(+84) 463.28.7979

Sử dụng Exchange 2007 Edge Server làm Mail Relay cho Exchange 2003 Phần 2


Internal Receive Connector từ Exchange 2003

Mặc dù connector Receive mặc định trên server Edge Transport có thể dùng để chấp nhận e-mail từ cả Internet và các tổ chức Exchange, là cách thực hiện tốt nhất, các bạn nên cấu hình connector Receive thứ hai để chia các traffic SMTP và cấu hình những chứng thực khác nhau.

Bạn có thể xem chi tiết từng phần của chuỗi bài viết phía dưới:

>> Sử dụng Exchange 2007 Edge Server làm Mail Relay cho Exchange 2003 phần 1

1. Mở EMC, click vào Edge Transport, sau đó ở cửa sổ làm việc, click tab Receive Connectors. Ở cửa sổ thao tác, click vào New Receive Connector. Ở trang New SMTP Receive Connector (hình 1), gõ một tên duy nhất cho connector. Từ Seclect vì mục đích đã định của connector này kéo list xuống, chọn External và sau đó là Next.

Edge_Server_Mail_Relay_P1_1

Hình 1: SMTP Receive Connector mới

2. Ở trang cài đặt Remote Network (hình 2), xoá tất cả các range cổng vào và sau đó click Add. Ở hộp Add IP Address(es) của Remote Server, gõ địa chỉ IP của Exchange 2003 là server bridgehead để nó relay tin nhắn đến server Edge. Click Ok và sau đó Next.

Edge_Server_Mail_Relay_P1_2

Hình 2: cài đặt Remote Network

3. Ở trang New Connector (hình 3) click New và sau đó, ở trang Completion, click Finish.

Edge_Server_Mail_Relay_P1_3

Hình 3: Tóm tắt New Connector

1. Tạo SMTP Connectors trên bridgehead Exchange 2003

Ở server Exchange 2003, thực hiện các bước sau để tạo connector SMTP đã cấu hình để relay mail thông qua server Edge:

1. Mở Exchange 2003 System Manager. Mở Administrative Groups và sau đó mở nhóm quản trị mà bạn muốn cấu hình. Mở Routing Groups, chuột phải vào Connectors, chọn New, sau đó chọn SMTP Connector. Ở tab General (hình 4), gõ tên vào Name, chọn Forward all mail through this connector to the following smart hosts, và gõ địa chỉ IP hay FQDN của server Edge Transport. Click vào Add và ở hộp Add Bridgehead, chọn một hay nhiều server Exchange 2003 sẽ làm bridgeheads cho connector này.

Edge_Server_Mail_Relay_P1_4

Hình 4: tab Exchange 2003 SMTP Connector General

2. Chọn tab Address Space (hình 5), click và Add và hộp Add Address Space, chọn SMTP và sau đó click OK. Ở trang Internet Address Space Properties, điền địa chỉ và một Cost của 10. Click OK 2 lần để đóng trang SMTP connector properties.

Edge_Server_Mail_Relay_P1_5

Hình 5: tab Exchange 2003 SMTP Connector Address Space

Bây giờ Internal Receive Connector ở server Edge và SMTP Connector trên bridgehead của Exchange 2003 đã được tạo ra, chúng ta có thể chọn cách thức chứng nhận mong muốn:

* Basic Authentication over TLS ¨C: cần tạo ra một account local trên server Edge và sau đó công nhận account này được phép ở Internal Receive connector.

* Anonymous Access ¨C yêu cầu loại bỏ các phương pháp chứng thực ở Internal receive connector..

2. Internal Receive Connector với Basic Authentication qua TLS

1. Trên server Edge Transport, tạo một uỷ quyền mà server Exchange 2003 đang dùng để chứng thực khi gởi mail. Tạo một tài khoản người dùng trên folder Users ở Local Users và phần Group trên server Edge Transport (hình 6)

Edge_Server_Mail_Relay_P1_6

Hình 6: một local user mới

2. Thay đổi cách chứng thực mà connector Receive này dùng. Mở Exchange Management Console (EMC). Định vị trí connector Receive mà bạn muốn thay đổi, sau đó ở cửa sổ Actions, click Properties. Click vào tab Authentication. Chọn Basic Authentication và Offer Basic authentication sau khi bắt đầu TLS (hình 7). Click OK.

Edge_Server_Mail_Relay_P1_7

Hình 7: cài đặt Receive Connector Authentication

3. Chạy dòng lệnh sau trong Exchange Management Shell để cho phép connector Receive với tài khoản người dùng local đã tạo trước đây

Add-AdPermission -Identity “Internal Receive Connector [from Exchange 2003]” -User E2K7EDGE\E2K3Auth -ExtendedRights ms-Exch-SMTP-Submit,ms-Exch-Accept-Headers-Routing,ms-Exch-SMTP-Accept-Any-Recipient,ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Edge_Server_Mail_Relay_P1_8

Hình 8: Add-AdPermission

4. Tiếp theo, về lại server bridgehead của Exchange 2003. Ở Exchange 2003 SMTP Connector Properties, chọn tab Advanced, click Outbound Security. Ở hộp Outbound Security (hình 9), chọn Basic Authentication và sau đó click Modify. Ở hộp Outbound Connection Credentials, điền tên và mật khẩu cho tài khoản local của người dùng cho server Edge Transport và sau đó click OK. Ở hộp Outbound Security, chọn mã hoá TLS. Click OK hai lần.

Edge_Server_Mail_Relay_P1_9

Hình 9: SMTP Connector Outbound Security

3. Internal Receive Connector với Anonymous Access

Để dùng Anonymous access, chúng ta phải thay đổi phương pháp chứng thực mà connector Receive đang dùng

1. Mở EMC trên server Edge. Định vị trí connector Receive mà bạn muốn thay đổi, sau đó ở cửa sổ Action, click Properties. Click vào tab Authentication (hình 30). Đảm bảo phương pháp chứng thực duy nhất được chọn là Externally Secured (ví dụ với IPsec) sau đó click OK.

Edge_Server_Mail_Relay_P1_10

Hình 10: cài đặt Receive Connector Authentication

4. cấu hình MX Record

Bước cuối cùng là cấu hình server Edge Transport để chấp nhận các kết nối SMTP đến tổ chức. Thực hiện điều này bằng cách thay đổi các record DNS MX trực tiếp đến mail cho domain SMTP của bạn đến server Edge. Nếu có tường lửa hay các thiết bị an ninh nào khác giữa Edge server và Internet, có thể bạn phải thay đổi một vài nguyên tắc của tường lửa hay một số cấu hình để email của bạn có thể route đến đúng domain được chấp nhận.
Nhưng đầu tiên, bạn phải thực hiện vài bước kiểm tra…

Kiểm tra

Trước khi cấu hình một server Edge mới để tạo ra và thay đổi record MX, tốt nhất là hãy test nó trước. Đến giờ, chúng ta đã có 4 connector được cấu hình (hình 31):

* Default Receive Connector: dùng để nhận mail từ Internet.

* Internal Receive Connector: dùng để nhận mail từ Exchange 2003 Organization

*Internet Send Connector: dùng để gởi mail đến Internet

*Internal Send Connector: dùng để relay các mail Internet đến Exchange 2003 Organization

Edge_Server_Mail_Relay_P1_11

Hình 11: Edge Connectors

Mẹo:

Trong suốt quá trình kiểm tra, bạn nên tắt chức năng anti-spam của cả server Edge (Content Filtering) và bridgehead Exchange 2003 (IMF).

Mail flow từ Internet đến Exchange 2003

Có thể lúc này, record MX vẫn sẽ chưa direct đến server Edge mới, để kích thích mail đến chúng ta phải thực hiện nó theo cách khó hơn: dùng lệnh SMTP

1. Telnet đến cổng 25 của địa chỉ IP external của server Edge ( nơi nhận connector Receive mặc định). Dùng lệnh SMTP, gởi một tin nhắn đến user internal (hình 32)

Edge_Server_Mail_Relay_P1_12

Hình 12: kiểm tra SMTP verbs

2. Để kiểm tra tin nhắn có được chuyển thành công, kiểm tra Inbox của người dùng hoặc tìm một tin nhắn đặc biệt dùng Exchange 2003 Tracking Center (hình 33).

Edge_Server_Mail_Relay_P1_13

Hình 13: Tin nhắn nhận được trong Exchange 2003

Mail flow từ Exchange 2003 đến Internet

1. Để kiểm tra mail flow đến Internet, dùng một hòm thư internal để gởi mail đến một người dùng ngoài (bạn có thể kiểm tra bước này, ngay cả khi server Edge vẫn chưa được kết nối đến Internet)

2. Dùng Exchange 2003 Tracking Center, xác nhận xem tin nhắn có được chuyển thành công đến Edge Server (hình 14)

Edge_Server_Mail_Relay_P1_14

Hình 14: tin nhắn gởi đến server Exchange Edge

Message gởi đến server

3. Nếu server Edge đã kết nối đến Internet và có thể chuyển mail, kiểm tra hòm thư khách để xem tin nhắn đã đến chưa. Nếu server Edge vẫn chưa thể nhận mail ngoài, từ Exchange Management Console mở Queue Viewer và tìm domain đích mà bạn đã gởi mail đến. Hình 15 mô tả 1 mail đang chờ đến live.com

Edge_Server_Mail_Relay_P1_15

Hình 15: Exchange Edge Server Queue

Cấu hình thêm vào

Có một số cấu hình mà bạn có thể thực hiện, như là cấu hình chống spam anti-spam, anti-virus, các nguyên tắc transport hay thậm chí có thể cho phép các server ứng dụng relay off server Exchange 2007 Edge.

Nếu bạn đã có cài đặt anti-spam được xác định trên Exchange 2003 (IMF, sender filtering, block lists,…) bạn có thể dùng Exchange 2007 Anti-Spam Migration Tool để chuyển những cài đặt này đến server Edge Transport. Để biết thêm thông tin tận dụng công cụ này, hãy đọc Exchange 2007 Anti Spam Migration Tool.

Các rắc rối

Trong khi cấu hình lại server Edge, tôi đã gặp phải lỗi đầu tiên khi cố gắng tạo connector Internet Send. Bạn phải chỉ rõ ít nhất một nguồn server.

Dòng lệnh Exchange Management Shell:

new-SendConnector -Name Internet Send Connector -Usage Internet -AddressSpaces SMTP:*;10 -IsScopedConnector $false -DNSRoutingEnabled $true -UseExternalDNSServersEnabled $false
Exchange Management Shell command attempted:
new-SendConnector -Name Internet Send Connector -Usage Internet -AddressSpaces SMTP:*;10 -IsScopedConnector $false -DNSRoutingEnabled $true -UseExternalDNSServersEnabled $false

Edge_Server_Mail_Relay_P1_16

Hình 16: Error: You must specify at least one source server

Vấn đề xảy ra bởi vì dịch vụ Exchange Transport đã dừng. Bắt đầu dịch vụ sẽ giải quyết vấn đề này.

Anti-spam

Trong khi cố gởi tin nhắn (và có thể là sau đấy), bạn có thể nhận được một vài tin nhắn bị khoá bởi chức năng anti-spam của Exchange Server. Bạn có thể tạm thời tắt những tính năng này đi để giải quyết vấn đề

Với server Edge, tắt có chọn lọc khả năng lọc chống spam

Với bridgehead của Exchange 2003, gỏ bỡ chức năng chống spam từ SMTP Virtual Server (hình 17).

Edge_Server_Mail_Relay_P1_17

Hình 17: gỡ bỏ anti-spam của Exchange 2003 anti-spam bindings

Message Tracking Center

The Message Tracking Center (hình 18) là một công cụ tuyệt vời để tìm bất kì tin nhắn nào trong tổ chức Exchange 2003

Edge_Server_Mail_Relay_P1_18

Hình 18: Message Tracking Center

Protocol Logs

Exchange Servers (2003 và 2007) có các nhóm và nhiều log với những thông tin hữu ích. Tôi sẽ không mô tả tất cả những mục có sẵn này. Tôi chỉ nói rằng mục đích của bài này là Protocol Logs có thể làm nên sự khác biệt. Ví dụ, hãy nhìn vào log của Exchange 2003, có sẵn mặc định trong folder C:\WINDOWS\system32\LogFiles\SMTPSVC1 (một số trường đã được cắt dễ đọc hơn)

#Software: Microsoft Internet Information Services 6.0
#Version: 1.0
#Date: 2009-04-25 12:40:36
#Fields: date time c-ip cs-username s-sitename s-computername s-ip s-port cs-method cs-uri-stem cs-uri-query sc-status sc-win32-status sc-bytes cs-bytes time-taken cs-version cs-host cs(User-Agent)
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 EHLO – +E2K7EDGE.mycorp.org 250 0 283 24 0 SMTP – –
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 STARTTLS – – 220 0 0 8 0 SMTP – –
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 STARTTLS – – 220 0 29 8 0 SMTP – –
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 EHLO – +E2K7EDGE.mycorp.org 250 0 327 24 0 SMTP – –
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 MAIL – +FROM:<someone@company.com> 250 0 65 48 0 SMTP – –
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 RCPT – +TO:<administrator@virtual.com> 250 0 59 35 0 SMTP – –
2009-04-25 E2K7EDGE SMTPSVC1 VM1 0 BDAT – +<5e575a1c-b03c-4978-9a9e-a73d3c33fea8@E2K7EDGE.mycorp.org> 250 0 117 587 157 SMTP – –
2009-04-25 E2K7EDGE SMTPSVC1 VM1 10.10.1.111 0 QUIT – E2K7EDGE.mycorp.org 240 2219 85 4 0 SMTP – –

Các bạn có thể nhận định phần nào của log này nghĩa là gì? Exchange 2003 nhận mỗi tin nhắn tôi đã gởi dùng Telnet và lệnh SMTP.

Nhưng Exchange 2007 cũng có một số log protocol, nhưng đừng quên kích hoạt mức độ logging Verbose, ở Properties của connector mong muốn (hình 19)

Edge_Server_Mail_Relay_P1_19

Hình 19: mức độ logging Protocol logging level

Những log này mặc định tại C:\Program Files\Microsoft\Exchange Server\TransportRoles\Logs\ProtocolLog\. Hãy nhìn vào phần cuối của log gởi của cùng tin nhắn ở log trước ( một số phần đã được cắt đi):

#Software: Microsoft Exchange Server
#Version: 8.0.0.0
#Log-type: SMTP Send Protocol Log
#Date: 2009-04-25T13:00:47.231Z
#Fields: date-time,connector-id,session-id,sequence-number,local-endpoint,remote-endpoint,event,data,context
2009-04-25T13:00:47.231Z,0,*,,attempting to connect
2009-04-25T13:00:47.231Z,1,+,,
2009-04-25T13:00:47.247Z,2,<,”220 vm1.virtual.com Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at Sat, 25 Apr 2009 14:00:47 +0100 “,
2009-04-25T13:00:47.247Z,3,>,EHLO E2K7EDGE.mycorp.org,
2009-04-25T13:00:47.262Z,4,<,250-vm1.virtual.com Hello [10.10.1.100],
2009-04-25T13:00:47.262Z,5,<,250-TURN,
2009-04-25T13:00:47.262Z,6,<,250-SIZE,
2009-04-25T13:00:47.262Z,7,<,250-ETRN,
2009-04-25T13:00:47.262Z,8,<,250-PIPELINING,
2009-04-25T13:00:47.262Z,9,<,250-DSN,
2009-04-25T13:00:47.262Z,10,<,250-ENHANCEDSTATUSCODES,
2009-04-25T13:00:47.262Z,11,<,250-8bitmime,
2009-04-25T13:00:47.262Z,12,<,250-BINARYMIME,
2009-04-25T13:00:47.262Z,13,<,250-CHUNKING,
2009-04-25T13:00:47.262Z,14,<,250-VRFY,
2009-04-25T13:00:47.262Z,15,<,250-TLS,
2009-04-25T13:00:47.262Z,16,<,250-STARTTLS,
2009-04-25T13:00:47.262Z,17,<,250-X-EXPS GSSAPI NTLM,
2009-04-25T13:00:47.262Z,18,<,250-AUTH GSSAPI NTLM,
2009-04-25T13:00:47.262Z,19,<,250-X-LINK2STATE,
2009-04-25T13:00:47.262Z,20,<,250-XEXCH50,
2009-04-25T13:00:47.262Z,21,<,250 OK,
2009-04-25T13:00:47.262Z,22,>,STARTTLS,
2009-04-25T13:00:47.262Z,23,<,220 2.0.0 SMTP server ready,
2009-04-25T13:00:47.262Z,24,*,,Sending certificate
2009-04-25T13:00:47.262Z,25,*,CN=E2K7EDGE,Certificate subject
2009-04-25T13:00:47.262Z,26,*,CN=E2K7EDGE,Certificate issuer name
2009-04-25T13:00:47.262Z,27,*,E60C8B2919103D984D2AEAD282D85C3E,Certificate serial number
2009-04-25T13:00:47.262Z,28,*,8F7D14A3ED220AAD5344E1B591FC9941D8D57522,Certificate thumbprint
2009-04-25T13:00:47.262Z,29,*,E2K7EDGE;E2K7EDGE.mycorp.org,Certificate alternate names
2009-04-25T13:00:47.262Z,30,*,,Received certificate
2009-04-25T13:00:47.262Z,31,*,D16428229959D997CF448CE94CFEEB964BBE9578,Certificate thumbprint
2009-04-25T13:00:47.309Z,32,*,Valid,Chain validation status
2009-04-25T13:00:47.309Z,33,*,,SmartHost certificate
2009-04-25T13:00:47.309Z,34,*,CN=vm1.virtual.com,Certificate subject
2009-04-25T13:00:47.325Z,35,*,”CN=My Internal CA, DC=virtual, DC=com”,Certificate issuer name
2009-04-25T13:00:47.325Z,36,*,61107EC0000000000007,Certificate serial number
2009-04-25T13:00:47.325Z,37,*,D16428229959D997CF448CE94CFEEB964BBE9578,Certificate thumbprint
2009-04-25T13:00:47.325Z,38,*,vm1.virtual.com,Certificate alternate names
2009-04-25T13:00:47.325Z,39,>,EHLO E2K7EDGE.mycorp.org,
2009-04-25T13:00:47.466Z,40,<,250-vm1.virtual.com Hello [10.10.1.100],
2009-04-25T13:00:47.466Z,41,<,250-TURN,
2009-04-25T13:00:47.466Z,42,<,250-SIZE,
2009-04-25T13:00:47.466Z,43,<,250-ETRN,
2009-04-25T13:00:47.466Z,44,<,250-PIPELINING,
2009-04-25T13:00:47.466Z,45,<,250-DSN,
2009-04-25T13:00:47.466Z,46,<,250-ENHANCEDSTATUSCODES,
2009-04-25T13:00:47.466Z,47,<,250-8bitmime,
2009-04-25T13:00:47.466Z,48,<,250-BINARYMIME,
2009-04-25T13:00:47.466Z,49,<,250-CHUNKING,
2009-04-25T13:00:47.466Z,50,<,250-VRFY,
2009-04-25T13:00:47.466Z,51,<,250-X-EXPS GSSAPI NTLM LOGIN,
2009-04-25T13:00:47.466Z,52,<,250-X-EXPS=LOGIN,
2009-04-25T13:00:47.466Z,53,<,250-AUTH GSSAPI NTLM LOGIN,
2009-04-25T13:00:47.466Z,54,<,250-AUTH=LOGIN,
2009-04-25T13:00:47.466Z,55,<,250-X-LINK2STATE,
2009-04-25T13:00:47.466Z,56,<,250-XEXCH50,
2009-04-25T13:00:47.466Z,57,<,250 OK,
2009-04-25T13:00:47.481Z,58,>,AUTH LOGIN,
2009-04-25T13:00:47.497Z,59,<,334 <authentication information>,
2009-04-25T13:00:47.497Z,60,>,<Binary Data>,
2009-04-25T13:00:47.497Z,61,<,334 <authentication information>,
2009-04-25T13:00:47.497Z,62,>,<Binary Data>,
2009-04-25T13:00:47.512Z,63,<,235 2.7.0 Authentication successful.,
2009-04-25T13:00:47.528Z,64,*,6,sending message
2009-04-25T13:00:48.794Z,93,>,MAIL FROM:someone@company.com> SIZE=969 AUTH=<,
2009-04-25T13:00:48.794Z,94,>,RCPT TO:administrator@virtual.com,
2009-04-25T13:00:48.794Z,95,<,250 2.1.0 someone@company.com….Sender OK,
2009-04-25T13:00:48.966Z,96,<,250 2.1.5 administrator@virtual.com ,
2009-04-25T13:00:48.966Z,97,>,BDAT 574 LAST,
2009-04-25T13:00:49.122Z,98,<,250 2.6.0 <5e575a1c-b03c-4978-9a9e-a73d3c33fea8@E2K7EDGE.mycorp.org> Queued mail for delivery,
2009-04-25T13:00:49.450Z,106,>,QUIT,
2009-04-25T13:00:49.450Z,107,<,221 2.0.0 vm1.virtual.com Service closing transmission channel,
2009-04-25T13:00:49.450Z,108,-,,Local

Ở đây chúng ta có thể thấy các bước tuần tự, như là thay đổi chứng nhận, bắt tay TLS và sau đó là các verb SMTP cần thiết.

Kết luận

Thêm server Exchange 2007 Edge để nó làm một relay SMTP cho tổ chức Exchange 2003 không yêu cầu nâng cấp bất kì server internal nào và cũng không yêu cầu lược đồ mở rộng của Active Directory. Điều đó có nghĩa bạn có thể ngay lập tức bắt đầu tận dụng ưu điểm của các nguyên tắc chống spam, chống virus và chức năng xử lý của server được thiết kế để hạn chế tối đa những tấn công bề mặt.

Vì vậy, mở một cửa sổ mới, như là một server rất an toàn với các máy móc bảo vệ mail, thiết kế để tồn tại trong chu vi của hệ thống mạng (DMZ), bây giờ nó có thể dùng với tổ chức Exchange 2003 hiện hành và các hệ thống mail hiện có ngày nay.

CT (Theo Msexchange)

Leave a Reply

Your email address will not be published. Required fields are marked *