Биржа рерайта: Работа копирайтером на дому, биржа копирайтинга TEXT.RU

Теперь настроим все необходимые свойства TLS в коннекторе:

 Get-ReceiveConnector «From EOP» | Set-ReceiveConnector -AuthMechanism ExternalAuthoritative, Tls -RequireTls: $ true -TlsDomainCapabilities mail.protection.outlook.com:AcceptOorgProtocol -TlsCertificateName $ tlscertificatename -fqdn mail.yourdomain.com 

Убедитесь, что полное доменное имя соединителя соответствует имени сертификата.

Выше снимок наиболее важных свойств соединителя приема.

Соединитель подачи

Опять же, для соединителя отправки у вас может быть несколько сценариев. На мой взгляд, у моего пограничного сервера есть простой соединитель отправки, не привязанный к какому-либо транспортному правилу или адресному пространству, который отправляет исходящую электронную почту для всех доменов. Поскольку этот соединитель отправки предназначен для отправки электронной почты в Интернет, никаких специальных параметров TLS не настраивается.

Я использовал следующую команду:

 New-SendConnector -Internet -Name "To Internet" -AddressSpaces * 

См. Здесь, как создать соединитель отправки и создать свой собственный.

Правила перезаписи пограничного адреса Exchange

Прежде чем я объясню, какие правила вам следует создать, я настоятельно рекомендую вам прочитать эту статью о переопределении адресов на серверах Microsoft Edge.

Правила перезаписи адресов могут выполняться для каждого домена или для каждого пользователя. Когда вы планируете свой, подумайте, достаточно ли правила типа домена или нет, т.е.д. Вы хотите перевести [email protected] на [email protected] или хотите перевести [email protected] на [email protected], то есть изменить префикс или нет? Если ответ положительный, префикс изменится, значит, вам нужно одно правило для каждого пользователя.

Давайте теперь проверим, что нам нужно сделать для этого конкретного сценария:

• [email protected] находится на первом арендаторе, и нам нужно перевести его адрес на [email protected]
• [email protected] находится на втором арендаторе, и нам нужно перевести ее адрес на [email protected]

Теперь правила:

 New-AddressRewriteEntry -Name "John tenant1.myexchlab.com to myexchlab.com" -InternalAddress [email protected] -ExternalAddress [email protected] 

 Новый-адресПерезаписать -Имя "Mary tenant2.myexchlab.com на myexchlab.com" -Внутренний адрес [email protected] -Внешний адрес [email protected] 

Правила, которые я создал в этом сценарии, являются двунаправленными.

Опять же, вы должны учитывать правила домена, когда это применимо. Вы также можете импортировать правила через CSV, чтобы убедиться, что вы можете создать все правила с минимальными усилиями.

Защитите свой Edge от злонамеренного ретранслятора электронной почты, создав правила транспорта

Когда вы настраиваете соединители для входящей и исходящей ретрансляции электронной почты, хотя для подключений требуется TLS и они принимают электронные письма только из Exchange Online, вы не можете контролировать, что другие клиенты Exchange Online будут пытаться делать, и попытаются ли они использовать ваш Edge для ретрансляции электронной почты.

Чтобы иметь возможность контролировать это, вам необходимо создать несколько правил транспорта на всех ваших пограничных серверах. Создание правила транспорта на пограничном сервере не так линейно и не имеет тех же доступных опций, что и сервер CAS, но вот что вам нужно сделать:

Сначала исключите домены-получатели, создав по одному правилу транспорта для каждого (или консолидируя все в одном), которое в основном останавливает обработку правила транспорта, если обнаруживает совпадение:

 New-TransportRule -Name - электронные письма извне на myexchlab.com Inside "-FromScope NotInOrganization -AnyOfRecipientAddressContains" myexchlab.com "-StopRuleProcessing $ true 

 New-TransportRule -Name «Электронные письма извне в tenant1.myexchlab.com внутри» -FromScope NotInOrganization -AnyOfRecipientAddressContains «tenant1.myexchlab.com» -StopRuleProcessing $ true 

 New-TransportRule -Name «Электронные письма извне в tenant2.myexchlab.com внутри» -FromScope NotInOrganization -AnyOfRecipientAddressContains «tenant2.myexchlab.com» -StopRuleProcessing $ true 

И, наконец, правило с меньшим приоритетом, при котором письмо будет отброшено, если оно получено за пределами Организации:

 New-TransportRule -Name «Отбросить электронную почту, если за пределами организации» -FromScope NotInOrganization -DeleteMessage $ true 

Приведенные выше правила должны иметь правильный приоритет, то есть с приоритетом от 0 до 2 должны быть правила, которые прекращают обработку большего количества правил, если обнаружен внутренний домен.

Затем, если ни у одного из получателей сообщения не обнаружен внутренний домен, Edge должен отбросить сообщение. Это сделано для того, чтобы входящая электронная почта по-прежнему работала, а исходящая не допускает вредоносных соединений для ретрансляции.

В основном то, что вы говорите в последнем правиле, заключается в том, что если отправитель не является внутренним по отношению к вашей организации, попросите пограничный сервер просто отбросить электронное письмо, если это правило будет обработано. Я настоятельно рекомендую вам протестировать правило сразу после его внедрения и убедиться, что оно разрешает все необходимые вам домены.

Давайте покажем правило в действии:

Как вы можете видеть выше, электронное письмо, отправленное из неподдерживаемого домена, отбрасывается пограничным сервером. Также помните, что правила были обработаны, потому что ни одно другое правило не обнаружило совпадения домена у всех получателей.

Рассматривайте правила транспорта, хотя, к сожалению, очень ограниченные при применении на пограничных серверах, когда речь идет о доступных действиях и предикатах, как дополнительный и важный уровень безопасности, который вы можете применить к своей инфраструктуре.

Обслуживаемые домены на пограничном сервере

Одна из важных вещей, о которых я упоминал ранее, заключается в том, что пограничный сервер рассматривает исходящие и входящие электронные письма, отправленные в домены и из доменов, на которые вы переводите, как внутренние электронные письма.

В моем сценарии все, что мне нужно было начать, это автономный пограничный сервер без обслуживаемых доменов, что может не подходить для вас, если вы используете Edge в существующей гибридной инфраструктуре, но если это так, вот что вам нужно чтобы знать об обслуживаемых доменах:

• Добавьте основной домен из исходного и целевого клиентов, который вы переводите из (исходящего) и во (входящего)
• Добавьте общий домен, который используют оба арендатора.

Вот мой снимок, чтобы вы лучше понимали, что мне нужно для моего сценария.

DNS-записей

Теперь позвольте мне описать, как должны быть настроены записи DNS, относящиеся к моей электронной почте. Помните, что это характерно для моего сценария. Также я рассматриваю только записи MX и SPF DNS. Убедитесь, что вы применяете отраслевые рекомендации для электронной почты при настройке доменов электронной почты (например, DKIM).

Записи MX

Вот как в моем сценарии настраиваются записи MX для всех 3 доменов:

• tenant1.myexchlab.com: запись MX указывает на EOP в клиенте Office 365, где действителен домен
• арендатор 2.myexchlab.com: запись MX указывает на EOP в клиенте Office 365, где действителен домен
• myexchlab.com: MX указывает на пул пограничных серверов

Объяснение вышесказанного простое, вам нужно убедиться, что любое электронное письмо, не связанное с перезаписью адреса, может быть отправлено правильному получателю. Например, если кто-то напишет на адрес [email protected] внешний адрес электронной почты, нет никаких причин для того, чтобы электронное письмо проходило через процесс перезаписи адреса или через пограничный пул. И это относится к любому внешнему обмену данными, идущему к источнику и получателю, идущему непосредственно в эти домены.

Что касается myexchlab.com, происходит обратное, то есть, если кто-то отправляет электронное письмо по адресу [email protected], электронное письмо должно быть отправлено на Edge, чтобы агент входящего транспорта мог преобразовать этот адрес в [email protected]. По этой причине и поскольку Edge является источником полномочий для домена myexchlab.com, который фактически не является адресом SMTP ни у одного получателя в моем сценарии, MX для этого домена должен указывать на него.

Записи SPF

Здесь я выбрал самый безопасный подход и настроил все записи SPF одинаково для всех 3 доменов, чтобы включить отправителей из:

• Запись MX
• Защита Exchange Online
• Пограничный сервер

Давайте разберем это:

• арендатор1.myexchlab.com и tenant2.myexchlab.com: для этих доменов, размещенных в Office 365, что позволяет использовать MX и EOP избыточно, но это не причиняет вреда, и я разрешил пограничный сервер по одной простой причине, если преобразование адресов не выполняется для по какой-то причине электронная почта все еще может исходить с пограничного сервера, и исходный адрес будет находиться в одном из этих доменов, поэтому в этих неожиданных сценариях вам следует добавить Edge в SPF.
• myexchlab.com: для этого домена добавление EOP фактически не требуется в моем сценарии, поскольку нет момента времени, когда ожидается, что домен будет перемещен в Office 365, но в большинстве сценариев, особенно сценариев миграции, EOP должен быть в разрешенных отправителях, поэтому я добавил его.Edge и MX снова избыточны, но у вас должен быть хотя бы один из них.

Вот как будет выглядеть SPF:

v = spf1 mx ip4: [Публичный адрес Edge IPV4], включая: spf.protection.outlook.com ~ все

Как все работает

Пришло время протестировать сценарий. Вот что я сделаю:

• Отправка исходящего сообщения от обоих арендаторов
• Ответить на исходящие письма
• Отправьте входящее сообщение обоим арендаторам

Мы проанализируем следующие результаты:

• Проверить адреса отправителя и получателя «от» и «до», просматривая электронную почту в месте назначения
• Убедитесь, что TLS используется
• Посмотрите, как работают транспортные агенты

Я не хочу подтверждать свой сценарий снимками экрана, так как я не думаю, что это актуально, и мне все равно придется выделить большую часть информации серым цветом, но ниже вы можете найти несколько фрагментов того, как это работало, просто так у нас есть четкое представление о том, чего вам следует ожидать, а также о том, как решать любые проблемы.

Исходящая электронная почта от обоих арендаторов

Электронное письмо, отправленное источником от Джона:

И от Марии:

Теперь посмотрим, что происходит, когда электронное письмо попадает на пограничный сервер:

Я использовал журнал отслеживания сообщений, и, как вы можете видеть из отправленного мной сообщения, событие агента «SETROUTE» преобразует адрес.

Давайте посмотрим на сообщение в месте назначения:

… а теперь давайте действительно заглянем внутрь сообщения 🙂 (сейчас только одно из них)

Исходное письмо с адреса:

Адрес переведен:

И используемый TLS:

Ответить на исходящие письма

Для ответа я буду использовать только одного пользователя в качестве примера, поскольку поведение одинаково для обоих.

Итак, давайте посмотрим, что происходит в Edge:

Как вы можете видеть выше, два сообщения адресованы Мэри, одно — это ответ, а другое — новое сообщение, в обоих случаях вы можете видеть, что получатель был переведен. В отличие от исходящей электронной почты, вы не увидите идентификатор события, связанный с транспортным агентом, но вы можете проверить в столбце получателей, что он выполнил свою работу.

И, наконец, внешний адрес электронной почты во внутреннем почтовом ящике:

Вот и все.Достаточно скриншотов. Надеюсь, вы поняли, как все работает и как это можно устранить.

Надеюсь, после прочтения этого сообщения в блоге вы сможете лучше понять, как может быть реализовано сосуществование почтового потока. На самом деле это был простой сценарий, но в следующих статьях будет больше. Если вы хотите, чтобы я описал и написал в блоге о конкретном сценарии, который у вас есть, или если вам нужна помощь в его понимании, напишите мне.

Я работаю в сфере миграции более 5 лет и видел много партнеров и клиентов, которым действительно необходимо сосуществование потока почты между двумя арендаторами.Поскольку Microsoft непросто решить эту проблему и разрешить такие вещи, как один и тот же домен тщеславия для двух клиентов, некоторые компании создали продукты и услуги, которые пытаются восполнить этот пробел, но, как я уже говорил ранее в этом посте, передавая ваш конвейер потока почты. — это непростое решение, и предприятия готовы его принять, особенно когда вам не так сложно сделать это самостоятельно, и я уверен, что создание и поддержка высокодоступной инфраструктуры потока почты (например, пограничных серверов) дешевле, чем платить за за абонентскую плату, чтобы получить эту функцию.

Фактически, для многих предприятий у них уже есть то, что им нужно. Это не обязательно должно происходить с пограничными серверами. Лучшие почтовые устройства на рынке также могут это делать. Я мог бы включить некоторые из этих сценариев в будущие публикации.

Следите за обновлениями и спасибо за чтение!

Нравится:

Нравится Загрузка…

Состав для перезаписи: Условия обмена: 9780809334506: Хорнер, Брюс: Книги

Книга Брюса Хорнера « Переписывающая композиция: условия обмена » показывает, как доминирующие изменения ключевых терминов в композиции — язык , рабочая сила , значение / оценка , дисциплина и композиция сама по себе — усиливают низкую композицию институциональный статус и плохие условия работы многих его инструкторов и наставников.Помещая распространение этих терминов во множестве современных контекстов, включая глобализацию, мировой английский, убывающую роль труда и профессий, «информационную» экономику и приватизацию высшего образования, Хорнер демонстрирует способы оспорить изнуряющие определения этих терминов и пересмотреть их и их отношения друг к другу.

Каждая глава Rewriting Composition фокусируется на одном ключевом термине, обсуждая, как ограничения, установленные доминирующими определениями, формируют и направляют то, что делают композиторы и как они думают о своей работе.Первая глава, «Композиция», критикует дискурс композиции как недостающий и, следовательно, нуждающийся в том, чтобы его положить конец, переименовать, согласовать с другими областями или дополнить работой в других дисциплинах или другими формами композиции. Вместо того, чтобы рассматривать композицию как нечто, от чего следует отказаться, заменить или дополнить, Хорнер предлагает способы продуктивного вовлечения в обычную композиционную работу, чей явный недостаток предполагается в доминирующем дискурсе. В последующих главах это переосмысление применяется к другим ключевым терминам, критикуя доминирующие концепции «языка» и английского языка как устойчивые; изучение того, как «труд» в композиции отделяется от производительной силы социальных отношений, в которые языковая работа вносит свой вклад; переосмысление стоимостных показателей труда учителей композиции, администраторов и студентов; и ставит под сомнение применение традиционных определений профессиональной академической дисциплины к композиции.Выявляя ограничения в доминирующих концепциях работы по композиции и моделируя и открывая пространство для новых концепций ключевых терминов, Rewriting Composition предлагает учителям композиции и риторики, ученым-писателям и администраторам программ-писателей важные инструменты, необходимые для построения диаграмм. будущее изучения композиции.

Как использовать функцию перезаписи адресов в Exchange 2007/2003

В этой статье я покажу вам, как использовать функцию перезаписи адреса сервера Exchange.Эта функция позволяет администраторам Exchange централизованно перезаписывать исходящие SMTP-адреса. Перезапись адресов Exchange Server доступна как дополнительный инструмент для Exchange Server 2003, который можно бесплатно загрузить с веб-сайта Microsoft. В Exchange Server 2007 переопределение адреса встроено в основную систему обмена сообщениями в виде команд командной строки Exchange Management Shell.

Давайте начнем

В этой статье кратко объясняется, почему функция перезаписи адреса Exchange может быть необходима в среде Exchange Server.Переопределение адресов в основном ориентировано на Exchange Server 2007, но я также расскажу об инструменте Exarcfg для Exchange Server 2003.

Что такое перезапись адреса Exchange?

Exchange Address Rewrite — это процесс перезаписи адресов электронной почты для всех исходящих сообщений на специальном виртуальном сервере SMTP (верно для Exchange Server 2003). Перезапись адресов Exchange особенно используется в сценариях слияния или поглощения, когда две организации Exchange должны быть объединены в одну, но до тех пор, пока эти две организации не будут полностью объединены, каждая организация использует свое собственное пространство имен SMTP, а для всех исходящих сообщений SMTP — новый или уникальный адрес SMTP. используется пространство.

Один пример:

NWtraders приобрела Contoso, и в течение ограниченного времени, пока приобретение не будет завершено, все пользователи Contoso должны использовать пространство адресов электронной почты SMTP NWTraders для исходящих сообщений.

При включении перезаписи адреса необходимо выполнить несколько действий. Если вы хотите использовать эту функцию, вы должны выполнить следующие шаги:

• Включить перезапись адресов для всех исходящих сообщений для пользователей организации Contoso Exchange
• Создание контактов в Active Directory для всех пользователей с поддержкой Contoso Mail с целевым SMTP-адресом для Contoso и основным SMTP-адресом для NWtraders
• Создание коннектора SMTP с адресным пространством Contoso
• Включить перезапись адресов на соответствующих виртуальных SMTP-серверах Exchange

Exchange Address Rewirte требует правильной работы следующего:

• Все сообщения SMTP должны быть отправлены извне через сервер-плацдарм Exchange.
• Все сообщения SMTP должны быть отправлены в Интернет

Обратите внимание:
Перезапись адреса Exchange НЕ используется для отправки внутренней электронной почты с одного сервера Exchange на другой в вашей организации Exchange.Из этого правила есть одно исключение: все собственные SMTP-клиенты, такие как Mozilla, Thunderbird или Microsoft Outlook Express, используют Exchange Address Rewite, потому что эти сообщения будут отправляться непосредственно драйверу SMTP.

Загрузка и установка Exchange Address Rewrite

Поскольку Exchange Server 2003 не имеет встроенной интеграции с Exchange Address Rewrite, вы должны загрузить инструмент Address Rewrite под названием EXARCFG.EXE с веб-сайта Microsoft. Вы найдете ссылку для скачивания в конце этой статьи.

После загрузки инструмента просто извлеките загружаемый пакет и откройте командную строку, чтобы использовать инструмент EXARCFG, как показано на следующем снимке экрана.

Рисунок 1: Синтаксис Exarcfg

Параметры говорят сами за себя и требуют небольшого внимания.

Параметр EXARCFG –E включает перезапись адреса, а параметр –D отключает перезапись адреса Exchange. Единственный параметр, на который следует обратить больше внимания, — это параметр –V, который указывает, какой виртуальный SMTP-сервер Exchange следует использовать.

Рисунок 2: Включение Exarcfg для сервера Exchange London.nwtraders.msft

Это были необходимые шаги для использования перезаписи адресов Exchange в Exchange Server 2003. Использование перезаписи адресов Exchange в Exchange Server 2007 немного отличается от Exchange Server 2003.

Переопределение адреса Exchange в Exchange Server 2007

Exchange Address Rewrite в Exchange Server 2007 уже установлен с основной подсистемой обмена сообщениями, но не включен.Для активации перезаписи адреса Exchange необходимо использовать командную консоль Exchange.

Еще одна новая функция перезаписи адресов Exchange в Exchange Server 2007 заключается в том, что вы можете включить эту функцию для каждого пользователя, домена SMTP и / или субдомена SMTP, а не для всего виртуального SMTP-сервера Exchange 2003, как в Exchange Server 2003.

Вы настраиваете агентов перезаписи адресов на соединителе приема SMTP и соединителе отправки на компьютере, на котором установлена ​​роль пограничного транспортного сервера.

Обратите внимание:
Агент перезаписи адресов Exchange Server 2007 доступен только на пограничных транспортных серверах.

Перечень установленных транспортных агентов

Следующие CMD’ы командной консоли Exchange показывают установленные транспортные агенты на транспортном сервере-концентраторе. Как видите, для функции перезаписи адресов нет транспортного агента.

Рисунок 3: Установленные транспортные агенты на транспортном сервере-концентраторе

Когда вы запускаете CMD командной консоли Exchange, чтобы перечислить транспортные агенты Exchange 2007 на пограничном транспортном сервере Exchange 2007, вы увидите агент транспорта для передачи входящих и исходящих сообщений SMTP.

Рисунок 4: Установленные транспортные агенты на пограничном транспортном сервере

Отобразить записи перезаписи адресов сервера Exchange 2007

Если вы хотите узнать, для каких пользователей, доменов или субдоменов включена перезапись адресов, запустите CMD оболочки Exchange Management Shell со следующего снимка экрана.

Рисунок 5: Отображение установленных записей перезаписи адреса

С помощью Exchange Server 2007 Address Rewrite вы можете перезаписывать SMTP-адреса на основе:

• Единый адрес
• Однодоменный
• Несколько субдоменов

Как включить перезапись адреса для одного адреса

New-AddressRewriteEntry -name «[электронная почта защищена] на [электронная почта защищена]» -InternalAddress [email protected] -ExternalAddress [email protected] Single Domain

Как включить перезапись адресов для одного домена

New-AddressRewriteEntry -name «IT TRAINIHG GROTE to TELTA» -InternalAddress it-training-grote.de -ExternalAddress telta.de

Как отображать записи перезаписи адреса после настройки некоторых записей

Необходимо использовать командную консоль Exchange для отображения настроенных записей перезаписи адресов, как показано на следующем снимке экрана.

Рисунок 6: Отображение установленных записей перезаписи адреса

Какие поля заголовка SMTP перезаписываются, а какие нет?

Exchange Server 2007 Address Rewrite не перезаписывает все поля заголовка SMTP.В следующей таблице от Microsoft перечислены поля заголовка SMTP, которые перезаписываются для входящих или исходящих сообщений.

Таблица 1: Поля заголовка SMTP, которые были перезаписаны, и те, которые отсутствуют в Exchange Server 2007 Address Rewrite

Заключение

Exchange Server 2003/2007 Address Rewrite — отличный инструмент для перезаписи SMTP-адресов, который особенно полезен в средах Exchange в сценариях слияния или поглощения.Вам следует тщательно спланировать реализацию перезаписи адреса Exchange. Настроить перезапись адреса Exchange очень просто, но следует тщательно продумать лежащий в основе организационный процесс.

Ссылки по теме

Exarcfg Загрузить

Планирование перезаписи адресов

Обзор средств набора ресурсов Exchange Server 2003

Поддержка двух почтовых доменов SMTP и совместное использование почтового домена SMTP с другой системой

Как создать новую запись перезаписи адреса

Транспортные серверы-концентраторы в Exchange Server 2007

Просмотры сообщений: 1,577

Использование модуля перезаписи URL-адресов IIS 7 для упрощения URL-адресов Exchange 2007/2010 Outlook Web Access в Windows Server 2008/2008 R2

URL-адрес по умолчанию для Outlook Web Access i Exchange Server 2007 — https: // <полное доменное имя сервера> / owa .Этот URL-адрес всегда является проблемой для конечных пользователей, которым он кажется слишком длинным или сложным. Они либо забывают использовать HTTPS перед URL-адресом, либо добавляют / owa к имени сервера, либо и то, и другое. Первая ошибка приводит к тому, что требуется SSL. Второй загружает корень сайта. Я согласен с тем, что это можно было бы сделать более удобным для пользователя, поэтому я всегда реализую какую-либо форму перезаписи или перенаправления. Обычно я делаю OWA доступным всего по адресу . Нет HTTPS или подпапки, например owa.company.com . Это требует двух вещей; перенаправление HTTP-трафика на HTTPS и перенаправление корневой папки в подпапку / owa.

Примечание. Конечный URL-адрес для OWA всегда (почти) https: // <полное доменное имя сервера> / owa. Мы не можем отключить HTTPS или опубликовать OWA в корне сайта. Но тип URL-адреса пользователей можно упростить. Это упрощение — то, что я имею в виду, когда говорю в этой статье о перенаправлении.

До недавнего времени перенаправление на HTTPS и подпапку OWA можно было выполнить, сначала перенаправив корневую папку с помощью функции перенаправления HTTP IIS 7, а затем отредактировав страницу ошибки HTTP, обычно 403, чтобы она перенаправляла на HTTPS вместо выдачи ошибки.Мне никогда не нравился такой подход, особенно последняя часть. Вы также можете использовать ISA Server 2006 перед своим сервером Exchange и делать то же самое там. Но недавно появилось гораздо лучшее решение. Группа IIS выпустила расширение модуля перезаписи URL-адресов для IIS 7, которое позволяет выполнять расширенную перезапись и перенаправление URL-адресов с использованием, среди прочего, регулярных выражений.

Как упростить URL-адрес OWA с помощью перезаписи URL-адреса:

1. Загрузите и установите расширение URL Rewrite на свой сервер CAS.
   http://www.iis.net/extensions/URLRewrite
   Не забудьте получить версию для вашей архитектуры. Это почти всегда будет x64, если только вы не работаете в лаборатории и не используете x86-версию Exchange 2007.
   Чтобы избежать перезагрузки сервера, следуйте инструкциям в этом сообщении:
   http://forums.iis.net/t/1153276 .aspx
   Также эти инструкции написаны для версии 2.0. Я не могу гарантировать, что они будут работать с любой старой или новой версией.
2. Отключите параметр Требовать SSL на веб-сайте по умолчанию.
   Это необходимо для работы перенаправления в URL Rewrite. Это не проблема безопасности, поскольку при перезаписи URL будет принудительно использоваться SSL для всего сайта (кроме автономной адресной книги).
   
3. Откройте файл web.config в папке wwwroot .
   Обычно это меньше % systemdrive% inetpubwwwroot .
   Файл web.config по умолчанию не существует, поэтому измените параметр на своем сайте и снова измените его, чтобы IIS сгенерировал файл.
4. Вставьте следующий текст в web.config в разделе :

https://gist.github.com/morgansimonsen/8040092

ПРИМЕЧАНИЕ. Запись vdir PowerShell предназначена для исключения виртуального каталога / powershell, находящегося на серверах Exchange 2010, от принудительного применения HTTPS. Это необходимо для удаленного управления серверами клиентского доступа Exchange 2010. Это правило не должно иметь отношения к серверу Exchange 2007, поскольку у них нет vdir PowerShell.

Это создаст три новых правила перезаписи.

• Откройте элемент URL Rewrite на веб-сайте по умолчанию.
  
• Ваши три новых правила будут выглядеть так:
  
  Правила будут обрабатываться сверху вниз.

Название правила	Функция	Банкноты
Перенаправление root	Перенаправляет корневую папку в / owa
Освобождение автономной адресной книги от SSL	Отключает требование SSL для вложенной папки / OAB. Это параметр Exchange 2007/2010 по умолчанию. Если вы хотите иметь SSL и для папки автономной адресной книги, удалите это правило и обновите параметр URL-адреса автономной адресной книги в Exchange.	Остановить обработку разрешено
Освобождение виртуального каталога PowerShell от SSL	Это правило требуется только для Exchange 2010, но его можно безопасно импортировать в Exchange 2007.	Остановить обработку разрешено
Force HTTPS	Обеспечивает HTTPS для всех запросов к сайту.

Все запросы для корневой папки или для папки / owa, у которой отсутствует SSL, теперь будут перенаправляться на страницу входа в OWA. Все остальные подпапки не перенаправляются, за исключением принудительного применения SSL, и к ним можно получить прямой доступ.

Примечание. Веб-папки Exchange 2007/2010 обычно наследуют свои настройки SSL от веб-сайта по умолчанию, поэтому, когда вы отключаете требование SSL для сайта, вы также отключаете его для веб-папок. Если по какой-либо причине какая-либо из вложенных папок управляет настройкой SSL в своем собственном контексте (т. Е.они не наследуют настройку SSL на уровне сайта) необходимо отключить Требовать SSL также для этих папок. В противном случае перезапись URL не сработает, и вы получите ошибку вместо перенаправления. Папки, связанные с Exchange 2007/2010:

• Автообнаружение
• EWS
• ecp
• Обмен
• Exchweb
• Microsoft-Сервер-ActiveSync
• OAB
• Owa
• Общественный
• Rpc
• RpcWithCert
• Единый обмен сообщениями

Все они должны иметь отключенную настройку Требовать SSL .Для любых других папок, которые могут быть у вас на сервере, вам нужно будет решить для себя, хотите ли вы, чтобы они были включены в URL Rewrite SSL Enforce или управлять их настройками SSL индивидуально. Также убедитесь, что для всех других папок, в которых должен быть активен SSL, этот параметр все еще установлен, когда вы деактивируете требование для сайта.

Я считаю, что это решение для упрощения URL-адреса для OWA намного более оптимизировано и элегантно, чем любое предыдущее решение. Фильтр перезаписи URL — это модуль, разработанный Microsoft, что означает, что он прошел через безопасный жизненный цикл разработки (SDL).У вас есть только одно место для внесения всех изменений. Вам не нужно вносить изменения в конфигурацию IIS по умолчанию (т. Е. Редактировать или изменять страницы ошибок).

Морган

Обновление

: когда вы отключаете параметр «Требовать SSL» в IIS, вы полагаетесь на перезапись URL-адреса для принудительного применения SSL на ваших сайтах и ​​в каталогах. Я связывался с автором URL Rewrite, спрашивая его, не представляет ли эта конфигурация угрозы безопасности и является ли применение SSL через URL Rewrite таким же сильным, как в IIS.Он ответил, что это не так, но в очень редких случаях это вызывает беспокойство. Вы были предупреждены.

Назначьте SSL-сертификат службам Exchange Server 2016

После установки SSL-сертификата для Exchange Server 2016 вам необходимо назначить его службам Exchange, прежде чем он будет использоваться. Эту задачу можно выполнить в Центре администрирования Exchange.

Перейдите к серверам , затем к сертификатам и выберите сервер с сертификатом SSL, который вы хотите включить для служб Exchange.

Выберите сертификат SSL и щелкните значок редактирования.

Выберите службы, затем установите флажки для каждой службы, которую хотите включить.

• IIS используется для всех служб HTTPS (таких как OWA, ActiveSync, Outlook Anywhere). IIS может быть назначен только один сертификат, поэтому важно, чтобы сертификат содержал все правильные имена, настроенные в качестве URL-адресов для ваших служб HTTPS.
• SMTP используется для потока почты с шифрованием TLS. SMTP может быть назначено несколько сертификатов.
• POP и IMAP по умолчанию отключены в Exchange Server 2016, но если вы планируете включить их, вам следует назначить сертификат, будь то тот же сертификат, который используется для HTTPS, или другой.
• UM также не является обязательным. Если вы планируете использовать функции единой системы обмена сообщениями Exchange Server 2016, включите сертификат для единой системы обмена сообщениями, опять же, это может быть тот же сертификат, который используется для служб HTTPS, или другой.

Нажмите Сохранить , когда выберете службы, для которых необходимо использовать сертификат SSL.Если вы назначаете сертификат SMTP, вам может быть предложено перезаписать сертификат SMTP по умолчанию. SMTP может иметь несколько назначенных сертификатов, и для простого развертывания, когда один полученный сертификат SSL содержит пространство имен SMTP, которое вы планируете использовать на соединителях, обычно можно ответить Да в этом запросе.

После выполнения этих шагов сертификат SSL будет использоваться Exchange для выбранных вами служб.

Если вас интересует, как Exchange обрабатывает выбор сертификата, когда несколько сертификатов привязаны к протоколу SMTP, вот несколько статей, в которых это объясняется:

Изменение поведения пересылки почтовых ящиков в Exchange Online

Первоначально опубликовано Microsoft 7 октября 2021 г. Exchange Online 0 комментариев

Мы вносим некоторые изменения в то, как переадресованные сообщения перезаписываются с использованием схемы перезаписи отправителя (SRS).

С начала ноября мы продолжим консолидировать нашу перезапись для сообщений, которые автоматически пересылаются за пределы Exchange Online. Сегодня не все переадресованные сообщения переписываются с использованием SRS. В сообщениях, пересылаемых с помощью SMTP или пересылки почтовых ящиков, сегодня адрес P1 Mail From заменяется на адрес пересылаемого почтового ящика. Это будет изменено, и вместо этого будет использоваться перезапись SRS.

• Изменение будет внедряться медленно, и до вашей организации может потребоваться несколько месяцев.

Как это повлияет на вашу организацию:

Примечание : Это изменение поведения, которое может привести к некоторым сбоям.

• Все сообщения, которые перенаправляются извне из Exchange Online в Интернет, будут подвергаться новой перезаписи SRS. Риск какого-либо воздействия на эти сообщения должен быть низким. Вы можете узнать больше о поведении SRS по предоставленной ссылке.
• Клиенты с локальными серверами увидят, что сообщения, передаваемые на эти серверы, больше не перезаписываются.Это должно подойти для доставки в почтовые ящики, размещенные локально. Однако, если клиенты направляют почту в Интернет через свои локальные серверы вместо Exchange Online, возникает риск. Переадресованные сообщения уходят без перезаписи, что может привести к их отклонению серверами получателей. Чтобы избежать этого, в локальные соединители был добавлен новый параметр, позволяющий перезаписывать SRS для этих сообщений.

Что нужно сделать для подготовки:

Прежде чем это изменение вступит в силу, клиенты, которые направляют трафик в Интернет из своей локальной среды, должны включить новый параметр SenderRewritingEnabled в своем исходящем локальном коннекторе потока почты, чтобы избежать сбоев.

Нажмите «Дополнительная информация», чтобы узнать больше.

Идентификатор сообщения: MC289686

Корпорация Майкрософт выпускает локальное средство устранения рисков для Exchange в один клик

Microsoft выпустила инструмент Exchange On-premises Mitigation Tool (EOMT), который позволяет владельцам малого бизнеса легко устранять недавно обнаруженные уязвимости ProxyLogon.

В этом месяце Microsoft сообщила, что при атаках на Microsoft Exchange активно использовались четыре уязвимости нулевого дня.Эти уязвимости известны под общим названием ProxyLogon и используются злоумышленниками для размещения веб-шелл, криптомайнеров и, в последнее время, программы-вымогателя DearCry на эксплуатируемых серверах.

Сегодня Microsoft выпустила сценарий PowerShell EOMT с одним щелчком, чтобы владельцы малого бизнеса, у которых нет выделенных групп или групп безопасности, могли получить дополнительную помощь в обеспечении безопасности своих серверов Microsoft Exchange.

«Мы активно работаем с клиентами через наши группы поддержки клиентов, сторонних хостеров и партнерскую сеть, чтобы помочь им защитить свои среды и отреагировать на связанные угрозы, связанные с недавними локальными атаками на Exchange Server.«

«На основе этих соглашений мы поняли, что существует потребность в простом, удобном, автоматизированном решении, которое отвечало бы потребностям клиентов, использующих как текущие, так и неподдерживаемые версии локального сервера Exchange Server», — поясняет Microsoft. в сообщении в блоге сегодня.

Скрипт EOMT.ps1 можно загрузить из репозитория Microsoft на GitHub, и при его запуске он автоматически выполняет следующие задачи:

• Проверяет, уязвим ли сервер к уязвимостям ProxyLogogon.
• Устраняет уязвимость CVE-2021-26855 подделки запросов на стороне сервера (SSRF) путем установки модуля IIS URL Rewrite и правила регулярного выражения, которое прерывает любые соединения, содержащие заголовки файлов cookie X-AnonResource-Backend и X-BEResource. .
• Загружает и запускает сканер безопасности Microsoft, чтобы удалить известные веб-оболочки и другие вредоносные сценарии, установленные через эти уязвимости. Затем сценарий удалит все обнаруженные вредоносные файлы.

Корпорация Майкрософт предлагает администраторам и владельцам бизнеса запускать локальный инструмент устранения рисков Exchange (EOMT) на основе следующих условий:

..

Ситуация	Руководство
Если на сегодняшний день вы ничего не сделали для исправления или смягчения этой проблемы…	Запустите EOMT.PS1 как можно скорее. Это позволит как исправить, так и защитить ваши серверы от дальнейших атак. После завершения следуйте инструкциям по установке исправлений, чтобы обновить свои серверы на http://aka.ms/exchangevulns
Если вы смягчили любые / все рекомендации Microsoft по смягчению последствий (Exchangemitigations.Ps1, сообщение в блоге и т. Д.)	Запустите EOMT.PS1 как можно скорее. Это будет пытаться исправить, а также защитить ваши серверы от дальнейших атак.После завершения следуйте инструкциям по установке исправлений, чтобы обновить свои серверы на http://aka.ms/exchangevulns
Если вы уже установили патч для своих систем и защищены, но НЕ исследовали действия злоумышленников, индикаторы взлома и т. Д.	Запустите EOMT.PS1 как можно скорее. Это попытается исправить любой существующий компромисс, который, возможно, не был полностью устранен перед установкой исправления.
Если вы уже установили исправления и исследовали свои системы на предмет наличия признаков взлома и т. Д.….	Никаких действий не требуется

После запуска сценария EOMT пользователи могут найти файл журнала по адресу C: \ EOMTSummary.txt , в котором содержится информация о задачах, выполняемых инструментом.

Помимо запуска EOMT, администраторам рекомендуется запустить сценарий Test-ProxyLogon.ps1, чтобы также проверить индикаторы компрометации (IOC) в журналах Exchange HttpProxy, файлах журналов Exchange и журналах событий приложений Windows.

.