Обслуживаемые домены, общие адресные пространства SMTP и фильтрация получателей

  • Article

Оригинал статьи опубликован в пятницу, 7 октября 2011 г.

Принятие доменом DNS входящей почты и ее ретрансляция на соответствующие почтовые узлы за пределами организации Exchange в Exchange 2003 было простым процессом, если не считать некоторых особенностей, описанных в следующих статьях:

  • KB 321721. Способы совместного использования адресного пространства SMTP в Exchange Server 2000 или Exchange Server 2003
  • KB 315511. XADM: как настроить централизованный общий доступ к домену SMTP в Exchange Server 2000 для независимых организаций

В Exchange 2003 использовались политики получателей, чтобы определять домены, для которых серверы Exchange Server должны принимать электронную почту, и чтобы создавать адреса электронной почты для получателей на основе этих доменов.

Политики получателей также позволяли применять параметры диспетчера почтовых ящиков — функциональности, являющейся аналогом системы управления записями сообщений (MRM) в Exchange 2003.

Обслуживаемые домены и политики адресов электронной почты

В Exchange 2007 функциональность политик получателей была разделена на два компонента: обслуживаемые домены и политики адресов электронной почты. Обслуживаемые домены используются для определения доменов SMTP, для которых транспортные серверы будут получать электронную почту, а политики адресов электронной почты (EAP) используются для создания адресов электронной почты получателей. Политики адресов электронной почты используют обслуживаемые домены — необходимо иметь обслуживаемый домен, чтобы была возможность создания адресов электронной почты при помощи этого домена. Например, если требуется, чтобы получатели имели адреса электронной почты в доменах contoso.com и tailspintoys.com, сначала необходимо создать обслуживаемый домен для каждого из этих доменов, а затем создать политику адресов электронной почты для определения формата автоматически создаваемых адресов электронной почты. Например, имя.фамилия@contoso.com.

Для применения политик получателей версия Exchange 2003 позволяет использовать фильтры протокола LDAP, а версии Exchange 2010 и 2007 фильтруют получателей с помощью синтаксиса фильтрации OPATH, посредством которого применяются политики адресов электронной почты. Ряд предустановленных фильтров включен в интерфейс политик адресов электронной почты в консоли управления Exchange (EMC) или присутствует в виде параметров командной строки, упрощая использование некоторых более часто используемых свойств получателей, таких как название компании, отдел, должность и настраиваемые атрибуты 1–15, для применения политик. Предустановленные фильтры удовлетворяют требованиям большинства развертываний Exchange. Если требуются более сложные фильтры, можно создать настраиваемый фильтр получателей при помощи параметра командной строки RecipientFilter . Настраиваемый фильтр получателей позволяет использовать в себе длинный список свойств получателей, по которым может осуществляться фильтрация. Список свойств, по которым может осуществляться фильтрация, приведен в разделе Фильтруемые свойства для параметра -RecipientFilter в Exchange 2007 с пакетом обновления 1 (SP1) или пакетом обновления 2 (SP2).

Обслуживаемые домены и общий доступ к адресным пространствам SMTP

Отделение имени домена и объектов политик адресов электронной почты существенно упрощает общий доступ к адресным пространствам SMTP. В Exchange 2010 и Exchange 2007 можно создавать следующие три типа обслуживаемых доменов.

  1. Уполномоченные домены. Уполномоченный домен означает, что организация Exchange имеет доверие со стороны домена и данные о всех его получателях. Обычно все получатели в уполномоченном домене являются получателями Exchange — почтовые ящики, группы рассылки, общедоступные папки с поддержкой почты. Получатели могут быть и в других почтовых системах, но в Exchange для них должен иметься объект контакта с поддержкой почты (MailContact) или пользователя с поддержкой почты (MailUser). И хотя и можно вручную создать автономные почтовые контакты или почтовых пользователей, обычно они создаются с помощью синхронизации каталогов примерно в следующих ситуациях:

    • Другое подразделение, имеющее собственный лес Active Directory.
    • В одной и той же организации используется другая система обмена сообщениями или каталог.

    После репликации Exchange знает, как доставлять почту таким получателям.

    Так как система Exchange имеет доверие в домене, она должна создавать отчет о недоставке (NDR) для тех сообщений, которые она принимает, но не может доставить по какой-либо причине, включая случаи отсутствия получателей в Active Directory. Можно использовать фильтрацию получателей и автоматически удалять почту для несуществующих пользователей.

  2. Домены внешней ретрансляции. Если серверы Exchange Server должны принимать электронную почту для домена, у которого в системе нет ни одного получателя, и затем перенаправлять такую почту на другой почтовый узел, можно создать домен внешней ретрансляции. В этом случае Exchange не имеет данных о получателях и поэтому не может выполнять такие действия, как фильтрация получателей и удаление почты для несуществующих получателей. Принятие входящей почты через централизованную инфраструктуру обмена сообщениями является распространенным решением. Так как система Exchange не имеет доверия в домене, она ответственна только за перенаправление почты до следующего прыжка домена. На этом прыжке должны создаваться все отчеты о недоставке в случае невозможности доставки.

    Чтобы перенаправить электронную почту, приходящую на домен внешней ретрансляции, на почтовые узлы, имеющие доверие домена (или на следующий прыжок, который сможет перенаправить на них), необходимо создать соединитель отправки для домена и указать следующий прыжок как промежуточный узел. В топологиях с пограничным транспортным сервером такие сообщения электронной почты перенаправляются пограничным транспортным сервером, и транспортным серверам-концентраторам не требуется обрабатывать такие сообщения.

  3. Домены внутренней ретрансляции. Домены внутренней ретрансляции выполняют важную роль, которая требует достаточно сложной настройки в Exchange 2003. Они позволяют принимать электронную почту для домена, в котором некоторые получатели могут находиться в организации Exchange, а другие получатели могут быть в другой системе обмена сообщениями. Exchange может иметь данные о получателях в другой системе обмена сообщениями посредством почтовых контактов или пользователей. Или система Exchange может доставлять все сообщения, которые можно доставить локально (на любой сервер Exchange Server в организации), и перенаправлять сообщения для неизвестных получателей на другой почтовый узел при помощи соединителя отправки для того же домена. Так как система Exchange не имеет доверия в этом домене, она не создает отчеты о недоставке для тех получателей, за которых она не ответственна.

    Домены внутренней ретрансляции и соединители отправки
    Одно важное условие при использовании доменов внутренней ретрансляции заключается в том, что соединитель отправки, используемый для отправки почты неизвестным получателям на другой почтовый узел, не может иметь источником пограничный транспортный сервер, так как на нем уже настроен прием всей почты домена и ее перенаправление на транспортные серверы-концентраторы. В этом случае соединитель отправки должен иметь источником транспортные серверы-концентраторы. Также необходимо указать другой почтовый узел в качестве промежуточного.


Рис. 1. Создание обслуживаемого домена в консоли управления Exchange

Дополнительные сведение см. в разделе Общие сведения об обслуживаемых доменах.

Обслуживаемые домены и фильтрация получателей

Важным вопросом при создании обслуживаемых доменов является фильтрация получателей. При использовании встроенных в Exchange фильтров защиты от нежелательной почты можно отфильтровать получателей, которые отсутствуют в организации, посредством функции фильтрации получателей. Это позволяет удалить большую часть спама (на уровне шлюза, если реализован пограничный транспортный сервер с EdgeSync). Кроме того, данная функция позволяет серверам не обрабатывать почту несуществующих получателей и не создавать отчеты о недоставке для отправителя, адрес которого может вообще не существовать или быть подделанным рассыльщиком нежелательную почты.

Если имеется топология с пограничным транспортным сервером и настроена функция EdgeSync, информация о получателе синхронизируется с транспортного сервера-концентратора на пограничный транспортный сервер, который затем использует эти данные для удаления электронной почты для несуществующих в организации получателей. Если пограничный транспортный сервер не развернут, на транспортном сервере-концентраторе можно установить агенты для защиты от нежелательной почты и включить функцию фильтрации получателей.

Многие сторонние решения для обеспечения безопасности SMTP, которые обычно развертываются в сети периметра, также могут искать получателей в Active Directory, хотя для этого им может потребоваться подключение LDAP к контроллеру домена или глобальному каталогу Active Directory, расположенному во внутренней сети, или иной способ для репликации информации о получателях. Для сравнения, соединения EdgeSync являются исходящими (безопасный протокол LDAP) от транспортных серверов-концентраторов к пограничному транспортному серверу и не требуют открытия каких-либо портов для входящего трафика во внутреннем брандмауэре.

Как функция фильтрации получателей обрабатывает получателей из обслуживаемых доменов других типов? В случае уполномоченных доменов, в которых система Exchange имеет данные о всех получателях, функция фильтрации получателей удаляет почту для получателей, которые не существуют в Active Directory. В случае доменов внешней ретрансляции система Exchange не имеет данных ни о каких получателях, поэтому такая фильтрация невозможна. Домены внутренней ретрансляции являются промежуточным вариантом — система Exchange может иметь, а может и не иметь данные о получателях.

Включение фильтрации получателей для обслуживаемого домена осуществляется настройкой свойства AddressBookEnabled . Значения по умолчанию для каждого типа обслуживаемого домена приведены в следующей таблице.

Тип обслуживаемого домена AddressBookEnabled
Уполномоченный True
Внешней ретрансляции False
Внутренней ретрансляции False

Для доменов внутренней ретрансляции по умолчанию задано значение False. Это значит, что Exchange (т. е. агент фильтрации получателей, если он включен и настроен на удаление электронной почты для получателей, которые не существуют в Active Directory) не проверяет получателей на существование. Если используется механизм репликации получателей в Active Directory из другой организации Exchange или из отличной от Exchange системы обмена сообщениями, можно присвоить свойству значение True и, таким образом, включить проверку получателей на допустимость функцией фильтрации получателей.

Set-AcceptedDomain foo.com –AddressBookEnabled $true

Бхарат Сунеджа (Bharat Suneja)

Это локализованная запись блога. Исходная статья находится по ссылке Accepted Domains, Shared SMTP Address Spaces and Recipient Filtering