servizio Microsoft Exchange EdgeSync.
• Gli agenti Information Rights Management (IRM) sui server Trasporto Hub si connettono ai server Active Directory Rights Management Services (AD RMS) nell'organizzazione. Active Directory Rights Management Service (AD RMS) è un servizio Web che consigliamo di proteggere con SSL. Le connessioni ai server AD RMS vengono effettuate tramite HTTPS e vengono autenticate tramite Kerberos o NTLM, a seconda della configurazione del server AD RMS.
• Le regole di registro, le regole di trasporto e le regole di classificazione dei messaggi sono archiviate in Active Directory e vi accedono l'agente di registrazione e l'agente delle regole di trasporto sui server Trasporto Hub.

  Server di cassette postali

  Nei server Cassette postali, l'utilizzo dell'autenticazione NTLM o Kerberos dipende dal contesto utente o dal processo in cui è in esecuzione il consumer del livello di logica aziendale di Exchange. In questo contesto, i consumatori sono applicazioni o processi che utilizzano il livello della logica aziendale di Exchange. Di conseguenza, nella colonna Autenticazione predefinita tavoli Percorsi dati per i server Cassette postali molte righe hanno un valore NTLM/Kerberos.

  Il livello della logica aziendale di Exchange viene utilizzato per accedere e interagire con l'archivio di Exchange. Il livello della logica aziendale di Exchange viene anche chiamato dall'archivio di Exchange per interagire con applicazioni e processi esterni.

  Quando un consumer del livello di logica aziendale di Exchange viene eseguito nel contesto del sistema locale, il metodo di autenticazione del consumer per l'accesso all'archivio di Exchange è sempre Kerberos. Il metodo di autenticazione Kerberos viene utilizzato perché il destinatario deve essere autenticato utilizzando l'account del computer "Sistema locale" e richiede un trust bidirezionale con l'autenticazione.

  Se il destinatario del livello di logica aziendale di Exchange non è in esecuzione nel contesto del sistema locale, il metodo di autenticazione è NTLM. Ad esempio, quando un amministratore esegue un cmdlet di Exchange Management Shell che utilizza il livello della logica aziendale di Exchange, viene utilizzata l'autenticazione NTLM.

  Il traffico RPC è sempre crittografato.

  La tabella seguente fornisce informazioni su porte, autenticazione e crittografia del percorso dati per i server Cassette postali.

  Percorsi dati per i server Cassette postali

  Percorso dati	Porte richieste	Autenticazione predefinita	Metodo di autenticazione supportato	Supporto per la crittografia	Crittografia dei dati per impostazione predefinita
  	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (Accesso rete RPC)			Sì, utilizzando la crittografia Kerberos
  Accesso remoto amministrativo (registro remoto)				Sì, utilizzando IPsec
  Accesso remoto amministrativo (SMB, file)				Sì, utilizzando IPsec
  Servizio Web di disponibilità (Accesso alla cassetta postale del cliente)				Sì, utilizzando la crittografia RPC
  Raggruppamento				Sì, utilizzando la crittografia RPC
  Tra server Accesso client (Exchange ActiveSync)	80/TCP, 443/TCP (SSL)		Kerberos, autenticazione del certificato	Sì, utilizzando HTTPS	Sì, utilizzando un certificato autofirmato
  Tra server Accesso client (Accesso Web Outlook)	80/TCP, 443/TCP (HTTPS)			Sì, con SSL
  Da server di accesso client a server di accesso client (servizi Web Exchange)				Sì, con SSL
  Da server di accesso client a server di accesso client (POP3)				Sì, con SSL
  Da server di accesso client a server di accesso client (IMAP4)				Sì, con SSL
  Da Office Communications Server a server Accesso client (quando è abilitata l'integrazione di Office Communications Server e Outlook Web App)	5075-5077/TCP (IN), 5061/TCP (OUT)	mTLS (richiesto)	mTLS (richiesto)	Sì, con SSL

  Note per i server Accesso client

  Server di messaggistica unificata

  I gateway IP e i PBX IP supportano solo l'autenticazione del certificato, che utilizza l'autenticazione TLS reciproca per crittografare il traffico SIP e l'autenticazione basata sull'indirizzo IP per le connessioni SIP o TCP. I gateway IP non supportano l'autenticazione NTLM e Kerberos. Pertanto, quando si utilizza l'autenticazione basata sull'indirizzo IP, gli indirizzi IP di connessione vengono utilizzati come meccanismo di autenticazione per le connessioni non crittografate (TCP). Quando viene utilizzata nella messaggistica unificata, l'autenticazione basata su IP verifica se l'indirizzo IP specificato può connettersi. L'indirizzo IP è configurato sul gateway IP o IP PBX.

  I gateway IP e i PBX IP supportano il TLS reciproco per crittografare il traffico SIP. Dopo aver importato ed esportato correttamente i certificati attendibili necessari, il gateway IP o l'IP PBX richiederà un certificato dal server di messaggistica unificata e quindi richiederà un certificato dal gateway IP o dall'IP PBX. Lo scambio di certificati attendibili tra il gateway IP o IP PBX e il server di messaggistica unificata consente a entrambi i dispositivi di comunicare in modo sicuro tramite TLS reciproco.

  La tabella seguente fornisce informazioni su porta, autenticazione e crittografia per i percorsi dei dati tra i server Messaggistica unificata e altri server.

  Percorsi dei dati per i server di messaggistica unificata

  Percorso dati	Porte richieste	Autenticazione predefinita	Metodo di autenticazione supportato	Supporto per la crittografia	Crittografia dei dati per impostazione predefinita
  Accesso ad Active Directory	389/TCP/UDP (LDAP), 3268/TCP (LDAP GC), 88/TCP/UDP (Kerberos), 53/TCP/UDP (DNS), 135/TCP (Accesso rete RPC)			Sì, utilizzando la crittografia Kerberos
  Chiamata in ingresso di messaggistica unificata (IP PBX/Gateway VoIP)	5060/TCP, 5065/TCP, 5067/TCP (in modalità non protetta), 5061/TCP, 5066/TCP, 5068/TCP (in modalità protetta), intervallo di porte dinamiche 16000-17000/TCP (gestione), UDP dinamico porte della gamma 1024-65535/UDP (RTP)	Per indirizzo IP	Per indirizzo IP, MTLS	Sì, utilizzando SIP/TLS, SRTP
  Servizio Web di messaggistica unificata	80/TCP, 443/TCP (SSL)	Autenticazione Windows integrata (negoziazione)		Sì, con SSL
  Da un server di messaggistica unificata a un server Accesso client	5075, 5076, 5077 (TCP)	Autenticazione Windows integrata (negoziazione)	Base, Digest, NTLM, Negozia (Kerberos)	Sì, con SSL
  Server di messaggistica unificata a server di accesso client (riproduzione su telefono)	RPC dinamico			Sì, utilizzando la crittografia RPC
  Da un server di messaggistica unificata a un server Trasporto Hub				Sì, utilizzando TLS
  Da un server di messaggistica unificata a un server Cassette postali				Sì, utilizzando la crittografia RPC

  Note per i server di messaggistica unificata

  • Quando si crea un oggetto gateway IP di messaggistica unificata in Active Directory, è necessario definire l'indirizzo IP del gateway IP fisico o del PBX IP. Quando si determina l'indirizzo IP dell'oggetto gateway IP di messaggistica unificata, l'indirizzo IP viene aggiunto all'elenco di gateway IP o PBX IP consentiti (noti anche come partecipanti alla sessione SIP) con cui il server di messaggistica unificata può comunicare. Dopo aver creato un gateway IP di messaggistica unificata, è possibile associarlo a un dial plan di messaggistica unificata. Il mapping di un gateway IP di messaggistica unificata a un dial plan consente ai server di messaggistica unificata associati a un dial plan di utilizzare l'autenticazione basata sull'indirizzo IP per comunicare con il gateway IP. Se il gateway IP di messaggistica unificata non è stato creato o configurato per utilizzare l'indirizzo IP corretto, l'autenticazione avrà esito negativo ei server di messaggistica unificata non accetteranno connessioni dall'indirizzo IP di quel gateway IP. Inoltre, se si implementa il TLS reciproco, un gateway IP o un IP PBX e server di messaggistica unificata, il gateway IP di messaggistica unificata deve essere configurato per utilizzare un nome di dominio completo (FQDN). Dopo aver configurato un gateway IP di messaggistica unificata utilizzando l'FQDN, è necessario aggiungere anche un record host per il gateway alla zona di ricerca DNS in avanti.
  • In Exchange 2010, il server Messaggistica unificata può comunicare sulla porta 5060/TCP (non protetta) o sulla porta 5061/TCP (sicura) e può essere configurato per utilizzare entrambe le porte.

  Per ulteriori informazioni, vedere Informazioni sulla sicurezza VoIP di messaggistica unificata e Informazioni su protocolli, porte e servizi nella messaggistica unificata.

  Regole di Windows Firewall create dall'installazione di Exchange 2010

  Windows Firewall con protezione avanzata è un firewall basato su computer con stato che filtra il traffico in entrata e in uscita in base alle regole del firewall. Il programma di installazione di Exchange 2010 crea regole di Windows Firewall per aprire le porte necessarie per la comunicazione tra server e client in ogni ruolo del server. Pertanto, non è più necessario utilizzare SCW per configurare queste impostazioni. Per ulteriori informazioni su Windows Firewall con sicurezza avanzata, vedere Windows Firewall con sicurezza avanzata e IPsec.

  Nella tabella seguente sono elencate le regole di Windows Firewall generate dal programma di installazione di Exchange, incluse le porte aperte in ogni ruolo del server. È possibile visualizzare queste regole utilizzando lo snap-in MMC di Windows Firewall con protezione avanzata.

  Nome della regola	Ruoli del server	Porta	Programma
  MSExchangeADTopology - RPC (TCP in entrata)		RPC dinamico	Bin\MSExchangeADTopologyService.exe
  MSExchangeMonitoring - RPC (TCP in entrata)	Server Accesso client, Server Trasporto Hub, Server Trasporto Edge, Server Messaggistica unificata	RPC dinamico	Bin\Microsoft.Exchange.Management.Monitoring.exe
  MSExchangeServiceHost - RPC (TCP in entrata)		RPC dinamico	Bin\Microsoft.Exchange.ServiceHost.exe
  MSExchangeServiceHost - RPCEPMap (TCP in entrata)			Bin\Microsoft.Exchange.Service.Host
  MSExchangeRPCEPMap (GFW) (TCP in entrata)
  MSExchangeRPC (GFW) (TCP in entrata)	Server Accesso client, Server Trasporto Hub, Server Cassette postali, Server Messaggistica unificata	RPC dinamico
  MSExchange - IMAP4 (GFW) (TCP in entrata)	Server di accesso client
  MSExchangeIMAP4 (TCP in entrata)	Server di accesso client		ClientAccess\PopImap\Microsoft.Exchange.Imap4Service.exe
  MSExchange - POP3 (FGW) (TCP in entrata)	Server di accesso client
  MSExchange - POP3 (TCP in entrata)	Server di accesso client		ClientAccess\PopImap\Microsoft.Exchange.Pop3Service.exe
  MSExchange - OWA (GFW) (TCP in entrata)	Server di accesso client	5075, 5076, 5077 (TCP)
  MSExchangeOWAAppPool (TCP-in)	Server di accesso client	5075, 5076, 5077 (TCP)	inetsrv\w3wp.exe
  MSExchangeAB RPC (TCP in entrata)	Server di accesso client	RPC dinamico
  MSExchangeAB-RPCEPMap (TCP-in)	Server di accesso client		Bin\Microsoft.Exchange.AddressBook.Service.exe
  MSExchangeAB-RpcHttp (TCP-in)	Server di accesso client	6002, 6004 (TCP)	Bin\Microsoft.Exchange.AddressBook.Service.exe
  RpcHttpLBS (TCP in entrata)	Server di accesso client	RPC dinamico	System32\Svchost.exe
  MSExchangeRPC - RPC (TCP in entrata)		RPC dinamico
  MSExchangeRPC - PRCEPMap (TCP in entrata)	Server di accesso client, server di cassette postali		Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
  MSExchangeRPC (TCP in entrata)	Server di accesso client, server di cassette postali		Bing\Microsoft.Exchange.RpcClientAccess.Service.exe
  MSExchangeMailboxReplication (GFW) (TCP in entrata)	Server di accesso client
  MSExchangeMailboxReplication (TCP in entrata)	Server di accesso client		Raccoglitore\MSExchangeMailboxReplication.exe
  MSExchangeIS - RPC (TCP in entrata)	Server di cassette postali	RPC dinamico
  MSExchangeIS RPCEPMap (TCP in entrata)	Server di cassette postali
  MSExchangeIS (GFW) (TCP in entrata)	Server di cassette postali	6001, 6002, 6003, 6004 (TCP)
  MSExchangeIS (TCP in entrata)	Server di cassette postali
  MSExchangeMailboxAssistants - RPC (TCP in entrata)	Server di cassette postali	RPC dinamico
  MSExchangeMailboxAssistants - RPCEPMap (TCP in entrata)	Server di cassette postali		Raccoglitore\MSExchangeMailboxAssistants.exe
  MSExchangeMailSubmission - RPC (TCP in entrata)	Server di cassette postali	RPC dinamico
  MSExchangeMailSubmission - RPCEPMap (TCP in entrata)	Server di cassette postali		Bin\MSExchangeMailSubmission.exe
  MSExchangeMigration - RPC (TCP in entrata)	Server di cassette postali	RPC dinamico	Bin\MSExchangeMigration.exe
  MSExchangeMigration - RPCEPMap (TCP in entrata)	Server di cassette postali		Bin\MSExchangeMigration.exe
  MSExchangerepl - Copiatrice log (TCP in entrata)	Server di cassette postali		Bin\MSExchangeRepl.exe
  MSExchangerepl - RPC (TCP in entrata)	Server di cassette postali	RPC dinamico	Bin\MSExchangeRepl.exe
  MSExchangerepl - RPC-EPMap (TCP-in)	Server di cassette postali		Bin\MSExchangeRepl.exe
  MSExchangeSearch - RPC (TCP in entrata)	Server di cassette postali	RPC dinamico	Bin\Microsoft.Exchange.Search.ExSearch.exe
  MSExchangeThrottling - RPC (TCP in entrata)	Server di cassette postali	RPC dinamico	Bin\MSExchangeThrottling.exe
  MSExchangeThrottling - RPCEPMap (TCP in entrata)	Server di cassette postali		Bin\MSExchangeThrottling.exe
  MSFTED - RPC (TCP in entrata)	Server di cassette postali	RPC dinamico
  MSFTED - RCPEPMap (TCP-in)	Server di cassette postali
  MSExchangeEdgeSync - RPC (TCP in entrata)	Server Trasporto Hub	RPC dinamico
  MSExchangeEdgeSync RPCEPMap (TCP in entrata)	Server Trasporto Hub		Bin\Microsoft.Exchange.EdgeSyncSvc.exe
  MSExchangeTransportWorker - RPC (TCP in entrata)	Server Trasporto Hub	RPC dinamico	Bin\edgetransport.exe
  MSExchangeTransportWorker - RPCEPMap (TCP in entrata)	Server Trasporto Hub		Bin\edgetransport.exe
  MSExchangeTransportWorker (GFW) (TCP in entrata)	Server Trasporto Hub
  MSExchangeTransportWorker (TCP in entrata)	Server Trasporto Hub		Bin\edgetransport.exe
  MSExchangeTransportLogSearch - RPC (TCP in entrata)		RPC dinamico
  MSExchangeTransportLogSearch - RPCEPMap (TCP in entrata)	Server Trasporto Hub, Server Trasporto Edge, Server Cassette postali		Raccoglitore\MSExchangeTransportLogSearch.exe
  SESWorker (GFW) (TCP-in)	Server di messaggistica unificata
  SESWorker (TCP in entrata)	Server di messaggistica unificata		Messaggistica unificata\SESWorker.exe
  UMService (GFW) (TCP in entrata)	Server di messaggistica unificata
  UMService (TCP in entrata)	Server di messaggistica unificata		Bin\UMService.exe
  UMWorkerProcess (GFW) (TCP in entrata)	Server di messaggistica unificata	5065, 5066, 5067, 5068
  UMWorkerProcess (TCP in entrata)	Server di messaggistica unificata	5065, 5066, 5067, 5068	Bin\UMWorkerProcess.exe
  UMWorkerProcess - RPC (TCP in entrata)	Server di messaggistica unificata	RPC dinamico	Bin\UMWorkerProcess.exe

  Note sulle regole di Windows Firewall create dall'installazione di Exchange 2010

  • Sui server con IIS installato, Windows apre le porte HTTP (porta 80, TCP) e HTTPS (porta 443, TCP). Il programma di installazione di Exchange 2010 non apre queste porte. Pertanto, queste porte non sono elencate nella tabella precedente.
  • In Windows Server 2008 e Windows Server 2008 R2, Windows Firewall con protezione avanzata consente di specificare un processo o un servizio per il quale è aperta una porta. Questo è più sicuro perché la porta può essere utilizzata solo dal processo o dal servizio specificato nella regola. Il programma di installazione di Exchange crea regole firewall con il nome del processo specificato. In alcuni casi, per motivi di compatibilità, viene creata anche una regola aggiuntiva che non si limita a questo processo. È possibile disabilitare o rimuovere le regole senza restrizioni di processo e mantenere le regole con restrizioni di processo corrispondenti se l'ambiente di distribuzione corrente le supporta. Le regole non limitate ai processi possono essere distinte dalla parola (GFW) in nome della regola.
  • Molti servizi di Exchange utilizzano le chiamate di procedura remota (RPC) per comunicare. I processi del server che utilizzano le chiamate di procedura remota si connettono al mapper dell'endpoint RPC per ottenere gli endpoint dinamici e registrarli nel database del mapper dell'endpoint. I client RPC interagiscono con RPC Endpoint Mapper per determinare gli endpoint utilizzati dal processo server. Per impostazione predefinita, RPC Endpoint Mapper è in ascolto sulla porta 135 (TCP). Quando si configura Windows Firewall per un processo che utilizza chiamate di procedura remota, il programma di installazione di Exchange 2010 crea due regole del firewall per tale processo. Una regola consente la comunicazione con il mapper dell'endpoint RPC e la seconda consente la comunicazione con un endpoint assegnato dinamicamente. Per ulteriori informazioni sulle chiamate di procedura remota, vedere l'articolo. Per ulteriori informazioni sulla creazione di regole di Windows Firewall per la chiamata di procedura remota dinamica, vedere l'articolo.

    Per ulteriori informazioni, vedere l'articolo della Microsoft Knowledge Base 179442

Exchange Server e firewall

Firewall (firewall) per server di posta (Exchange Server), porte per server di posta, server di posta front-end e back-end, server virtuali SMTP, POP3, IMAP4

Come ogni computer connesso a Internet, il computer che ospita il server di posta deve essere protetto con un firewall. Allo stesso tempo, le opzioni per l'installazione di un server di posta in termini di configurazione di rete possono essere molto diverse:

· L'opzione più semplice consiste nell'installare un server di posta su un computer che sia anche un server proxy/firewall, quindi aprire le porte necessarie sull'interfaccia di fronte a Internet. In genere, questo schema viene utilizzato nelle piccole organizzazioni;

· Un'altra opzione consiste nell'installare un server di posta sulla rete locale e configurarlo per funzionare tramite un server proxy. Per fare ciò, puoi associare l'ip pubblico al server di posta e passarlo attraverso un proxy o utilizzare gli strumenti di mappatura delle porte sul server proxy. Molti server proxy dispongono di procedure guidate speciali o regole predefinite per l'organizzazione di tale soluzione (ad esempio, in ISA Server). Questa opzione è utilizzata nella maggior parte delle organizzazioni.

· Un'altra possibilità fondamentale è creare una DMZ e collocarvi il front-end Exchange Server (questa possibilità è comparsa dalla versione 2000) o SMTP Relay basato su un altro Exchange Server o, ad esempio, sendmail su *nix. Solitamente utilizzato nelle reti di grandi organizzazioni.

In ogni caso, il server di posta deve garantire la comunicazione almeno sulla porta TCP 25 (SMTP) e sulla porta UDP 53 (DNS). Altre porte che potrebbero essere richieste da Exchange Server a seconda della configurazione di rete (tutti TCP):

80 HTTP - per accedere all'interfaccia Web (OWA)

· 88 Protocollo di autenticazione Kerberos - se viene utilizzata l'autenticazione Kerberos (rara);

· 102 connettore MTA .X .400 su TCP /IP (se si utilizza il connettore X .400 per la comunicazione tra i gruppi di routing);

· 110 Post Office Protocol 3 (POP 3) - per l'accesso dei clienti;

· 119 Network News Transfer Protocol (NNTP) - se vengono utilizzati i newsgroup;

· 135 Comunicazione client/server Amministrazione RPC Exchange - porta RPC standard per l'amministrazione remota di Exchange utilizzando gli strumenti standard del Gestore di sistema;

· 143 Protocollo di accesso ai messaggi Internet (IMAP) - per l'accesso del cliente;

· 389 LDAP - per accedere al servizio di directory;

· 443 HTTP (Secure Sockets Layer (SSL)) (e sotto) - gli stessi protocolli protetti da SSL.

563 NNTP (SSL)

636 LDAP (SSL)

993 IMAP4 (SSL)

995 POP3 (SSL)

· 3268 e 3269: richieste al server di catalogo globale (ricerca in Active Directory e verifica dell'appartenenza a gruppi universali).

Non ha senso chiudere l'interfaccia di Exchange Server rivolta all'interno dell'organizzazione con un firewall: verrà utilizzato per interagire con controller di dominio, utilità di amministrazione, sistemi di backup, ecc. Per un'interfaccia esposta a Internet, si consiglia di lasciare le porte 53 (se Exchange risolverà i nomi host e non inoltrerà le richieste al server DNS locale) e 25. Molto spesso, i client devono accedere alle proprie caselle di posta dall'esterno (da casa , in viaggio, ecc.). La soluzione migliore in questa situazione è configurare OWA (l'interfaccia web per l'accesso a Exchange Server, installata per impostazione predefinita, disponibile all'indirizzo http://nome_server/exchange) per funzionare su SSL e consentire l'accesso solo sulla porta 443. Oltre a la risoluzione dei problemi con l'autenticazione sicura e la crittografia dei messaggi risolve automaticamente il problema con l'inoltro SMTP (ne parleremo più avanti) e la situazione in cui un utente scarica accidentalmente e-mail di lavoro nelle cartelle di un client di posta elettronica su un computer di casa e quindi non riesce a trovare questi messaggi in lavoro (per non parlare del fatto che archiviare la posta di lavoro a casa è una violazione della sicurezza).

Una nuova funzionalità introdotta in Exchange Server. dalla versione 2000, la possibilità di utilizzare più server SMTP e POP3 virtuali con diverse impostazioni di sicurezza. Ad esempio, il server SMTP che comunica con Internet può essere configurato per una maggiore sicurezza e rigide restrizioni di recapito, mentre il server SMTP utilizzato dagli utenti all'interno dell'organizzazione può essere configurato per essere il più efficiente e intuitivo possibile.

È anche necessario menzionare una certa confusione nella terminologia: molto spesso i firewall per Exchange sono chiamati sistemi di filtraggio dei messaggi, che verranno discussi di seguito.