Doporučená nastavení Microsoft Exchange Serveru 2010

Doporučená nastavení Microsoft Exchange Serveru 2010 Autoři: Martin Pavlis Microsoft MVP, IT Senior konzultant KPCS CZ, s.r.o. Miroslav Knotek Microsoft MVP, IT Senior konzultant KPCS CZ, s.r.o. www.microsoft.cz/exchange/2010 1

Obsah 1. Úvod...3 2. Instalace Exchange Server 2010........................................................ 3 3. Vložení čísla Product Key...4 4. Založení databází pro poštovní schránky a jejich konfigurace............................... 5 4.1 Založení nové databáze pro poštovní schránky....................................................5 4.2 Konfigurace databáze pro poštovní schránky...6 4.3 Přesun schránek mezi databázemi Exchange......................................................7 5. Doménová jména a práce s nimi....................................................... 8 5.1 Akceptované domény...8 5.2 Automatické nastavení SMTP adres na poštovních schránkách...9 5.3 Ruční nastavení SMTP adres na poštovních schránkách.............................................10 6. Nastavení odesílání a přijímání poštovních zpráv...11 6.1 Odesílání poštovních zpráv.....................................................................11 6.2 Přijímání poštovních zpráv...12 7. Nastavení antispamových funkcí....................................................... 14 7.1 Podmínky pro využití antispamových funkcí...14 7.2 Filtrování dle připojení (Connection filtering)...14 7.2.1 Konfigurace IP adres interních SMTP serverů......................................................14 7.2.2 Konfigurace RBL (real-time block list)...15 7.2.3 Konfigurace IP Allow List.......................................................................15 7.2.4 Služba Sender Reputation......................................................................16 7.3 Filtrování dle odesílatele (Sender filtering)........................................................16 7.4 Filtrování dle příjemce (Recipient filtering)........................................................17 7.5 Filtrování dle Sender ID (SenderID filtering).......................................................18 7.6 Filtrování dle obsahu (Content filtering)..........................................................18 7.6.1 Nastavení akce...18 7.6.2 Konfigurace povolených a blokovaných slov......................................................19 7.6.3 Specifikace výjimek pro konkrétní uživatele.......................................................20 7.6.4 Nastavení vlastního textu NDR při zamítnutí zprávy................................................20 7.7 Vybrané tipy pro optimalizaci antispamu.........................................................20 7.7.1 Premium Antispam............................................................................20 7.7.2 SafeList Aggregation...21 7.7.3 Individuální nastavení SCL akcí pro konkrétní schránku.............................................21 7.7.4 Whitelisting domény nebo adresy odesílatele.....................................................21 8. Certifikáty a práce s nimi...22 9. Nastavení služeb Client Access Server role............................................... 24 9.1 Autodiscover...24 9.2 Outlook Web App (OWA)...25 9.3 Nastavení Exchange ActiveSync.................................................................26 9.4 Nastavení Outlook Anywhere...................................................................27 10. Vybrané novinky Exchange 2010....................................................... 28 10.1 MailTips...28 10.2 Nastavení obrázků pro Exchange schránky...28 10.3 Nastavení kompatibility s klienty Microsoft Office Outlook 2003...29 10.4 Import/Export dat z/do PST souborů...29 10.5 Microsoft Exchange Best Practices Analyzer.......................................................31 10.6 Microsoft Exchange Remote Connectivity Analyzer...32 11. Vysoká dostupnost v Microsoft Exchange Server 2010..................................... 33 11.1 Database Availability Group...33 11.2 Síťový rozklad zátěže...40 12. Závěr.............................................................................. 40

1. Úvod Microsoft Exchange Server 2010 je hned po své instalaci téměř připraven na nasazení do produkčního prostředí. Nicméně i tak je potřeba několika dalších konfiguračních zásahů ze strany administrátora, aby prostředí Exchange splňovalo naše představy o kvalitním poštovním serveru, který pomáhá zvyšovat produktivitu jeho uživatelů. Cílem tohoto článku je popsat konfigurační kroky doporučené pro základní nastavení Exchange Server 2010. Většina kroků popsaných dále se dá s úspěchem použít na jakékoli Exchange instalaci, v jakékoli firmě nezáleží tedy na tom kolika Exchange servery disponujete, doporučení jsou univerzální. Své si v dokumentu tedy jistě najde nejen správce Exchange v malé firmě, ale také administrátor spravující vysoce dostupné prostředí. Pro toho, kdo se zajímá o nastavení vysoké dostupnosti je pro tyto účely v dokumentu speciální část, které se právě této problematice věnuje. 2. Instalace Exchange Server 2010 Instalace Exchange Server 2010 je poměrně jednoduchá a její popis není součástí tohoto dokumentu. Nicméně na internetových stánkách Microsoftu existuje celá řada velmi mocných pomocníků. Nejedná se pouze o nápovědu Exchange jako v minulosti, ale také o velmi kvalitní interaktivní nástroje, které vás celým krok po kroku provedou procesem instalace Exchange do vašeho prostředí. Exchange Server Deployment Assistant»» Jedná se o nejmodernější online nástroj z dílny Microsoftu, který na základě několika otázek vygeneruje postup, kterým postupujete krok po kroku a splňujete tak nejprve nezbytné podmínky pro instalaci Exchange Server 2010 a následně i samotné instalace Exchange»» Link: http://technet.microsoft.com/en-us/exdeploy2010/default.aspx Nápověda Exchange Server 2010, instalační část»» Link: http://technet.microsoft.com/en-us/library/dd351084.aspx MSTV.cz video s komentářem v češtině Exchange Server 2010 instalace rolí»» Link: http://www.mstv.cz/it/videos/275/exchange-server-2010---instalace-roli-a-emulatoru-wm Úvod 3

3. Vložení čísla Product Key Po instalaci Exchange serveru 2010 není server zalicencován. Toto slouží k využití instalace např. na zkušební/ testovací server. Zkušební verze vyprší 120 dnů od data instalace. Takovýto server je vždy v edici Standard a nelze u něj požadovat podporu služeb společnosti Microsoft. Máte-li v Exchange organizaci servery, které nemají vložen Product Key, vždy při spuštění Exchange Management konzoly vám bude zobrazen seznam všech Exchange 2010 serverů bez licence a počet dní, které zbývají do vypršení zkušební verze. Pokud zkušební lhůta již vypršela, zobrazuje se varování pro každý takový server. Obrázek 1: Seznam nezalicencovaných serverů Vložení Product Key provedeme pomocí následujícího postupu: 1. Exchange Management konzola (dále EMC): sekce Server Configuration 2. Vybereme server, který nemá vložen Product Key (má odlišnou ikonu) 3. Spustíme průvodce pro vložení Product Key a vložíme licenční číslo Obrázek 2: Vložení Product Key Po dokončení průvodce je nutné restartovat službu Microsoft Exchange Information Store. V závislosti na Product Key, který jste zadali, bude provedena změna edice serveru buď na Standard Edition, nebo na Enterprise Edition a jsou aktualizována veškerá potřebná nastavení. 4 Vložení čísla Product Key

4. Založení databází pro poštovní schránky a jejich konfigurace Hned po instalaci Exchange Serveru v roli Mailbox Server máme na tomto serveru k dispozici jednu databázi pro poštovní schránky. Zdali na něm máme i databázi pro veřejné složky záleží na tom, zdali jsme při instalaci vybrali podporu pro klienty starší než Outlook 2007, či nikoli. Pokud ano, je databáze s Veřejnými složkami nezbytná starší klienti ji potřebují ke svému chodu. V edici Standard máme možnost pro poštovní schránky založit 5 databází, v edici Enterprise potom až 100. Databáze nemají žádnou pevně omezenou velikost ( jak tomu bylo u verze Exchange Server 2003 a starší). Databáze zakládáme podle následujících pravidel: Potřebujeme sjednotit více schránek se stejným nastavením (např. velikost schránky) každá databáze má své vlastnosti a tyto se automaticky aplikují na všechny schránky, které se v databázi nacházejí Více databází znamená možnost tyto databáze uložit na různé disky a tím optimalizovat výkon a bezpečnost dat V případě poškození databáze, není mimo provoz cela firma, ale jen ta část uživatelů, která v ní měla schránku Je doporučeno, aby velikost databází nepřesáhla určitou rozumnou velikost vzhledem k následné správě, zálohování, atd. Je jistě lepší mít více menších databází, než jednu obrovskou, se kterou je problém cokoli udělat. Jako příklad může posloužit situace, kdy chceme databázi obnovit ze zálohy 50GB se obnovuje rychleji a jednodušeji, než např. 500 GB. Různých doporučení je mnoho a v zásadě platí, že správci Exchange se většinou řídí vlastními zkušenostmi, případně jsou omezeni hardwarovými možnostmi serveru. Pokud chcete postupovat podle doporučení společnosti Microsoft, doporučuji používat následující Excel aplikaci, která vám s rozdělením a návrhem databází pomůže. Exchange 2010 Mailbox Server Role Requirements Calculator»» Link: http://msexchangeteam.com/files/12/attachments/entry453145.aspx 4.1 Založení nové databáze pro poštovní schránky Založení nové databáze pro poštovní schránky provedeme pomocí následujícího postupu: 1. EMC: Organization Configuration -> Mailbox -> New Mailbox Database 2. V průvodci vyplníme jméno databáze (nově musí být unikátní v celé Exchange organizaci), Mailbox server na kterém se budu nacházet a umístění databáze a transakčních logů na disku Obrázek 3: Založení nové databáze pro poštovní schránky Založení databází pro poštovní schránky a jejich konfigurace 5

4.2 Konfigurace databáze pro poštovní schránky Konfigurace databáze pro poštovní schránky provedeme pomocí následujícího postupu: 1. EMC: Organization Configuration -> Mailbox -> vybereme databázi, kterou chceme nastavit a vyvoláme její vlastnosti 2. Na záložce Maintenance zvolíme čas, kdy se má dělat údržba databáze tak, aby tento čas nebyl shodný s dobou, v níž probíhá zálohování, nebo skenování antivirem 3. Na záložce Limits nastavíme požadované limity schránek, které budou v této databázi umístěny. Kromě toho také nastavíme to, jak dlouho bude databáze držet smazané položky v Dumpsteru odkud si je uživatelé mohou sami obnovit (v programu Outlook volba Obnovit odstraněné položky ) Obrázek 4: Konfigurace databáze pro poštovní schránky 6 Založení databází pro poštovní schránky a jejich konfigurace

4.3 Přesun schránek mezi databázemi Exchange Po vytvoření požadovaných databází, je možné poštovní schránky uživatelů mezi těmito databázemi libovolně přesouvat a tím optimalizovat rozložení schránek napříč celou organizací. Od verze Exchange Server 2010 je díky online přesunu dat tuto operaci možné dělat i během pracovní doby, schránka je po celou dobu přesunu pro uživatele dostupná. Po dokončení přesunu je uživatel pouze vyzván k tomu, aby restartoval aplikaci Microsoft Office Outlook. 1. EMC: Recipient Configuration -> Mailbox -> Označíme schránku, kterou chceme přesouvat a spustíme průvodce New Local Move Request 2. Vybereme databázi, do které má být schránka přesunuta, a rozhodujeme o tom, zdali se má schránka přesunout i v případě, že v ní jsou obsažena poškozená data (zastavit přesun, nepřesouvat pouze chybné položky) 3. V sekci Recipient Configuration -> Move Request můžeme sledovat stav přesouvaných schránek Obrázek 5: Přesun poštovní schránky Založení databází pro poštovní schránky a jejich konfigurace 7

5. Doménová jména a práce s nimi Jakmile máme připraveny databáze a v nich rozmístěné uživatelské schránky, je potřeba začít přemýšlet o posílání a přijímání poštovních zpráv. Protože Exchange server přijímá skrze SMTP protokol všechno, co se mu snaží kdokoli z internetu doručit (!), je potřeba toto přijímání omezit pouze na ty domény, které chceme ve firmě používat. 5.1 Akceptované domény Nastavení domén, za které chceme, aby náš Exchange server přijímal poštovní zprávy, provedeme pomocí následujícího postupu: 1. EMC: Organization Configuration -> Hub Transport -> Accepted Domains -> spustíme průvodce New Accepted Domain 2. Zadáme doménové jméno a vybereme, zdali emaily budou v Exchange serveru končit, nebo se budou předávat na další poštovní server (uvnitř internal relay, nebo externet external relay) Obrázek 6: Akceptované domény Domén můžeme přidat tolik, kolik jich naše společnost vlastní (bez omezení) v případě více domén dochází k přijímání poštovních zpráv do všech vyjmenovaných. 8 Doménová jména a práce s nimi

5.2 Automatické nastavení SMTP adres na poštovních schránkách Abychom nemuseli na každé schránce ručně nastavovat SMTP alias (poštovní adresu), můžeme jejich vytváření zautomatizovat pomocí adresních politik, které se aplikují na poštovní schránky a automaticky na nich vytváří potřebné adresy. Nastavení adres, které chceme aplikovat na naše schránky, provedeme pomocí následujícího postupu: 1. EMC: Organization Configuration -> Hub Transport -> E-mail Address Policies -> spustíme průvodce New E-mail Address Policy 2. Vybereme, na které schránky chceme tuto politiku aplikovat. Filtrování schránek může být na základě konkrétního atributu, či v jaké organizační jednotce, či doméně Active Directory se uživatel nachází 3. Následně vybíráme, jaké adresy chceme na schránky aplikovat. Průvodce nám pomůže vybrat z nejčastějších typů adres a domén, které jsme již dříve v Exchange organizaci vydefinovali. Adres může být na schránku aplikováno víc, ale jen jedna je označena jako primární uživatel může na všech adresách zprávy přijímat, ale odesílat pouze z té, která je nastavena jako primární ( Set at Reply ) Obrázek 7: E-mail Address Policy Doménová jména a práce s nimi 9

5.3 Ruční nastavení SMTP adres na poštovních schránkách Při správně adres na poštovních schránkách dochází i k tomu, že je potřeba na konkrétní schránce nastavit adresu jinou, než je uvedeno v adresních politikách výjimku. Vytvoření výjimky provedeme pomocí následujícího postupu: 1. EMC: Recipient Configuration -> Mailbox -> Označíme schránku, které chceme nastavit speciální adresu a vyvoláme její vlastnosti 2. Na záložce E-mail Addresses nejprve v dolní části vypneme aplikování centrálních politik a následně přidáme, smažeme, či jakkoli jinak upravíme adresy dle požadavku Obrázek 8: Ruční zadání emailové adresy Nezapomeňte za každou doménu, kterou vlastníte, přidat na jednu schránku alias postmaster tato adresa je používána v situacích, kdy vás např. externí subjekt chce upozornit, že váš poštovní server byl umístěn na black list, atd. Tato adresa je tedy důležitá a měla by být monitorována. 10 Doménová jména a práce s nimi

6. Nastavení odesílání a přijímání poštovních zpráv Abychom mohli v rámci Exchange organizace posílat a přijímat poštovní zprávy, je potřeba provést několik nastavení. 6.1 Odesílání poštovních zpráv Pro odesílání poštovních zpráv je nutné, aby ve firmě existoval jeden, nebo více konektorů (Send Connector). Pokud je v Exchange organizaci nainstalována role Edge, není nutné konektory zakládat k tomu dojde automaticky, pouze je nakonfigurovat. Pokud se v organizaci žádný Exchange v roli Edge nenalézá, je nezbytné potřebný konektor vytvořit ručně. Vytvoření konektoru pro odesílání zpráv provedeme pomocí následujícího postupu: 1. EMC: Organization Configuration -> Hub Transport -> Send Connectors a zde spustíme průvodce New Send Connector 2. Konektor pojmenujeme, vybereme jeho určení (Internet) a na další obrazovce nastavíme domény, do kterých bude tento konektor doručovat zprávy. Pokud budeme tímto konektorem odesílat zprávy do celého intetnetu, uvedeme v sekci SMTP znak * (hvězdička) 3. Nastavíme, jakým způsobem bude Exchange vyhledávat cílový sever (pravděpodobně pomocí DNS) 4. V posledním kroku vybereme, který Exchange server v naší organizaci bude díky tomuto konektoru emaily odesílat do internetu. Pokud serverů vybereme víc, použije se vždy ten, který je při odesílání nejvýhodnější (nejmenší počet zprávy předání mezi servery) Obrázek 9: Nový Send konektor Pokud je ve vaší organizaci více Exchange serverů, které mohou odesílat poštovní zprávy, může v organizaci existovat také více konektorů. Jejich priorita se určuje váhou (cost) čím nižší číslo, tím vyšší priorita. Dá se tím docílit např. toho, že když je primární server zodpovědný za odesílání zpráv do internetu nedostupný, zpráva se automaticky pošle přes další sever. Konektory je po vytvoření nutné vždy správně nastavit, jinak riskujeme odmítání poštovních zpráv antispamovými filtry. Konektory pro odesílání zpráv nastavíme pomocí následujícího postupu: 1. EMC: Organization Configuration -> Hub Transport -> Send Connectors a zde vyvoláme jeho vlastnosti 2. Na záložce General zapneme logování SMTP (pokud o něj máme zájem doporučuji) a následně vyplníme jméno, kterým se bude Exchange při předávání zpráv tímto konektorem hlásit, případně maximální velikost přijímané zprávy Nastavení odesílání a přijímání poštovních zpráv 11

Obrázek 10: Nastavení Send konektoru Vyplnění správného jména je klíčové pro správné fungování odesílání zpráv. Musí zde být uvedeno jméno, které se shoduje se jménem, které nám při překladu vrací DNS PTR záznam. Jako příklad uvedu adresu 88.86.110.159, pod kterou je vidět odchozí SMTP komunikace. Tato IP adresa má k sobě navázán DNS PTR záznam email.exchange4u.cz, tedy přesně to samé jméno, které mám uvedeno v konektoru. Pokud by se toto neshodovalo, potom se jedná o problém, který bývá dost často antispamovými nástroji vyhodnocován jako potencionální problém a zprávy z vašich serverů budou mnohem častěji končit v antispam karanténách. Typickým příkladem je situace, kdy je k IP adrese přiřazeno servisní jméno poskytovatele připojení. Nezapomínejte na to, že zatímco DNS jméno si můžete koupit a patří vám, IP adresu máte vždy pronajatu od poskytovatele připojení. Takže to on musí na základě vaší žádosti vytvořit DNS PTR záznam požadovaného tvaru. 6.2 Přijímání poštovních zpráv Pro správné přijímání poštovních zpráv je nejprve nutné v každé DNS zóně za kterou chcete zprávy přijímat vytvořit DNS MX záznam. Tento musí být nasměrován na ten Exchange, který je vypublikován má otevřenu SMTP komunikaci do internetu. O přijímání emailů v Exchange se starají Receive konektory, které se nastavují na každém serveru. Konektory pro přijímání zpráv nastavíme pomocí následujícího postupu: 1. EMC: Server Configuration -> Hub Transport -> kde nejprve v horní části označíme server, který přijímá zprávy z internetu, a následně v dolní části vyberme vlastnosti konektoru, který chceme nastavit 2. Pokud nemáme klienty POP/IMAP, kteří pro odesílání zpráv používají SMTP, můžeme konektor Client XXX smazat 12 Nastavení odesílání a přijímání poštovních zpráv

3. 4. Na záložce General opět vyplňujeme jméno z DNS PTR záznamu, pod kterým je tento Exchange server vidět z internetu a případně nastavíme možnosti logování komunikace a omezení maximální velikosti příchozích zpráv Pro příjem zpráv z internetu je nutné na záložce Permission Groups zapnout volbu Anonymous Users Doporučené nastavení pro DNS zónu a Exchange Server: Obrázek 11: Nastavení Receive konektoru Zone Type Name Value kpcs.cz A email 88.86.110.159 kpcs.cz MX email.exchange4u.cz kpcs.cz TXT v=spf1 ip4:88.86.110.159 mx mx:email.exchange4u.cz ~all kpcs.cz SRV _autodiscover._tcp. 1 1 443 email.exchange4u.cz Z tabulky je možné vyčíst: Emaily mají být posílány díky MX záznamu na adresu SMTP serveru email.exchange4u.cz Antispam ochrana SenderID je nastavena tak, že emaily z domény kpcs.cz může odesílat pouze IP adresa 88.86.110.159 a jméno serveru email.exchange4u.cz. Více se dozvíte na této stránce, kde je i průvodce vytvořením tohoto záznamu: http://www.microsoft.com/mscorp/safety/content/technologies/senderid/wizard/ Klienti, kteří podporují automatickou konfiguraci pomocí Autodiscover (Outlook 2007 SP1 a vyšší, Windows Mobile 6.1 a vyšší) si mohou na serveru email.exchange4u.cz stáhnout potřebnou konfiguraci klienta Nastavení odesílání a přijímání poštovních zpráv 13

7. Nastavení antispamových funkcí Microsoft Exchange Server 2010 obsahuje širokou škálu antispamových funkcí. Správným nastavením těchto technologií organizace všech velikostí získávají velmi mocný nástroj v boji s nevyžádanou poštou, což se odráží ve vyšší produktivitě práce uživatelů elektronické pošty. 7.1 Podmínky pro využití antispamových funkcí Ochrana proti nevyžádané poště je rozdělena podle způsobu fungování do jednotlivých, tzv. antispam agentů. Každý agent má své vlastní unikátní nastavení, každý antispamový agent může být také bez ohledu na stav ostatních agentů vypnut či naopak zapnut. Antispamoví agenti jsou ve výchozím nastavení automaticky instalováni pouze v rámci volitelné role Edge. Pokud v Exchange organizaci tato role chybí, je možné a podporované doinstalování agentů na serveru v roli Hub Transport pomocí následujícího postupu: 1. Přihlásíme se na Hub Transport server 2. Start -> Programy -> Microsoft Exchange Server 2010 -> Exchange Management Shell (EMS) 3. Spustíme příkaz Install-AntispamAgents.ps1 5. Provedeme restart služby Microsoft Exchange Transport 7.2 Filtrování dle připojení (Connection filtering) Tento způsob ochrany je založen na důvěryhodnosti IP adresy serveru, který elektronickou poštu odesílá. Nastavení se skládá z následujících kroků: 7.2.1 Konfigurace IP adres interních SMTP serverů V případě, že před Exchange serverem s instalovaným Connection filtering nebo Sender ID agentem existují další interní SMTP servery, je potřeba IP adresy těchto serverů uvést v nastavení: 1. EMC (Exchange Management Console): Organization Configuration -> Hub Transport -> Global Settings -> Transport Settings -> Message Delivery Obrázek 12: Konfigurace interních SMTP serverů 14 Nastavení antispamových funkcí

7.2.2 Konfigurace RBL (real-time block list) Na Internetu existuje celá řada placených i neplacených služeb, které vedou evidenci důvěryhodných či naopak rizikových IP adres z hlediska rozesílání spamu. Tuto službu může náš Exchange Server dotazovat pro ověření IP adresy příchozího SMTP připojení. Je doporučeno vybrat 2 3 poskytovatele s vysokou reputací a garantovaným SLA. Pokud počet dotazů nepřesáhne 300 000 dotazů denně, je možné pro úvodní nastavení použít například široce využívaný RBL zen.spamhaus.org. Vlastní nastavení pak provedeme: V EMC: Organization Configuration -> Hub Transport -> Anti-Spam -> IP Block List Providers dle následujícího obrázku: Obrázek 13: Nastavení RBL 7.2.3 Konfigurace IP Allow List Pro snížení rizika zablokování pošty v případě, že se například obchodní partner ocitne se svým poštovním serverem na některém z RBL, je doporučeno IP adresy SMTP serverů klíčových partnerů přidat do IP allow listu dle následujícího návodu: EMC: Server Configuration -> Hub transport -> ServerName -> Anti-spam -> IP Allow List Obrázek 14: Konfigurace IP Allow List Nastavení antispamových funkcí 15

7.2.4 Služba Sender Reputation Tato kontrola IP adres má dva zdroje dat: Pomocí MU/WSUS získáváme aktuální seznam IP a jejich reputací na základě dat ze služby Hotmail Server vytváří vlastní hodnocení IP na základě průměrného SCL zpráv přijatých z této IP, sledování anomálií v rámci SMTP relace atd. Můžeme nastavit jak hodně restriktivně se má tato ochrana chovat a na jak dlouho zablokovat IP adresu se špatnou reputací. Protože například freemaily mívají běžně vysoké průměrné SCL, doporučuji nastavit tento typ ochrany ze začátku málo restriktivně a blokovat IP třeba jen na 4h. Pokud je vše v pořádku, můžete zkusit postupné zpřísnění nastavení. Obrázek 15: Nastavení Sender Reputation 7.3 Filtrování dle odesílatele (Sender filtering) Tato ochrana je založena na testování e-mailové adresy odesílatele uvedené v hlavičce zprávy. Pokud chci globálně zakázat příjem zpráv z konkrétních e-mailových adres či celých domén, mohu je uvést zde: EMC: Organization Configuration -> Hub transport -> Anti-spam -> Sender Filtering Minimálně je doporučeno filtrovat zprávy, které nemají uvedenou adresu odesílatele vůbec. 16 Nastavení antispamových funkcí

Obrázek 16: Konfigurace Sender Filteringu 7.4 Filtrování dle příjemce (Recipient filtering) Tato ochrana je založena na testování e-mailové adresy příjemce uvedené v hlavičce zprávy. Pokud je požadováno zakázat příjem zpráv z Internetu pro konkrétní e-mailové adresy interních uživatelů, mohu je uvést zde: EMC: Organization Configuration -> Hub transport -> Antispam -> Recipient Filtering Velmi důležitou volbou je zde Block messages sent to recipients not listed in the Global Address List. Rozesílatelé spamu se totiž často pokouší posílat poštu na sice existující doménu, ale neexistující e-mailové adresy. Exchange server samozřejmě takovouto zprávu nedoručí, ale přesto je jejím zpracováním zbytečně zatěžován včetně zodpovědnosti za odeslání NDR. Řešením je kontrola existujících e-mailových adres ještě před vlastním přijetím zprávy. Tuto volbu tedy rozhodně nastavíme. Obrázek 17: Blokování zpráv na neexistující adresy Nastavení antispamových funkcí 17

7.5 Filtrování dle Sender ID (SenderID filtering) Sender ID filtering kontroluje odchozí IP adresu SMTP serveru oproti seznamu schválených IP adres pro odesílání v doméně odesílatele. Tyto adresy jsou volitelně zveřejněny v DNS pomocí tzv. Sender ID TXT záznamu. Pokud se zjistí, že e-mail je odeslán z neautorizované IP adresy, jedná se s vysokou pravděpodobností o nevyžádanou poštu a mohu s ní tak provést dvě akce: Odmítnout (není doporučeno) Smazat (není doporučeno) Označit a znevýhodnit v rámci content filteringu a výsledného skóre SCL Obrázek 18: Nastavení reakce na Sender ID kontrolu 7.6 Filtrování dle obsahu (Content filtering) Filtrování dle vlastního obsahu zprávy je velmi důležitou součástí ochrany proti nevyžádané poště. Pokročilý algoritmus se snaží ohodnotit na základě rozpoznaných charakteristických znaků nevyžádané pošty nebo známých spamových kampaní číslem SCL (Spam Confidence Level) pravděpodobnost toho, zda se jedná o korektní e-mailovou zprávu či naopak spam. SCL = 0 znamená korektní zprávu, SCL = 9 naopak značí v podstatě 100% pravděpodobnost, že se jedná o zprávu nevyžádanou. Správce pak pro jednotlivé úrovně SCL určuje akci, která se má provést. Na výběr je z následujících možností: Zprávu smazat bez NDR Zprávu odmítnout Zprávu umístit do karantény Zprávu doručit uživateli, ale do zvláštní složky Nevyžádaná pošta 7.6.1 Nastavení akce Dle praktických zkušeností je pro většinu firem nejvýhodnější následující seznam akcí, které uvádím včetně doporučených úrovní SCL: Zprávu smazat bez NDR SCL = 9 Zprávu odmítnout SCL = 7, 8 Zprávu doručit uživateli, ale do zvláštní složky Nevyžádaná pošta SCL = 4, 5, 6 Karanténu je doporučeno nepoužívat, pokud to není nezbytně nutné. Používání karantény totiž značně zatěžuje správce systému údržbou karanténní schránky, kterou je nutné pravidelně kontrolovat a také čistit. 18 Nastavení antispamových funkcí

První dvě akce nastavíme v EMC: Organization Configuration -> Hub transport -> Anti-spam -> Content Filtering. Obrázek 19: Reakce filtrování obsahu dle SCL SCL pro doručování do složky Nevyžádaná pošta se pak nastavuje pomocí EMS příkazem: Set-OrganizationConfig -SCLJunkThreshold 4 7.6.2 Konfigurace povolených a blokovaných slov Pomocí nastavení povolených slov je možné dramaticky snížit tzv. false-positive (chybné zablokování korektní zprávy). Každá organizace by se měla zamyslet s ohledem na její předmět podnikání a vydefinovat si často používaná povolená slova. Pro firmu prodávající razítka to může být: razítko, razítka, objednávka atp. Pokud je ve zprávě nalezené povolené slovo, SCL je automaticky nastaveno na hodnotu 0. Naopak pokud zpráva obsahuje blokované slovo, SCL bude stanoveno na úrovni 9. Vše nastavíme v EMC: Organization Configuration -> Hub transport -> Antispam -> Content Filtering -> Custom Words Obrázek 20: Určení povolených slov Nastavení antispamových funkcí 19

7.6.3 Specifikace výjimek pro konkrétní uživatele V případě potřeby mohu také nastavit seznam příjemců pošty, pro které se bude filtrování obsahu zcela ignorovat. Obrázek 21: Výjimky pro filtrování obsahu 7.6.4 Nastavení vlastního textu NDR při zamítnutí zprávy Zajímavou možností je také nastavení vlastního textu pro NDR, který se posílá odesílateli při zamítnutí na základě obsahu. Vlastní text nastavíme pomocí EMS příkazem: Set-ContentFilterConfig -RejectionResponse Zprava byla vyhodnocena diky svemu obsahu jako spam 7.7 Vybrané tipy pro optimalizaci antispamu V předcházejících kapitolkách jsme popsali základní nastavení antispamu, které je nutné provést víceméně vždy. V závěrečné části se zaměříme na rozšiřující nastavení, která nám pomohou využít všechny výhody Exchange 2010 antispamu opravdu na maximum. 7.7.1 Premium Antispam Pokud má firma k dispozici pro své uživatele Exchange Enterprise CAL nebo Forefront Protection 2010 for Exchange Server, může využívat tzv. Premium Antispam, což zahrnuje následující výhody: Denní aktualizace IMF content filteru (standardně jen 1x za 14 dní) Několikrát denně IP reputation aktualizace Několikrát denně aktualizace spamových kampaní 20 Nastavení antispamových funkcí

Jak premium antispam zapnout? V EMC najdeme v sekci Server Configuration -> Hub transport -> ServerName příkaz kontextového menu: Enable Anti-spam Updates. Dále nás již vede průvodce viz obrázek. Obrázek 22: Aktivace Premium antispamu 7.7.2 SafeList Aggregation Uživatel rozhraní Outlook Web Acces či Microsoft Office Outlook má možnost vytvořit si seznamy důvěryhodných odesílatelů (Safe Senders). Klient pak zprávy z těchto adres uživateli doručí vždy přímo do Doručené pošty. Jako uživatel tak mám možnost razantně ovlivňovat, jaké zprávy dojdou do Doručené pošty a jaké ne. Důležité je také vysvětlit, že bezpeční odesílatelé Uživatele A nejsou bezpečnými odesílateli pro uživatele B. Na rozdíl od předchozí verze, v Exchange Server 2010 dochází automaticky pomocí Mailbox Assistant službě k publikování těchto seznamů z uživatelských schránek do Active Directory a následně tedy i do Exchange organizace. 7.7.3 Individuální nastavení SCL akcí pro konkrétní schránku V některých případech je požadováno nastavit jiné hranice SCL pro určené schránky. Nejen, že to je možné, ale dokonce můžeme pro konkrétního uživatele i jednotlivé typy filtrování zapnout/vypnout. Nastavení se provádí výhradně pomocí EMS. Uvedeme si 2 příklady: Set-mailbox id Miroslav Knotek SCLRejectEnabled $false SCLQuarantineEnabled $false SCLDeleteEnabled $false žádná zpráva pro Miroslava Knotka nebude ani smazána, ani odmítnuta ani předána do karantény Set-mailbox id Miroslav Knotek SCLRejectThreshold 5 zprávy pro Miroslava Knotka se budou odmítat již proscl = 5 7.7.4 Whitelisting domény nebo adresy odesílatele Pokud chci vynechat z filtrování obsahu konkrétní e-mailové adresy odesílatele či celé domény, mohu toto nastavit v EMS pomocí příkazů Set-contentfilterconfig -BypassedSenderDomains microsoft.com Set-contentfilterconfig -BypassedSenders knotek@kpcs.cz Nastavení antispamových funkcí 21