Install and Configure Exchange Server 2019-Part 4

ایجاد Exchange Server 2019 SSL Certificate

مقدمه:

 Certificate Authority یک سرویسی است تحت سرور که وظیفه اصلی آن تهیه و صدور مجوز های اجرایی دیجیتالی Digital Certificate می باشد. CA SSL شامل مجموعه ای از اطلاعات هویتی و تشخیص هویت تعریف شده برای یک IP و یا FQDN بوده و به عنوان یک Public Key و یا private Key برای آن مشخصه محسوب می شود.

در واقع CA یک اعتماد دو طرفه را برای تبادل ارتباط در مبدا و مقصد ایجاد می کند و به عنوان یک امضای مورد اعتماد در مبدا و مقصد برای اهراز هویت یکدیگر محسوب می شوند.

انواع Trust Certificate:

  • Standard: تنها یک دامنه یا زیردامنه را در بر می­گیرد. مانند: https://webmail.rebeladmin.ir
  • Wildcard: یک دامنه و تعداد نامحدود از زیردامنه‌های آن را پوشش می‌دهد. مانند: https://*.rebeladmin.ir (علامت ستاره قبل از اسم دامین)
  • (SAN(Subject Alternative Names: برای استفاده در چندین دامنه کاربرد دارد، فرض کنید شرکت یا سازمان شما دارای دامنه های rebeladmin.com،rebeladmin.ir و rebeladmin.org هست، بهترین راه برای خرید Certificate استفاده از SAN Certificate می باشد که می تواند همه این دامنه ها را پوشش بدهد به جای اینکه اقدام به خرید چند دامنه کنیم.

برای نصب و راه اندازی Certificate در Exchange Server 2019 می توان به دو صورت آن را تهیه و استفاده نمود:

  1. نصب و راه اندازی CA Certificate Server داخلی و متناسب با اکتیو دایرکتوری و تهیه یک SSL داخلی در Microsoft Exchange Server 2019
  2. خرید تجاری Certificate از شرکت های provider که نیاز به پرداخت هزینه برای اعتبار مدت دار آن و استفاده از SSL مربوطه در Exchange Server 2019 می باشد.
۱- نصب و راه اندازی از طریق CA Certificate Server

ما اینکار را قبلا انجام داده ایم و در این پست آن را راه اندازی کرده ایم و آماده سرویس دهی است، پس برای نصب Certificate کافیه مراحل زیر را دنبال کنید:

کنسول مدیریتی IIS را باز کنید و مطابق شکل بعد از انتخاب Server Certificates از پنل سمت چپ Create Domain Certificates را انتخاب کنید.

در این مرحله اطلاعاتی در مورد سازمان یا شرکت، منطقه و .. از شما درخواست می کند که باید تکمیل نمایید. بر روی Next کلیک کنید. دقت داشته باشید در فیلد Common name ما یک Certificate از نوع
Wildcard ایجاد می کنیم.

اطلاعاتی در مورد سازمان یا شرکت

در این مرحله CA Certificate Server مورد نظر انتخاب کنید و به مرحله بعد بروید و با انتخاب یک نام در فیلد friendly name کار را به اتمام برسانید.

CA Certificate Server مورد نظر انتخاب کنید.

خوب کار ما به پایان رسید و می توانید با مراجعه به کنسول مدیریتی EAC، نصب Certificate مورد نظر را بررسی و از درستی آن مطمئن شوید.

بررسی Certificate مورد نظر
۲- نصب و راه اندازی از طریق سایت های معتبر خرید SSL

دقت داشته باشید در سناریوی پیش رو این نوع نصب مورد بحث ما نیست در نتیجه ما به جزئیات نمی پردازیم.

مراحل را مطابق شکل های زیر ادامه دهید.

در این مرحله ما در خواست یک Wildcard را داده ایم که شما می توانید از این قسمت صرف نظر کرده و در مراحل بعد یک در خواست از نوع Standard مانند webmail.rebeladmin.ir را بدهید.

سرور مورد نظر برای ذخیره سازی را انتحاب و در مرحله بعدی فیلذ های مورد نظر را مانند نمونه پر کرده و در مسیری که از قبل بر روی سرور به صورت Share ایجاد کرده ایم ذخیره می کنیم.

در این مرحله باید به یکی از سایت های معتبر خرید SSL مراجعه کنید، پس از خرید، فایل های خروجی را که
یک فایل با پسوند cer. است در مسیر share قرار دهید و مطابق شکل زیر بر روی Certificate Request که در حالت Pending request کلیک و در پنل سمت چپ بر روی Complete کلیک نمایید و مراحل را مطابق شکل زیر تا نصب کامل Certificate مورد نظر ادامه دهید.

کار ما به اتمام رسید در نتیجه می توانیم Service های مورد نظر را برای این Certificate نصب شده assign کنیم.

نصب و کانفیگ آنتی اسپم در Exchange Server 2019

مقدمه

هرزنامه ها، یا فرستندگان مخرب، از روش های مختلفی برای ارسال ایمیل ناخواسته به سازمان شما استفاده می کنند. هیچ ابزار یا فرآیند به تنهایی نمی تواند تمام اسپم را از بین ببرد. با این حال، مایکروسافت تبادل یک رویکرد چند لایه و چند منظوره برای کاهش این پیام های ناخواسته را فراهم می کند. Exchange از
transport agents برای حفاظت، از ضد اسپم استفاده می کند و عوامل داخلی که در Exchange Server 2016 و Exchange Server 2019 در دسترس هستند از Exchange Server 2010 نسبتا بدون تغییر هستند. در Exchange 2016 و Exchange 2019، پیکربندی و مدیریت این عوامل تنها از طریق Exchange Management Shell در دسترس می باشد.(برای اطلاعات بیشتر می توانید به این صفحه از سایت مایکروسافت مراجعه کنید)

فعال کردن antispam روی Mailbox Servers

antispam agent ها در Transport Service روی Exchange Server 2019 فعال هستند ولی به صورت پیش فرض نصب نیستند که شما می توانید از طریق دستور زیر در EMS آن را نصب کنید.

& $env:ExchangeInstallPath\Scripts\Install-AntiSpamAgents.ps1

دستور بالا یک اسکریپ را برای شما اجرا می کند که بعد از آن باید از طریق دستور زیر
Transport service را Restar کنید.

Restart-Service MSExchangeTransport

با دستور زیر می توانید سرورهای داخلی SMTP را در سازمان خود مشخص کنید.

Set-TransportConfig -InternalSMTPServers @{Add="<ip address1>","<ip address2>"...}

و صحت عملکرد خود را با دستور زیر بررسی کنید.

Get-TransportConfig | Format-List InternalSMTPServers

اکنون Content Filter agent, Sender ID agent, Sender Filter agent, and Protocol Analysis (sender reputation) agent باید بر روی Mailbox server باید نصب باشند. با دستور زیر می توانید صحت عملکرد را بررسی کنید.

Get-TransportAgent

content filtering پیام های ورودی را برای تعیین اینکه آیا یک پیام قانونی یا هرزنامه می باشد، ارزیابی می کند.

شما می توانید بسیاری از جنبه های content filtering را تنظیم کنید. مثلا:

  • content filtering را روی پیام ها از منابع داخلی (معتبر) و خارجی (غیرقابل شناسایی) فعال یا غیرفعال کنید (پیش فرض برای پیام های دریافتی از منابع خارجی فعال می شود).
  • پیکربندی استثناهای content filtering برای فرستندگان خاص، گیرندگان و source domain ها.
  • پیکربندی عبارات مجاز و عبارات مسدود شده برای جستجو در پیام ها.
  • تنظیم آستانه (spam confidence level (SCL که به شما می گوید که content filtering چه باید نسبت به پیام ها انجام دهد.(حذف، رد یا قرنطینه)

فعال یا غیر فعال کردن content filtering:

Set-ContentFilterConfig -Enabled $false
Set-ContentFilterConfig -Enabled $true

فعال و غیر فعال کردن content filtering برای پیامهای داخلی یا خارجی:

ایمیل های خارجی

Set-ContentFilterConfig -ExternalMailEnabled $false
Set-ContentFilterConfig -ExternalMailEnabled $true

ایمیل های داخلی

Set-ContentFilterConfig -InternalMailEnabled $true
Set-ContentFilterConfig -InternalMailEnabled $false

من در این قسمت content filtering را ابتدا فعال کردم (پیش فرض فعال می باشد) و برای ایملهای داخلی غیرفعال و برای ایملهای خارجی فعال کردم و سپس صحت عملکرد آنها را بررسی کردم.

تنظیمات content filtering برای مدیریت استثناهای دریافت کننده و فرستنده:

این یک دستور کامل برای این منظور می باشد:

Set-ContentFilterConfig -BypassedRecipients @{Add="<recipient1>","<recipient2>"...; Remove="<recipient1>","<recipient2>"...} -BypassedSenders @{Add="<sender1>","<sender2>"...; Remove="<sender1>","<sender2>"...} -BypassedSenderDomains @{Add="<domain1>","<domain2>"...; Remove="<domain1>","<domain2>"...}

برای مثال در صورتی که ایمیل های دریافتیتان از دامین خاصی بلاک و به عنوان اسپم شناخته می‌شود با دستورات زیر می توانید عمل Trust را انجام بدید (یک دامین با تمام sub دامینهایش):

Set-ContentFilterConfig -BypassedRecipients -BypassedSenderDomains *.example.com

پیکربندی عبارات مجاز و مسدود شده برای content filtering :

Add-ContentFilterPhrase -Influence GoodWord -Phrase <Phrase> -Influence BadWord -Phrase <Phrase>

برای حذف عبارات بلاک شده یا اضافه شده از دستور زیر می توانید استفاده کنید:

Remove-ContentFilterPhrase -Phrase <Phrase>

برای بررسی تنظیمات انجام شده در این قسمت می توانید از دستور زیر کمک بگیرید:

Get-ContentFilterPhrase | Format-Table -Auto Influence,Phrase

پیکربندی spam quarantine برای Mailbox و ایجاد یک spam confidence level

مایکروسافت پیشنهاد می دهد برای spam quarantine mailbox ها یک mailbox و user account چداگانه و حتی یک database جداگانه ایجاد کنید. ما در این مرحله فقط یک user account برای این منظور ایجاد می کنیم.(در صورتی که spam quarantine mailbox فعال نکنیم قادر به ایجاد SCL نیستیم).

Set-ContentFilterConfig -QuarantineMailbox [email protected]

anti spam agent ایمیل های دریافتی را بر اساس میزان سطح اعتماد تقسیم بندی و از ۰ تا ۹ به آنها مقداری می‌دهد که به (spam confidence level (SCL معروف است، که هرچه این میزان به ۹ نزدیک تر باشد احتمال Spam بودن ایمیل بیشتر است.برای این منظور می توانید از دستور زیر استفاده کنید:

Set-ContentFilterConfig -SCLDeleteEnabled <$true | $false> -SCLDeleteThreshold <Value> -SCLRejectEnabled <$true | $false> -SCLRejectThreshold <Value> -SCLQuarantineEnabled <$true | $false> -SCLQuarantineThreshold <Value>

این مثال مقادیر زیر را برای آستانه SCL تنظیم می کند:

  • عمل حذف فعال است و آستانه مربوط SCL به ۹ تنظیم شده است.
  • عمل رد فعال است و آستانه مربوط SCL به ۸ تنظیم شده است.
  • عمل قرنطینه فعال شده و آستانه مربوط SCL به ۷ تنظیم شده است.
Set-ContentFilterConfig -SCLDeleteEnabled $true -SCLDeleteThreshold 9 -SCLRejectEnabled $true -SCLRejectThreshold 8 -SCLQuarantineEnabled $true -SCLQuarantineThreshold 7

برای تائید صحت پیکربندی از دستور زیر استفاده کنید:

Get-ContentFilterConfig | Format-List SCL*

هنگامی که عمل Reject action را فعال می کنید، با دستور زیر می‌توانید یک پیغام سفارشی در صورتی که ایمیل Reject شد به فرستنده ارسال کنید. پاسخ Reject نمی تواند بیش از ۲۴۰ کاراکتر باشد.

Set-ContentFilterConfig -RejectionResponse "Your message was rejected because it appears to be SPAM."

برای بررسی صحت کانفیگ پیغام خود می توانید از دستور زیر استفاده کنید:

Get-ContentFilterConfig | Format-List *Reject*

اضافه کردن IP Block List Provider به Exchange Server 2019 Edge Transport

در صورتی که در سناریویی از Edge Transport در Exchange Server خود استفاده کردید می توانید از IP Block List Provider برای کاهش Spam ها استفاده کنید که تنظیمات آن به صورت زیر می باشد.

هنگامی که Exchange Server در سازمان شما یک Spam دریافت می کند، می توانید IP addresses های Spam را به IP block list در Edge Transport server خود اضافه کنید، این یک عمل کارآمدی نیست و دائما باید به لیست خود IP اضافه کنید در نتیجه یک رویکرد موثرتر این است که از یک یا چند ارائه دهنده فهرست لیست IP block ، مانند Spamhaus یا SpamCop استفاده شود. این IP Blocklist Provider یک سری سایت ها هستند که شامل یک دیتابیس بروز از Spammer ها هستند و زمانی که exchange یک درخواست از بیرون دریافت میکند از طریق ارسال DNS Query به این Provider امکان شناسایی Spammer ها رو فراهم می کنند.

برای انجام این تنظمیات می توانید از دستور زیر استفاده کنید:

Add-IPBlockListProvider -Name Spamhaus -LookupDomain zen.spamhaus.org -AnyMatch $true -Enabled $true -RejectionResponse "IP address is listed by Spamhaus"

شما می توانید برای تغییر پیام Rejection از دستور زیر استفاده کنید:

Set-IPBlockListProvider Spamhaus -RejectionResponse "IP address is listed by Spamhaus Zen."

از دستور زیر می توانید این لیست Provider ها را مشاهده کنید:

Get-IPBlockListProvider

برای بررسی اینکه آیا لیست های شما موثر هستند، چند روز صبر کنید تا ترافیک جمع شود و پس از رفتن به پوشه \ Exchange Server \ scripts دستور زیر وارد کنید:

Get-AntispamTopRBLProviders.ps1

تبریک میگوییم شما توانستید به صورت کاملا اصولی میل سرور خود را نصب و راه اندازی کنید و آن را پیکربندی کنید.

امیدوارم تا اینجای کار مشکلی نداشته باشید.

در صورت هر مشکلی در این سناریو می توانید در بخش نظرات آن را مطرح کنید تا بررسی شود.

موفق و پیروز باشید.

یا حق.

0 0 vote
Article Rating
اشتراک گذاری:
مسولیت زندگیتان را به عهده بگیرید. این را بدانید … فقط شما هستید که میتوانید خودتان را به جایی که میخواهید برسانید، نه هیچکس دیگری.
پست ایجاد شده 13
اشتراک در
اطلاع از
guest
0 نظرات
Inline Feedbacks
View all comments

پست های مرتبط

متنی که میخواهید برای جستجو وارد کرده و دکمه جستجو را فشار دهید. برای لغو دکمه ESC را فشار دهید.

بازگشت به بالا
0
Would love your thoughts, please comment.x
()
x