Microsoft Exchange Server 2003 SP2 Nuove funzionalità È uscito è uscito è uscito! •Version 6.5 (Build 7226.6: Service Pack1) •Version 6.5 (Build 7638.2: Service Pack2) Prerequisiti • Windows Server 2003 SP1 – Hotfix 898060 (go.microsoft.com/fwlink/?LinkId=3052&kbid=898060) • Windows Server 2000 SP4 – (go.microsoft.com/fwlink/?linkid=3052&kbid=891861) Principali novità introdotte • • • • Nuovi limiti per i database! Funzionalità aggiuntive per gli utenti mobili Protezione Antispam: Sender ID Nuove funzioni nella gestione di Mailbox e Public Folder • Altre migliorie, tra cui: – IMF v2 – Nuove funzionalità nelle OAB – Nuovi tool per la migrazione da GroupWise Nuovi limiti per i database • La dimensione predefinita dei database è limitata per le versioni standard e SBS a 16 GB • L’installazione di Exchange Server SP2 porta il limite di default a 18 GB e consente la crescita dei DB fino a 75 GB! Nuovi limiti per i database • Per impostare i nuovi limiti è necessario modificare le seguenti chiavi: – Per i Private Information Store: • HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\MSExchangeIS\Server name\Private-Mailbox Store GUID – Per i Public Information Store: • HKEY_LOCAL_MACHINE\System\CurrentControlSet\ Services\MSExchangeIS\Server name\Public-Public Store GUID • In entrambi i casi è necessario ricavare il GUID del database su cui vogliamo agire. Modificare la dimensione dei database • Creiamo una unova chiave di tipo DWORD chiamata "DatabaseSizeLimitinGb" e gli assegniamo il valore massimo in GB che il database può raggiungere. – – Per la versione Standard il valore deve essere compreso tra 1 e 75 (con il default a 18) Per la versione Enterprise il valore deve essere compreso tra 1 e 8000 (con il default a 8000). Il limite della versione Enterprise deve essere impostato solo se vogliamo limitare il DB per “adattarlo” all’hardware. Modificare la dimensione dei database • Creiamo una chiave di tipo DWORD chiamata "DatabaseSizeBufferinPercentage" e gli assegniamo un valore compreso tra 1 e 100. Questa chiave specifica il valore (in percentuale) al raggiungimento del quale viene scritta una entry all’interno dell’Event Log. Il valore di default è il 10%. • Creiamo una chiave di tipo DWORD chiamata "DatabaseSizeCheckStartTimeinHoursFromMidnight" e gli assegniamo un valore compreso tra 0 e 23 (il default è 5). Questa chiave consente di specificare l’ora in cui viene eseguita la verifica della dimensione del database. Reperire il GUID • Usando LDP.EXE (nel resource kit) sfogliamo la nostra gerarchia fino alla chiave: – CN=Mailbox Store (servername),CN=First Storage Group, CN=InformationStore,CN=servername, CN=Servers,CN=First Administrative Group, CN=Administrative Groups, CN=Organization name, CN=Microsoft Exchange, CN=Services,CN=Configuration, DC=domain,DC=com • Troviamo il valore Object Guid Funzionalità aggiuntive per gli utenti mobili Il Windows Mobile Messaging and Security Feature Pack usato con Exchange Server SP2 offre nuove funzionalità nella connettività dei dispositivi mobili verso Exchange: • Remotely enforced IT policy: consente agli amministratori di gestire, scegliere e applicare policy ai dispositivi wireless o mobile. • Local and remote device wipe: consente di “resettare” un dispositivo al raggiungimento di un determinato numero di tentativi di password. Funzionalità aggiuntive per gli utenti mobili • RemoteWipe UI: consente di cancellare il contenuto di un device remotamente semplicemente puntando a una pagina ASP.NET (https://nomedelserver/MobileAdmin). • Direct Push: è il server che ci segnala quando c’è un nuovo evento (posta, attività…) evitando la neccessità di inviare SMS come avveniva con Always-up-to-date (AUTD) per i vecchi device Windows Mobile 2003. • Integrazione migliore con Exchange: possiamo finalmente sincronizzare i Task via ActiveSync Server side! • Global Address List Lookup: è ora possibile dal dispositivo accedere a tutta la GAL Funzionalità aggiuntive per gli utenti mobili • Outlook Mobile data compression: lo scambio di dati tra il PDA e il server Exchange è ora compresso (GZIP) consentendo un risparmio di banda stimabile in circa il 30% rispetto ad una normale sincronizzazione; visto che le connessioni mobili sono nella maggior parte a pacchetto… • Certificate-based authentication: consente l’autenticazione per mezzo di certificati! Elimina la necessità di memorizzare le credenziali di accesso nel PDA o l’uso di dispositivi aggiuntivi. • Supporto a S/MIME: è possibile cifrare o firmare digitalmente i messaggi esattamente come in OWA Always-up-to-date (AUTD) • Con Exchange 2003 senza SP2 la sincronizzazione dei device doveva essere schedulata ad intervalli o avvenire manualmente. • In alternativa era possibile utilizzare il concetto di AUDT: – il server inviava un SMS di new mail al client per mezzo di un SMS gateway. – Ricevuto il messaggio il device si connetteva e scaricava la nuova mail. Direct Push • È sufficiente un normale abbonamento dati, senza nessun servizio aggiuntivo • Non è necessario aggiungere hardware particolare alla propria infrastruttura Exchange • Non sono necessari SMS o altri strumenti di notifica • Non è necessaria alcuna configurazione particolare sul dispositivo • È necessario essere sempre connessi, pertanto è necessario utilizzare abbonamenti flat Direct Push • Come funziona: – Direct Push mantiene una connessione costante al server via IP. In questo modo non appena avviene una modifica ad una mailbox un trigger viene inviato al dispositivo che quindi si aggiorna. – Sfrutta HTTP o HTTPS e funziona sia con connessioni GRPS, EDGE o UMTS che WiFi. Direct Push Prima di SP2 Con SP2 Security Policy • Scegliendo Device Security abbiamo la possibilità di impostare tutti i parametri relativi alla sicurezza dei dispositivi mobili • Esiste la possibilità di effettuare delle esclusioni Ma… • I device Windows Mobile 5.0 sono appena usciti e a prezzi non proprio popolari. • Non si sa quando sarà disponibile il Windows Mobile Messaging and Security Feature Pack Supporto per nuovi dispositivi • Nokia • Motorola • Palm – Treo • Symbian (80 e 60) • DataViz (DirectPush) • …altri arriveranno (esiste il kit di sviluppo e licencing) Sender ID Framework • È una contromisura per lo spam e il phishing: si basa sulla considerazione che lo spam esiste perchè non costa! • Crea un "ecosistema" integrato e distribuito di contromisure • È l’unione di – SPF (Sender Policy Framework) – Microsoft Caller ID for Email Vantaggi • Protegge il marchio e il dominio di chi invia da spoofing e da accuse di phishing: chi riceve valida il sender • Getta le basi per un uso più affidabile e consapevole dei nomi di dominio • È il primo passo che può essere fatto senza particolari spese • Adottato da numerosi ESP Ma… • Non è uno standard RFC • Non adottato dalla comunità Open per la sua licenza e i brevetti su cui si appoggia (http://www.apache.org/foundation/docs/ sender-id-position.html) Componenti del SIDF Sender ID Framework Mail Senders MTA Vendors & Receiving Networks Sender ID Record (SPF V2) SPF V1 Record MAIL FROM Check Purported Responsible Address (PRA) Check Submitter SMTP Optimization Ma… dov’è? E poi… Global Setting -> Properties Come funziona 1. Il sender pubblica nel suo DNS l’indirizzo IP dei suoi server di invio come record SPF. Per la pubblicazione si possono utilizzare due strade: 1. “Purported responsible domain” RFC 2822 2. “Envelope From” RFC 2821 2. Chi riceve il messaggio esegue la verifica 1. Effettua una query DNS per ricavare il record SPF 2. Estrapola il PRA o il Mail From dal messaggio 3. Li confronta: • • Positivo: accetto la mail normalmente Negativo: ho diverse opzioni Opzioni se il test è negativo • Rifiuto il messaggio • Lo accetto ma con banda limitata per “aumentare il costo” • Lo uso come input per I filtri antispam • Lo segnalo all’utente finale Alcune aspetti cui prestare attenzione • Se il test ha esito positivo non significa che la mail non sia spam: anche gli spammer possono comprarsi un dominio • Rifiutare la mail è pericoloso: non tutti hanno aderito a questa proposta Aggiornamenti introdotti nella versione 2 • La nuova versione supporta più “scope”: – PRA (Purported Responsible Address) – “Mail From” – Il contenuto dovrebbe essere identico nella maggior parte dei casi • È retrocompatibile con SPF v1 • Il Sender ID accetta i record v1 per entrambi gli scope I record SPF • Esempi: – ugimex.org TXT “v=spf1 -all” questo dominio NON invierà MAI mail – ugimex.org TXT “v=spf1 mx -all” tutti i record MX inviano anche mail – ugimex.org TXT “v=spf1 ip4:192.0.2.0/24 –all” tutti i server specificati nell’intervallo inviano mail – ugimex.com TXT “v=spf1 mx include:myesp.com –all” la mia posta inviata è gestita in outsourcing • Esiste anche un wizard per poter creare i record Passi per la creazione dei record SPF Passi per la creazione dei record SPF Novità nei Public Folder • Nuove modifiche per eliminare i replication storm: – Log public folder deletions: consente agli amministratori di sapere chi ha cancellato un public folder! – Stop and resume public folder content replication: con un semplice click del mouse è possibile mandare in pausa le repliche, cambiare al volo le configurazioni e riavviare le repliche!! – Sincronizzazione della gerarchia dei public folder: consente di replicare solo la gerarchia dei PF senza il contenuto per portare rapidamente “in sync” un nuovo server magari geograficamente remoto!!! Novità nei public folder • Propagazione delle modifiche nelle ACL nella gerarchia dei PF grazie al Manage Public Folders Settings Wizard (tasto destro sulla nuova voce Manage Settings)!!!! • Propagazione delle modifiche alle repliche nella gerarchia nei PF!!!!! • Protezione nella rimozione di PF e server. Novità nei Public Folder Novità per le mailbox • SP2 consente agli amministratori di disattivare completamente l’accesso MAPI per un particolare utente. Questo è molto comodo per implementare servizi da Email Service Provider • Esiste un nuovo campo ProtocolSetting in Active Directory. ProtocolSetting Campo Valore Descrizione 1 2 3 4-9 MAPI Indica che le voci seguenti si applicano al protocollo MAPI Bool1 •0 blocca l’accesso MAPI •1 consente l’accesso secondo il contenuto di Bool2 Bool2 •0 lavora “normalmente” •1 blocca l’accesso ai client noncached Non utilizzati Intelligent Message Filtering v2 • IMF v2 si integra con SPF • IMF v2 è built in Exchange SP2 • NON installare MAI IMF v1 dopo SP2 Ma dov’è E poi Global Setting -> Properties Intelligent Message Filtering v2 • Al termine dell’installazione l’amministratore deve abilitare IMF non appena il server è nuovamente on line. • In caso contrario è necessario mandare il server off line per abilitare IMF • IMF non è cluster aware e non si può installare IMF su un nodo del cluster • Si può installare su un front end! Custom Weighting • È una nuova funzionalità di IMF v2 che consente agli amministratori di customizzare il comportamento di IMF basandosi sulle frasi che sono contenute all’interno dell’intestazione o del corpo del messaggio Custom Weighting • NON esiste interfaccia grafica per la sua gestione • È necessario creare un file di configurazione XML che viene interpretato da IMF. • Ad ogni modifica è necessario riavviare il servizio SMTP • Il file che si chiama “MSExchange.UceContentFilter.xml” deve essere nella stessa cartella dove si trovano il file MSExchange.UceContentFilter.dll e i vari .dat (di default C:\Program Files\Exchsrvr\bin\MSCFV2) File di esempio <?xml version="1.0" encoding="UTF-16"?> <CustomWeightEntries xmlns="http://schemas.microsoft.com/2005/CustomWeight"> <CustomWeightEntry Type="BODY" Change="1" Text=“viagra"/> <CustomWeightEntry Type=“SUBJECT" Change=”5" Text=“tutto gratis"/> <CustomWeightEntry Type="SUBJECT" Change="MIN" Text=" testo"/> <CustomWeightEntry Type="BOTH" Change="MAX" Text=“testo"/> </CustomWeightEntries> Valore utilizzabili Valore Descrizione Type= BODY Esegue la ricerca nel corpo del messaggio Type= SUBJECT Esegue la ricerca nel subject del messaggio Type= BOTH Esegue la ricerca in entrambi Change • • • testo Specifica l’azione sul SCL (Spam Confidence Level) di un messaggio. Può essere un valore intero che va a sommarsi al valore calcolato da IMF Sono ammesse le keyword MIN e MAX che forzano il valore di SCL a 0 e 9 rispettivamente, INDIPENDENTEMENTE dal valore calcolato. Qualsiasi valore fino a 1000 caratteri. Migliorie in OAB • Necessitano del SP2 di Office 2003 • Diminuisce “Significantly” (Microsoft ™;-) la dimensione delle OAB. • Implementano un meccanismo differenziale con compressione (BinPatch). • È possibile avere proprietà e indici custom. • Gli indici sono basati sui Local Settings dei client. • Migliorato il diagnostic logging. Domande?