Третья часть марлезонского балета, или


Установка антиспам агентов для Exchange 2013, часть третья.

Установка антиспам агентов штука довольно простая, и о ней я уже писал две небольшие статьи. Когда вы устанавливаете агенты антиспама на сервер Exchange 2013, все агенты устанавливаются на сервер с ролью почтовых ящиков, но один агент все же не устанавливается. Это агент Connection filtering.

Чудный скрипт Install-AntispamAgents.ps1 проверяет, какая роль установлена на сервере, и не будет устанавливать агента Connection filtering, если обнаружит, что вы его запустили на сервере с ролью почтовых ящиков. Это вполне понятно, поскольку подключения SMTP должны проксироваться с сервера CAS, и тогда оригинальный IP отправителя не будет использован, поскольку CAS здесь выполняет Source-NAT. Поэтому было бы логичным установить такой агент на сервере с ролью CAS. Однако скрипт установит его только для роли Edge transport, и никак иначе.

Почему сделано именно так, можно только гадать, и связано это, как мне кажется напрямую с новой архитектурой транспорта. Но заголовок статьи говорит о том, что мы что-то будем устанавливать, а не гадать на кофейной гуще, поэтому, давайте этим и займемся.

Запускаем Exchange Management Shell на сервере Mailbox от имени администратора:

#Переходим в каталог со скриптами
cd $exscripts
#Установим агента.
Install-TransportAgent -Name «Connection Filtering Agent» -TransportService FrontEnd -TransportAgentFactory «Microsoft.Exchange.Transport.Agent.ConnectionFiltering.ConnectionFilteringAgentFactory» -AssemblyPath «C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\agents\Hygiene\Microsoft.Exchange.Transport.Agent.Hygiene.dll»

#Добавим провайдера IPBlocklistprovider

Add-IPBlockListProvider -Name zen.spamhaus.org -LookupDomain zen.spamhaus.org -AnyMatch $true -Enabled $true

Можно добавить несколько, и изменить сообщение для ошибки, если его не поменять, оно останется по умолчанию “Recipient not authorized, your IP has been found on a block list”

# Включим агента

Enable-TransportAgent -TransportService FrontEnd -Identity «Connection Filtering Agent»

# И перезапустим службу FrontEnd transport service

Restart-Service MSExchangeFrontEndTransport

Агент должен появиться в списке и быть включенным, Журналы будут находиться здесь

“C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\FrontEnd\AgentLog” вместо

“C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\Logs\Hub\AgentLog”

Обратите внимание, что данный способ подходит и для 2010, и, конечно, для 2016. Да, о нем знают не все парни, а только те, которым обычно интересно, а что же делает тот или иной Exсhange PowerShell скрипт на самом деле.🙂 Поэтому, не поддавайтесь на провокации, когда вам говорят, что агент фильтрации может быть установлен только на пограничном транспортном сервере.

Удачи,  пишите комментарии к статьям и занимайтесь Exсhange сервером!

https://technet.microsoft.com/ru-ru/library/jj150481(v=exchg.150

Июньские обновления…


OhNoNotYouAgain

такие обновления. Призываю очень внимательно протестировать еще одно свежее обновление безопасности, закручивающее гайки NetBIOS. Могт быть проблемы с чем угодно, где фигурируют короткие имена, поэтому среды, где парни используют FQDN, застрахованы от неожиданностей. Будьте осторожны, тщательно тестируйте обновления перед применением их в производственной среде. Если вы столкнулись с проблемами, то выполняйте рекомендации статьи:

https://support.microsoft.com/en-us/kb/3161949. Добавьте ключ

KEY: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
Value Name: AllowNBToInternet
Type: Dword
Value: 1

P.S. Пока столкнулись с поведением в одной среде с SAMBA серверами. Использовали ключ реестра + перезагрузка обязательна.

Изменения в обработке GPO, или Patch Tuesday


broken

Все течёт, все меняется. И знания тоже нужно всё время актуализировать.

Интереснейшее обновление, вышедшее во вторник, https://support.microsoft.com/en-us/kb/3163622

изменяет обработку политик. Если раньше она обрабатывалась в контексте пользователя, то теперь (с примененным обновлением) она будет обрабатываться в контексте компьютера. Иными словами, если вы использовали Security filtering для применения пользовательских политик, работать такой фильтр больше не будет.

Именно поэтому я всегда рекомендовал очень крепко подумать, прежде чем использовать такую фильтрацию без крайней необходимости.

Итак, что же мы получим в итоге обновления?

Скорее всего, все взорвется- ярлыки, диски, прочие GPО радости, терминальные серверы и все-все-все. Предвижу ежедневные взрывы на форумах технет, но следить сейчас времени совсем нет.

Что делать?

Читать далее

Что дешевле, слон или кит?


Не так давно Тони Редмонд сказал золотые слова: «Вы не сделаете цену за 1 почтовый ящик на земле дешевле, чем в облаке.» Этот факт очевиден тем, что в облаке они уже есть, управляются, изменяются, автоматизируются и все такое прочее. Парни, которые задумывались о постройке уютненького ЦОДа для себя, поймут.

Предлагаю всем желающим вдумчиво посмотреть на цифры по линку, ибо толковый расчетчик посчитал даже расходы на электричество. Переводить фунты в рубли не буду, поскольку каждый сможет взять заметку в руки в любой день и прикинуть все по курсу, прибавив либо убавив нужные статьи бюджета. Единственное, что я бы добавил от себя, это скрытая статья расходов на обучение администраторов, возможно, вопросы консалтинга и платной поддержки, поскольку администратор может быть не знаком с ослепительным сиянием облаков. Т.е. такой момент, как обучение неплохо все же учесть. Возможно, это уже заложено в этап «Миграция» по Fast track.

Любителям посмотреть и крикнуть дораха- я порекомендую еще раз прочитать преимущества, которые дает Office 365. Сделайте у себя три копии резервирования данных, и покажите мне, как это получится дешево. Дайте каждому там 50 Гб места и умножьте эти данные на три копии, и т.д. Не нужно, дорого, не будем платить, уворуем? Пожалуйста, хозяин барин. Целью заметки было показать, что можно сесть и прикинуть,что сколько стоит. А управленческие решения принимать вам.

 

http://www.neroblanco.co.uk/2016/05/comparing-cost-exchange-online-premise-small-midsized-businesses/

Миграция на Exchange 2016


Такая миграция….

Вляпались в https://support.microsoft.com/en-ca/kb/2990117

постоянный запрос пароля в OA.

Outlook Anywhere users prompted for credentials when they try to connect to Exchange Server 2013 or Exchange Server 2016

Особенно обидно, что на серверы руками были установлены эти апдейты в конце марта, но серверы, к большому сожалению не перегружались.

Поэтому, напеваю все тот же мотив: обновляйте серверы. А после обновления перегружайте их!😉

Office 365 Tips


Очень часто мне приходится слышать крики «А как же ФЗ 152? Что по этому поводу думает Кальтенбруннер ваш Оффис 365?»

Обычно это сопровождается хитрым прищуром- мы-то работаем в компании из семи букв, первые три «ГАЗ», и вот, облако не для нас, потому как ФЗ 242 не велит.

По мере сил старался давать объяснения, а недавно увидел новую ссылку в панели управления, о которой и хотел поведать сегодня. Выглядит вот так:

Screenshot_5

Кликнув на «Просмотрите варианты» мы попадем по вот этому https://www.microsoft.com/ru-ru/cloudservices адресу. Собственно, коротко и ясно, одним абзацем, ответ на вопрос:

Службы Microsoft Online Services, такие как Office 365, Microsoft Azure, Microsoft Intune и Microsoft Dynamics CRM Online, предоставляются из центров обработки данных, расположенных за пределами России. Соответственно, коммерческие клиенты Microsoft в России, которые хотят использовать эти службы, должны ознакомиться с требованием законодательства о локализации данных и определить, какие шаги им необходимо предпринять для того, чтобы обеспечить соблюдение требований Закона. Ниже приведены возможные варианты приобретения и использования коммерческими клиентами служб Microsoft Online Services.

Да, тем кому интересен 365-они давно в нём, используя сервисы компаний- партнеров, и держа свои данные в ЦОДах на территории РФ. Те, кому не интересен- стараются замалчивать этот факт, или отмахиваться от него тряпками, оно и понятно, ведь скорее всего, если предприятие повернется лицом у облаку, другой частью оно повернется вот к таким вот товарищам.

SMTP Strict Transport Security, и как сделать мир лучше.


Не зря, как оказалось поминали мы в марте про TLS. Совсем недавно, тихо и мирно, вышел черновик нового, вишнёвого стандарта SMTP Strict Transport Security. Руки чесались про него написать, но старые корабельные друзья все время находили предлог, чтобы этого не случилось.🙂

Для начала, сорву покровы скажу пару слов о защите транспорта TLS вообще:

Давайте вспомним, что из себя представляет расширение STARTTLS:

TLS

Самая большая проблема STARTTLS заключается в том, что он уязвим для атак и атак на снижение стойкости алгоритмов, поэтому не может гарантировать конфиденциальности и подтверждения проверки подлинности сервера.

Именно поэтому существуют закрытые почтовые системы, гарантирующие подлинность сообщений, передаваемых в них. Хорошим примером будет здесь почтовая система в сфере здравоохранения, или банка. Читать далее

Отслеживать

Настройте получение новых записей по электронной почте.

Присоединиться к ещё 43 подписчикам