суббота, 29 января 2011 г.

Кому и зачем нужен Microsoft Exchange 2010 Edge сервер?

clip_image001На формах часто можно встретить вопрос: «А нужен ли мне Edge-сервер? И если нужен, то зачем?» Вот именно на него я постараюсь ответить в этой статье, а потом, для тех, кому он окажется все же нужным, в следующей статье расскажу про технические аспекты его работы.

Понятно, что позиция самой компании Microsoft заключается в том, что Edge-сервер нужен в обязательном порядке. И действительно, если вы имеете полностью Windows-ориентированную инфраструктуру, то в пользу внедрения сервера Exchange 2010 Edge могут быть выдвинуты следующие утверждения:

  • Простота администрирования сервера целиком, т.к. администратору придется управлять системой Windows Server 2008 и MS Exchange Server 2010 через уже знакомый интерфейс;
  • Exchange 2010 Edge содержит набор дополнительных транспортных агентов, которые отсутствуют на HUB-сервере;
  • Exchange 2010 Edge тесно интегрируется с Microsoft Forefront Protection for Exchange 2010 (FPE);
  • Exchange 2010 Edge позволяет уменьшить область атаки на организацию и сократить объем потенциально доступных злоумышленнику данных, просто потому, что он их не содержит.

Что касается вопроса отказа от установки Exchange 2010 Edge, то тут, на мой взгляд, может быть несколько вариантов:

  • Прямая публикация сервера HUB. Крайне не рекомендуемый вариант;
  • Использование в качестве пограничного почтового сервера альтернативного программного продукта. Например, Linux-подобных серверов. При этом нужно учитывать, что вам необходимо иметь в штате специалиста, способного управлять этим сервером;
  • Фильтрация почты «на стороне», в результате которой на ваш внутренний HUB-сервер приходи уже «чистый» поток почты. Подобный вариант может быть реализован на базе услуг, предоставляемых вашим Интернет-провайдером, либо можно использовать облачный сервис компании Microsoft - cлужбу Forefront Online Security for Exchange. Forefront Online Security for Exchange - это набор специализированных средств, для фильтрации спама и вирусов, а также защиты от фишинг-атак. С ее помощью предотвращаются попытки несанкционированного доступа, она обеспечивает многоуровневую защиту от спама и вирусов.

Очевидно, что к вопросу планирования инфраструктуры нужно подходить осознанно, взвесив все «за» и «против» относительно какого-либо решения. Необходимо обратить внимание не только на первоначальные финансовые и технические вложения, но и посчитать стоимость владения решением в перспективе, учитывая при этом стоимость эксплуатации самих серверов (энергопотребление, аренда помещения, качество гарантийного обслуживания и т.п.).

Важно знать, что зачастую, цена бесплатных программных продуктов, за весь период эксплуатации, выливается для компании в очень большие деньги, и в эту сумму входит не только зарплата отдельных сотрудников, обслуживающих конкретно эти системы, но и ущерб от длительных простоев, связанных с отсутствием качественно технической поддержки. Здесь нужно просто понимать, что стоимость самой покупки и стоимость владения её – это две абсолютно разные цифры, зачастую различающиеся в десятки раз.

Заключение

Это, пожалуй, все, что я хотел сказать на тему вопроса «Использовать или не использовать сервер Microsoft Exchange 2010 Edge». В следующей статье мы поговорим о технической стороне его эксплуатации.

11 комментариев:

Анонимный комментирует...

фирма маленькая поставил exchange без выделенного Edge сервера, имя внешнего домена firma.ru внутренний АД firma.local, теперь часть почты возвращается с ошибкой что mail.firma.local не имеет днс имени или что то аналогичное, а на коннекторе не дает исправить на firma.ru говорит должно быть mail.firma.local, как исправить?

Алексей Богомолов (Alexx) комментирует...

А у вас адреса у пользователей вида @firma.ru или @firma.local?

Анонимный комментирует...

Наверное часть почты не проходит тест на наличие записи in-addr-arpa, поэтому и возвращается и к настройкам сервера это никак не относится?

Анонимный комментирует...

Здравствуйте!

Alexx, подскажите пожалуйста. Мне нужно опубликовать Exchange 2010 в интернет для удалённого доступа НЕКОТОРЫХ пользователей AD. С IMAP/POP3 всё понятно, разрешается в свойствах конкретной учётки, а как быть с SMTP? Фильтрация по IP неподходит, EDGE нет. Как отключить доступ по SMTP к Exchange 2010 для отдельных пользователей AD? Аутентификация SSL/TSL.

Спасибо.

Алексей Богомолов (Alexx) комментирует...

Пользователи подключаются к серверу по IMAP/POP3/HTTPS/MAPI. По SMTP они лишь отправляют письма. Я не понимаю в чем конкретно у вас проблема, подробнее поясните вопрос, пожалуйста.

Анонимный комментирует...

Проблема в том, что пользователей в AD много, но доступ к отправке почты через SMTP нужно дать только определённой группе пользователей. Собственно, это внешние пользователи филиала, в AD они только для того, чтобы можно было завести на них почтовые ящики в Exchange и они могли отправлять и получать почту через IMAP/SMTP. Локально они не логинятся. Хотя возмодно потребуется необходимость некоторым давать и локальный доступ.

Анонимный комментирует...

В таком случае имеем "внешних" пользователей с сильным сложным паролем, с минимальными правами в системе и с доступом извне, и локальных с простыми паролями, но без доступа извне.

Алексей Богомолов (Alexx) комментирует...

Странная задача... Попробуйте создать новый коннектор и поиграться с его правами доступа, примерно так:
Get-ReceiveConnector "Имя коннектора" | Add-ADPermission -User "группа пользователей" -ExtendedRights "Ms-Exch-SMTP-Accept-Any-Recipient"

Анонимный комментирует...

Кстати, почему нужно новый коннектор создавать? К "Default" можно добавить права? Я попробовал создать новый коннектор, включил анонимный доступ, затем затем через ADSIEdit поставил запрет всем пользователям и группам (кроме "Все" и "Анонимный вход") на "Submit messages ...", добавил новую группу безопасности AD с пользователями, у которых доден быть доступ, и поставил этой группе права "Submit messages to any...", "Submit messages to Server", "Accept Routing Headers", "Bypass Anti-Spam".

Попробовал отправлять сообщения на этот коннектор. Без аутентификации принимает только для обслуживаемого домена, для других отвечает что не является открытым ретранслятором. Если с аутентификацией, то аутентификация проходит только с пользователями из выделенной группы безопасности AD. Я что-то упустил?

Andreyneemo комментирует...

Здравствуйте, товарищи! Подумал все таки лучше приобрести Exchange 2010, чем скачать ее так вот у кого лучше ее приобрести, нашел две конторы неплохих которые занимаются не только продажей но и внедрением. 1. http://miaton.ru/solution/integration/ms-exchange
2. http://www.croc.ru/

Unknown комментирует...

Некоторые полезные команды. Кому то может очень круто облегчить жизнь
http://so4net.com/index.php/ru/blog/111-antispam-edge-exchange

Отправить комментарий