Microsoft
Exchange Server 2003
SP2
Nuove funzionalità
È uscito è uscito è uscito!
•Version 6.5 (Build 7226.6: Service Pack1)
•Version 6.5 (Build 7638.2: Service Pack2)
Prerequisiti
• Windows Server 2003 SP1
– Hotfix 898060
(go.microsoft.com/fwlink/?LinkId=3052&kbid=898060)
• Windows Server 2000 SP4
– (go.microsoft.com/fwlink/?linkid=3052&kbid=891861)
Principali novità introdotte
•
•
•
•
Nuovi limiti per i database!
Funzionalità aggiuntive per gli utenti mobili
Protezione Antispam: Sender ID
Nuove funzioni nella gestione di Mailbox e
Public Folder
• Altre migliorie, tra cui:
– IMF v2
– Nuove funzionalità nelle OAB
– Nuovi tool per la migrazione da GroupWise
Nuovi limiti per i database
• La dimensione predefinita dei database è
limitata per le versioni standard e SBS a
16 GB
• L’installazione di Exchange Server SP2
porta il limite di default a 18 GB e
consente la crescita dei DB fino a 75 GB!
Nuovi limiti per i database
• Per impostare i nuovi limiti è necessario
modificare le seguenti chiavi:
– Per i Private Information Store:
• HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\MSExchangeIS\Server name\Private-Mailbox
Store GUID
– Per i Public Information Store:
• HKEY_LOCAL_MACHINE\System\CurrentControlSet\
Services\MSExchangeIS\Server name\Public-Public Store
GUID
• In entrambi i casi è necessario ricavare il GUID
del database su cui vogliamo agire.
Modificare la dimensione dei
database
•
Creiamo una unova chiave di tipo DWORD
chiamata "DatabaseSizeLimitinGb" e gli
assegniamo il valore massimo in GB che il
database può raggiungere.
–
–
Per la versione Standard il valore deve essere
compreso tra 1 e 75 (con il default a 18)
Per la versione Enterprise il valore deve essere
compreso tra 1 e 8000 (con il default a 8000). Il
limite della versione Enterprise deve essere
impostato solo se vogliamo limitare il DB per
“adattarlo” all’hardware.
Modificare la dimensione dei
database
• Creiamo una chiave di tipo DWORD chiamata
"DatabaseSizeBufferinPercentage" e gli assegniamo un
valore compreso tra 1 e 100. Questa chiave specifica il
valore (in percentuale) al raggiungimento del quale viene
scritta una entry all’interno dell’Event Log. Il valore di
default è il 10%.
• Creiamo una chiave di tipo DWORD chiamata
"DatabaseSizeCheckStartTimeinHoursFromMidnight" e
gli assegniamo un valore compreso tra 0 e 23 (il default
è 5). Questa chiave consente di specificare l’ora in cui
viene eseguita la verifica della dimensione del database.
Reperire il GUID
• Usando LDP.EXE (nel resource kit) sfogliamo la
nostra gerarchia fino alla chiave:
– CN=Mailbox Store (servername),CN=First Storage Group,
CN=InformationStore,CN=servername, CN=Servers,CN=First
Administrative Group, CN=Administrative Groups,
CN=Organization name, CN=Microsoft Exchange,
CN=Services,CN=Configuration, DC=domain,DC=com
• Troviamo il valore Object Guid
Funzionalità aggiuntive per gli
utenti mobili
Il Windows Mobile Messaging and Security Feature Pack
usato con Exchange Server SP2 offre nuove funzionalità
nella connettività dei dispositivi mobili verso Exchange:
• Remotely enforced IT policy: consente agli
amministratori di gestire, scegliere e applicare policy ai
dispositivi wireless o mobile.
• Local and remote device wipe: consente di “resettare”
un dispositivo al raggiungimento di un determinato
numero di tentativi di password.
Funzionalità aggiuntive per gli
utenti mobili
• RemoteWipe UI: consente di cancellare il contenuto di
un device remotamente semplicemente puntando a una
pagina ASP.NET (https://nomedelserver/MobileAdmin).
• Direct Push: è il server che ci segnala quando c’è un
nuovo evento (posta, attività…) evitando la neccessità di
inviare SMS come avveniva con Always-up-to-date
(AUTD) per i vecchi device Windows Mobile 2003.
• Integrazione migliore con Exchange: possiamo
finalmente sincronizzare i Task via ActiveSync Server
side!
• Global Address List Lookup: è ora possibile dal
dispositivo accedere a tutta la GAL
Funzionalità aggiuntive per gli
utenti mobili
• Outlook Mobile data compression: lo scambio di dati
tra il PDA e il server Exchange è ora compresso (GZIP)
consentendo un risparmio di banda stimabile in circa il
30% rispetto ad una normale sincronizzazione; visto che
le connessioni mobili sono nella maggior parte a
pacchetto…
• Certificate-based authentication: consente
l’autenticazione per mezzo di certificati! Elimina la
necessità di memorizzare le credenziali di accesso nel
PDA o l’uso di dispositivi aggiuntivi.
• Supporto a S/MIME: è possibile cifrare o firmare
digitalmente i messaggi esattamente come in OWA
Always-up-to-date (AUTD)
• Con Exchange 2003 senza
SP2 la sincronizzazione dei
device doveva essere
schedulata ad intervalli o
avvenire manualmente.
• In alternativa era possibile
utilizzare il concetto di AUDT:
– il server inviava un SMS di
new mail al client per mezzo di
un SMS gateway.
– Ricevuto il messaggio il device
si connetteva e scaricava la
nuova mail.
Direct Push
• È sufficiente un normale abbonamento dati, senza
nessun servizio aggiuntivo
• Non è necessario aggiungere hardware particolare alla
propria infrastruttura Exchange
• Non sono necessari SMS o altri strumenti di notifica
• Non è necessaria alcuna configurazione particolare sul
dispositivo
• È necessario essere sempre connessi, pertanto è
necessario utilizzare abbonamenti flat
Direct Push
• Come funziona:
– Direct Push mantiene una connessione costante al
server via IP. In questo modo non appena avviene
una modifica ad una mailbox un trigger viene inviato
al dispositivo che quindi si aggiorna.
– Sfrutta HTTP o HTTPS e funziona sia con
connessioni GRPS, EDGE o UMTS che WiFi.
Direct Push
Prima di SP2
Con SP2
Security Policy
• Scegliendo Device
Security abbiamo la
possibilità di
impostare tutti i
parametri relativi alla
sicurezza dei
dispositivi mobili
• Esiste la possibilità di
effettuare delle
esclusioni
Ma…
• I device Windows Mobile 5.0 sono appena
usciti e a prezzi non proprio popolari.
• Non si sa quando sarà disponibile il
Windows Mobile Messaging and
Security Feature Pack
Supporto per nuovi
dispositivi
• Nokia
• Motorola
• Palm
– Treo
• Symbian (80 e 60)
• DataViz (DirectPush)
• …altri arriveranno (esiste il kit di sviluppo
e licencing)
Sender ID Framework
• È una contromisura per lo spam e il
phishing: si basa sulla considerazione che
lo spam esiste perchè non costa!
• Crea un "ecosistema" integrato e
distribuito di contromisure
• È l’unione di
– SPF (Sender Policy Framework)
– Microsoft Caller ID for Email
Vantaggi
• Protegge il marchio e il dominio di chi invia
da spoofing e da accuse di phishing: chi
riceve valida il sender
• Getta le basi per un uso più affidabile e
consapevole dei nomi di dominio
• È il primo passo che può essere fatto
senza particolari spese
• Adottato da numerosi ESP
Ma…
• Non è uno standard RFC
• Non adottato dalla comunità Open per la
sua licenza e i brevetti su cui si appoggia
(http://www.apache.org/foundation/docs/
sender-id-position.html)
Componenti del SIDF
Sender ID Framework
Mail
Senders
MTA
Vendors &
Receiving
Networks
Sender ID Record (SPF V2)
SPF V1 Record
MAIL FROM
Check
Purported Responsible
Address (PRA)
Check
Submitter
SMTP Optimization
Ma… dov’è?
E poi…
Global Setting -> Properties
Come funziona
1.
Il sender pubblica nel suo DNS l’indirizzo IP dei
suoi server di invio come record SPF. Per la
pubblicazione si possono utilizzare due strade:
1. “Purported responsible domain” RFC 2822
2. “Envelope From” RFC 2821
2. Chi riceve il messaggio esegue la verifica
1. Effettua una query DNS per ricavare il record SPF
2. Estrapola il PRA o il Mail From dal messaggio
3. Li confronta:
•
•
Positivo: accetto la mail normalmente
Negativo: ho diverse opzioni
Opzioni se il test è negativo
• Rifiuto il messaggio
• Lo accetto ma con banda limitata per
“aumentare il costo”
• Lo uso come input per I filtri antispam
• Lo segnalo all’utente finale
Alcune aspetti cui prestare
attenzione
• Se il test ha esito positivo non significa
che la mail non sia spam: anche gli
spammer possono comprarsi un dominio
• Rifiutare la mail è pericoloso: non tutti
hanno aderito a questa proposta
Aggiornamenti introdotti nella
versione 2
• La nuova versione supporta più “scope”:
– PRA (Purported Responsible Address)
– “Mail From”
– Il contenuto dovrebbe essere identico nella
maggior parte dei casi
• È retrocompatibile con SPF v1
• Il Sender ID accetta i record v1 per
entrambi gli scope
I record SPF
• Esempi:
– ugimex.org TXT “v=spf1 -all” questo dominio NON
invierà MAI mail
– ugimex.org TXT “v=spf1 mx -all” tutti i record MX
inviano anche mail
– ugimex.org TXT “v=spf1 ip4:192.0.2.0/24 –all” tutti i
server specificati nell’intervallo inviano mail
– ugimex.com TXT “v=spf1 mx include:myesp.com –all”
la mia posta inviata è gestita in outsourcing
• Esiste anche un wizard per poter creare i record
Passi per la creazione dei record
SPF
Passi per la creazione dei record
SPF
Novità nei Public Folder
• Nuove modifiche per eliminare i replication storm:
– Log public folder deletions: consente agli amministratori di
sapere chi ha cancellato un public folder!
– Stop and resume public folder content replication: con un
semplice click del mouse è possibile mandare in pausa le
repliche, cambiare al volo le configurazioni e riavviare le
repliche!!
– Sincronizzazione della gerarchia dei public folder: consente
di replicare solo la gerarchia dei PF senza il contenuto per
portare rapidamente “in sync” un nuovo server magari
geograficamente remoto!!!
Novità nei public folder
• Propagazione delle modifiche nelle ACL
nella gerarchia dei PF grazie al Manage
Public Folders Settings Wizard (tasto
destro sulla nuova voce Manage
Settings)!!!!
• Propagazione delle modifiche alle repliche
nella gerarchia nei PF!!!!!
• Protezione nella rimozione di PF e server.
Novità nei Public Folder
Novità per le mailbox
• SP2 consente agli amministratori di
disattivare completamente l’accesso MAPI
per un particolare utente. Questo è molto
comodo per implementare servizi da
Email Service Provider
• Esiste un nuovo campo ProtocolSetting in
Active Directory.
ProtocolSetting
Campo Valore Descrizione
1
2
3
4-9
MAPI
Indica che le voci seguenti si
applicano al protocollo MAPI
Bool1 •0 blocca l’accesso MAPI
•1 consente l’accesso secondo il
contenuto di Bool2
Bool2 •0 lavora “normalmente”
•1 blocca l’accesso ai client noncached
Non utilizzati
Intelligent Message Filtering v2
• IMF v2 si integra con SPF
• IMF v2 è built in Exchange SP2
• NON installare MAI IMF v1 dopo SP2
Ma dov’è
E poi
Global Setting -> Properties
Intelligent Message Filtering v2
• Al termine dell’installazione
l’amministratore deve abilitare IMF non
appena il server è nuovamente on line.
• In caso contrario è necessario mandare il
server off line per abilitare IMF
• IMF non è cluster aware e non si può
installare IMF su un nodo del cluster
• Si può installare su un front end!
Custom Weighting
• È una nuova funzionalità di IMF v2 che
consente agli amministratori di
customizzare il comportamento di IMF
basandosi sulle frasi che sono contenute
all’interno dell’intestazione o del corpo del
messaggio
Custom Weighting
• NON esiste interfaccia grafica per la sua gestione
• È necessario creare un file di configurazione XML che
viene interpretato da IMF.
• Ad ogni modifica è necessario riavviare il servizio SMTP
• Il file che si chiama “MSExchange.UceContentFilter.xml”
deve essere nella stessa cartella dove si trovano il file
MSExchange.UceContentFilter.dll e i vari .dat (di default
C:\Program Files\Exchsrvr\bin\MSCFV2)
File di esempio
<?xml version="1.0" encoding="UTF-16"?>
<CustomWeightEntries
xmlns="http://schemas.microsoft.com/2005/CustomWeight">
<CustomWeightEntry Type="BODY" Change="1" Text=“viagra"/>
<CustomWeightEntry Type=“SUBJECT" Change=”5" Text=“tutto gratis"/>
<CustomWeightEntry Type="SUBJECT" Change="MIN" Text=" testo"/>
<CustomWeightEntry Type="BOTH" Change="MAX" Text=“testo"/>
</CustomWeightEntries>
Valore utilizzabili
Valore
Descrizione
Type= BODY
Esegue la ricerca nel corpo del messaggio
Type= SUBJECT
Esegue la ricerca nel subject del messaggio
Type= BOTH
Esegue la ricerca in entrambi
Change
•
•
•
testo
Specifica l’azione sul SCL (Spam Confidence Level) di un
messaggio.
Può essere un valore intero che va a sommarsi al valore
calcolato da IMF
Sono ammesse le keyword MIN e MAX che forzano il valore di
SCL a 0 e 9 rispettivamente, INDIPENDENTEMENTE dal valore
calcolato.
Qualsiasi valore fino a 1000 caratteri.
Migliorie in OAB
• Necessitano del SP2 di Office 2003
• Diminuisce “Significantly” (Microsoft ™;-) la
dimensione delle OAB.
• Implementano un meccanismo differenziale con
compressione (BinPatch).
• È possibile avere proprietà e indici custom.
• Gli indici sono basati sui Local Settings dei
client.
• Migliorato il diagnostic logging.
Domande?