Всё о о Microsoft Exchange Server и электронной почте.

Virtual server 2005, копируем данные на виртуальную машину.

Решил на днях развернуть тестовую версию Exchange 2007 на виртуальной машине. Пора уже. Да и форум http://forums.microsoft.com/TechNet-RU/ShowForum.aspx?ForumID=972&SiteID=40 иногда подкидывает вопросы по взаимодействию между серверами.

Помня о том, что на Exchange Connections в Штатах все уважающие себя тренеры запускали Virtual server на лаптопах, я тоже поставил себе Virtual Server еще полгода назад и отрабатывал работу утилиты по переносу кворумного диска кластера на новую железяку. Итак запускаю я Virtual server и сразу же вопрос:»А как собственно данные на него записать?» К примеру, на виртуальную машину я проинсталировал Windows 2003 с CD диска, а как же все остальное? В Virtual PC можно было расшаривать локальный диск хостовой машины, а сервер предназначен немного для другого, поэтому эту возможность убрали или не стали делать.

Ладно, как же быть? А вот как:
1) Использовать CD/DVD хостовой машины.
2) Настроить внутреннюю сеть для виртуальных машин и подключить к ней локальную машину. 3) Пункт 2 + использование терминалки с подключенными локальными дисками. Это похоже особый вид изврата, но имеет место быть.

4) Сделать ISO с диска с данными и подключить, как диск к виртуальной машине.

С пунктом 1 понятно, 3, 4 … тоже 🙂

Как же настроить сеть? Не сложно.
1) Идем на хостовой машине(вашей) в Control Panel\Add Hardware,Next,Yes, Add new hardware device, Next,Install the .., Network adapters, Next, MS Loopback adapter, Next.
2) В сетевых настройках у вас появится новое сетевое соединение «Local area Connection 2», заходим в него и назначаем ему IP вашей внутренней виртуальной сети. Например у меня IP 100.4.1.254, маска 255.255.255.0(мне так удобнее)
3) Идем в Advanced settings в окне Network Connections, Adapters and Bindings, ставим наше новое соединение в самый низ. Нажимаем OK.
4) Запускаем services.msc в Start/Run. Проверяем что www и virtual service у нас запущены. Рестартуем Virtual service.
А лучше перезапустить хостовую машину.
5) Заходим в IE и запускаем VS < hxxp://ваша машина/VirtualServer/VSWebApp.exe?view=1
6) Создаем новую Virtual Network с именем Internal Network и в качестве Network adapter on physical computer выбираем Microsoft Loopback Adapter.
7) Виртуальной машине в Network adapters прописываем Internal Network.
8) Запускаем виртуальную машину и настраиваем IP на карточке, к примеру, 100.4.1.10 с маской 255.255.255.0
9) Проверяем ping на 100.4.1.10 и 100.4.1.254. Оба IP должны пинговаться.
10) С виртуальной машины пишем в Start/Run \\100.4.1.254\c$. Вы получите приглашение на ввод пароля. И наоборот, с хостовой машины(вашей), набираете в Start/Run \\100.4.1.10\c$ и получите приглашение на ввод имени пользователя и пароля виртуальной машины.

Поскольку пост написан довольно быстро, то возможны неточности. Сообщите, поправлю.

Список утилит, используемых Exchange 2003.

Сегодня на форуме TechNet вычитал про утилиту Microsoft Exchange Server Address Rewrite Tool. Поймал себя на мысли, что толком не понимаю, зачем она нужна. В результате нашел страничку http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/tools-category.mspx, где описаны все утилиты, используемые Exchange. Даны краткие комментарии. Посколько я не часто ими пользуюсь, то придется иногда почитывать эту страничку для обновления своей памяти. Рекомендую прочитать и Вам, хуже не будет.

Семинар TechNet: Windows Vista и Office 2007 — вместе лучше или сладкая парочка.

Я как то уже заострял внимание на том, что в блогах технических специалистов в Штатах почти не говорят про Exchange 2003. Такое ощущение, что его просто нет. Все кинулись на Exchange 2007. Это объяснимо, ибо они этими знаниями зарабатывают на жизнь, пишут книги, читают курсы, презентации. Нужно быть в струе. На мой взгляд это нормальная линия поведения для современного ИТ специалиста.

Я уже давно открыл для себя вебкасты у Микрософт. Сиди, смотри. Тебе все расскажут и покажут. Нельзя объять необъятное, ставить все продукты, смотреть, как они работают. Да и не нужно это. А знать, какой продукт для каких решений нужен — просто обязательно.

Сегодня слушал Семинар TechNet: Windows Vista и Office 2007 — вместе лучше или сладкая парочка.  Как это сейчас модно говорить: Афтору — зачОт. Мне понравилась манера изложения, все было здорово.

Вкратце о самом семинаре. Продолжают впечатлять современные технологии. Лектор находился в Мюнхене, в гостинице, подключившись к Интернету по WiFi, а голос шел по мобильному телефону. Не могу к такому привыкнуть, хоть у меня почтовые сервера раскиданы по стране и конфигурировать сервер в Казахстане — это обычное дело.

Для того, чтобы начать тестирование, ключ для Vista все еще можно получить на  http://www.microsoft.com/windowsvista/getready/preview/register.mspx  В Control panel можно посмотреть рейтинг компьютера для пригодности работы в Vista. В Enterprise версии можно есть поддержка Virtual PC и можно бухгалтеру бабе Клаве оставить ее любимую программу на Clipper, при этом научить раскрашивать ячейки в Excel 2007.

Понравилось еще то, что удобнее будет работать с образами для разворачивания Vista, иметь вместо 10 разных образов для 10 моделей рабочих станций всего парочку. Application Compatibility Toolkit поможет определить совместимость текущих приложений в Windows XP с Vista. Хотя это не панацея и нужно тестировать конкретные конфигурации.

Админам будет проще работать с журналами событий. Похоже производители Firewallов для рабочих станций теперь могут курить бамбук, ибо в Vista вполне нормальный файервол в обе стороны с правилами для приложений и сервисов.

Пользователи получат больше возможностей, например, добавление принтеров, просмотр даты без прав администратора.

Во время семинара по офису пришлось решать локальные проблемы с почтовиками, поэтому смотрел урывками.

 

Вот такие остались у меня впечатления. В описанной информации сверху могут быть неточности, т.к. это мое восприятие и сам я пока Vistу видел только на призентациях и на рабочих машинах Микрософтовцев.

 

Спасибо еще раз организаторам за вебкаст. Жаль, что народа было немного.

Как уберечься от спама? Фигня это, нельзя от него уберечься :-)

Прочитал сегодня статью http://www.aboutmail.ru/articles/spam/no-spam.html. Хорошая статья, вроде все правильно. Только фигня это полная. Единственная правильная защита от спама — это не пользоваться электронной почтой.

А сделать такие заявления меня побудили следующие выводы. Во первых, Вы обмениваетесь корреспонденцией с людьми, простыми людьми. Они сохраняют ваши адреса в свои адресные книги в Outlook/Bat. Троянцы сливают эти адреса из книг в Инет. Получите спам! Люди то разные бывают и не все пользуются антивирусами и обновляют их.

Но это тоже ерунда.

Смотрим, как работает сервер mail.ru

Проверка доступности несуществующего E_Mail адреса: testemail12345ZZZZDDFAERW@mail.ru

Домен: mail.ru
Почтовые сервера домена mail.ru
mail.ru preference = 10, mail exchanger = mxs.mail.ru
—————Почтовый сервер: mxs.mail.ru(194.67.23.20) [приоритет 10] —————
Подключение… OK
<= 220 Mail.Ru ESMTP
=> HELO mailvalid.nettools.ru
<= 250 mx25.mail.ru ready to serve
=> MAIL FROM: <mailvalid@nettools.ru>
<= 250 OK
=> RCPT TO: <testemail12345ZZZZDDFAERW@mail.ru>
<= 250 OK
*** Сервер является пересыльщиком почты и принимает все письма ***

 

То есть, он «всасывает» все сообщения для домена mail.ru. Трафика он получает очень много. Зато проверка на «реальность» адресов происходит внутри.

Смотрим на yandex.ru

Домен: yandex.ru
Почтовые сервера домена yandex.ru
yandex.ru preference = 0, mail exchanger = mx1.yandex.ru
yandex.ru preference = 10, mail exchanger = mx2.yandex.ru
—————Почтовый сервер: mx1.yandex.ru(213.180.223.89) [приоритет 0] —————
Подключение… OK
<= 220 Yandex ESMTP (NO UCE)(NO UBE) server ready at Wed, 8 Nov 2006 11:15:12 +0300
=> HELO mailvalid.nettools.ru
<= 250 mxfront3.yandex.ru Hello mailvalid.nettools.ru
=> MAIL FROM: <mailvalid@nettools.ru>
<= 250 2.1.0 Sender syntax Ok;
=> RCPT TO: <testemail12345ZZZZDDFAERW@yandex.ru>
<= 550 5.1.1 user unknown
***Пользователя с таким E_Mail не доступен на сервере***

Что бы я делал, если бы был спамером. Я бы написал программу, которая подбирала адреса на таких серверах по словарю и потом перебором. Угадайте, что я получу? Правильно, я получу базу e-mail адресов с рабочими адресами. И пофигу, защищает пользователь свой адрес или нет. Никаких троянов, никаких сложностей. Хотя и тут можно сделать защиту типа Greylisting или не принимать соединение от сервера после трех попыток подобрать адрес. Но в Exchange такого пока нет.

В большинстве фильтров считается обязательным проверка пользователя на существование в AD и отбивка соединений на уровне SMTP сессии. Экономия трафика. Но есть и обратная сторона, которая описана выше.

Мои сервера тоже настроены на проверку пользователей в AD :-),  хотя в будущем придется из него сделать relay, как на mail.ru

 

p.s.  сервера тестировались с сайта http://tests.nettools.ru/

Касперский: Хакеры одержат победу над антивирусными компаниями

       Руководитель антивирусных исследований «Лаборатории Касперского» Евгений Касперский 1 ноября прочел лекцию в большой аудитории Рижского технического университета и дал пресс-конференцию в гостинице Radisson SAS Daugava.

           В свою очередь журналистам в Radisson Касперский, по собственным словам, постарался максимально сжато рассказать то, что он уже рассказывал вчера и сегодня по полтора часа. По времени получилось где-то около часа, причём довольно пессимистично и даже устрашающе. Если сказанное экспертом еще раз максимально сжать до тезисов, то суть в следующем.

           Ситуация в интернете становится все хуже и хуже, резко возрастает криминальная активность в сети, на фоне которой проблема обычных вирусов и хакерских атак практически незаметна. Одна из причин, почему обычных вирусов становится меньше, заключается в том, что «вирусописатели» мигрируют в криминальную зону с целью заработать денег нелегальными способами. За шесть последних лет вирусная активность возросла более чем в 10 раз, качество вредных программ растет лавинообразно, при этом резко усложняются их технологии. Между тем, если в 2004 году во всем мире за компьютерные преступления было арестовано около 100 человек, в 2005несколько сот, то в этом году только около 60. То есть, судя по всему, глупых хакеров и преступников поймали и посадили, остались умные, поймать которых очень тяжело. Эти умные киберпреступники создают все более и более сложные вирусные троянские программы, увеличивается число этих программ.

       «Боюсь, что в будущем антивирусные компании просто не смогут противостоять всему этому потоку, — признался в итоге Касперский. — При этом у нас есть положительный опыт взаимодействия с полициями разных стран и если постараться, то можно раскрыть практически любое компьютерное преступление — было бы желание. Но, как мне кажется, если в будущем не будут предприняты адекватные полицейские меры, то мы, как антивирусники, не сможем вас защищать. То есть, технологии, техническая защита, антивирусные программы — они не спасут. Потому что атакующая сторона слишком многочисленна и слишком опытна».

 

Конечно Касперскому есть смысл запугивать людей, чтобы все боялись и покупали антивирусные продукты. Но судя по возросшему за последнее время количеству присылаемых вирусов и спама ситуация скоро вообще выйдет из под контроля. Мне очень интересно, как борются с вирусами и спамом на таких серверах, как mail.ru,yandex.ru и т.д. Ну ничего, это в конце концов не вирус СПИДА от которого люди умирают.

504 Need to authenticate first

Сегодня получил письмо от коллеги, он продолжает биться с ветряными мельницами в виде сообщений в application log.

Event Type: Error
Event Source: MSExchangeTransport
Event Category: SMTP Protocol
Event ID: 7010
Date: 11/1/2006
Time: 9:03:04 AM
User: N/A
Computer: Server
Description:
This is an SMTP protocol log for virtual server ID 1, connection #22534. The client at «203.153.216.11» sent a «xexch50» command, and the SMTP server responded with «504 Need to authenticate first «. The full command sent was «xexch50 2096 2». This will probably cause the connection to fail.

На самом деле правду говорят, что меньше знаешь — лучше спишь. Если увеличить детализацию любых логов, то видно, что серверы выполняют рад операций, вызывающих ошибки. Но на это не стоит обращать внимания. Это как раз тот случай.

Проблема заключается в том, что получающий сервер Exchange, стоящий в Internet, отвечает на EHLO вот так:

220 mxs2.inserv.kz Microsoft ESMTP MAIL Service, Version: 6.0.3790.1830 ready at Wed, 1 Nov 2006 12:32:43 +0500
EHLO myserv01.mydomain.ru
250- mxs2.inserv.kz Hello [61.122.296.161]
250-TURN
250-SIZE 5388608
250-ETRN
250-PIPELINING
250-DSN
250-ENHANCEDSTATUSCODES
250-8bitmime
250-BINARYMIME
250-CHUNKING
250-VRFY
250-TLS
250-STARTTLS
250-X-EXPS GSSAPI NTLM
250-AUTH GSSAPI NTLM
250-X-LINK2STATE
250-XEXCH50
250 OK

Это на самом деле не правильно, т.к. мы видим команды, используемые только Exchange серверами, например: 250-X-LINK2STATE, 250-XEXCH50 и т.д.
Отправляющий Exchange сервер считает, что он соединился с Exchange сервером и пытается работать с принимающим сервером, как с Exchange. Но сервера из разных организаций и соединение между ними анонимное. Поэтому команда XEXCH50 не может использоваться.

К примеру mail.ru отвечает вот как:

220 Mail.Ru ESMTP
EHLO myserv01.mydomain.ru
250-mx21.mail.ru ready to serve
250-SIZE 10485760
250 8BITMIME
250 OK

И этого вполне достаточно для работы в Интернет, но сейчас не об этом.

Итак, рассмотрим лог SMTP и обмен между серверами при подобной ошибке.

Я немного модифицировал стандартный SMTP log. Эта сессия моего сервера Exchange 2003 myserv01.mydomain.ru к внешнему серверу Exchange 2003 в Интернет mxs2.inserv.kz.( Все команды в нормальном логе начинаются с «Outbound»). Эта сессия является анонимной по отношению к получающему серверу.

R: mxs2.inserv.kz +Microsoft+ESMTP+MAIL+Service,+Version:+6.0.3790.1830+ready
C: EHLO — myserv01.mydomain.ru
R: 250- mxs2.inserv.kz +Hello+[61.122.296.161]C:MAIL — FROM:<Pavel.Nagaev@mydomain.ru>+SIZE=32758
R: 250+2.1.0+Pavel.Nagaev@mydomain.ru….Sender+OK
C:RCPT — TO:<mycolleague@inserv.kz>
R:250+2.1.5+mycolleague@inserv.kz
C:XEXCH50 — 2580+2
R:504+Need+to+authenticate+first 0 0 30 0 875 — — — —

[Поскольку при EHLO сервер ответил 250-XEXCH50, мой сервер пытается работать с получающим сервером, как с Exchange сервером. А т.к. сервера не аутентифицированы по отношению друг к другу, то возникает ошибка 504+Need+to+authenticate+first. Что вполне логично. Дальше передача проходит нормально.]

C:BDAT — 32758+LAST
R:250+2.6.0++<A2B538EA6614BC4A86FAC44157707DFA5FE56B@myserv01.mydomain.ru>+Queued+mail+for+delivery 0 0 96 0 1812 — — — —
C:QUIT –
R:221+2.0.0+ mxs2.inserv.kz +Service+closing+transmission+channel

Что же делать c этой ошибкой?

Микрософт предлагает вот что http://support.microsoft.com/kb/843106 . Но это при условии, что оба сервера работают в вашей сети. Если это Интернет сервера, то не стоит делать то, что написано в статье.

Что означает XEXCH5, написано в этой статье http://support.microsoft.com/kb/812455/.

Чтобы такой ошибки не возникало у других пользователей Интернет, закройте XEXCH50 на вашем ISA сервере. Можно сделать еще на вашем SMTP сервере http://support.microsoft.com/kb/257569/en-us, но я не рекомендую, т.к. полезут другие ошибки.

Чтобы подобной ошибки не возникало в ваших логах, нужно на SMTP коннекторе, отсылающим почту в Интернет включить опцию Send HELO instead of EHLO.

И пусть к нам всем придет радость и счастье 🙂