none
Exchange 2010 - Topologia Sem Edge Transport - Problema Send Connectors RRS feed

  • Pergunta

  • Bom dia,

    estou configurando um Exchange 2010 e inicialmente não instalei o Edge Transport pois não tenho uma outra máquina para fazer a instalação.

    Em toda a documentação da MS, vejo que usar o Hub Transport para enviar e receber e-mails diretamente da internet é uma falha de segurança pois expoe o núcleo do Exchange diretamente para internet.

    Até o momento, o grande principal problema que estou encontrando nessa configuração, é o fato de que para criar ao criar um conector para enviar os email para internet, Send Connector, vejo que ele fica com a permissão Anonymouns, ou seja, qualquer pessoa pode enviar um email através do meu e-mail sem qualquer autenticação.

    Gostaria da ajuda da comunidade para verificar se consigo contornar isso, habilitando a autenticação na saída, ou se para ter esse nível de segurança preciso realmente de instalar e configurar o Edge Transport.

    Caso esteja falando algo sem sentido favor me corrigirem!!

    Agradeço a Ajuda!!

     

     

     

     

     

     

     

     

    terça-feira, 8 de junho de 2010 12:38

Respostas

  • Oi Cristiano. Boa tarde!

    Não é necessária a configuração de um "Send Connector" na máquina do Hub Transport, pois o próprio HT já sabe como enviar para a Internet. Só seria necessária a configuração de um "Send Connector" se você utilizasse uma conexão ADSL com a Internet e precisasse fazer "Relay" em algum provedor de e-mail externo.

    Com relação à exposição do servidor na Internet, se a publicação for feita de forma adequada (apenas a porta 25/TCP de entrada) o grande risco está nas filas de SMTP, que podem crescer descontroladamente, causando paradas constantes do serviço. Para configurá-lo de forma relativamente segura, você deve usar um script de poweshell presente na pasta %ProgramFiles%\Microsoft\Exchange Server\scripts para habilitar os agentes antispam. Isto não retira a sobrecarga causada no processamento das mensagens bloqueadas.

    Outra coisa, prefira utilizar duas placas de rede: uma para tráfego interno com as estações e uma para tráfego da Internet (não esqueça-se de habilitar o firewall do Windows e liberar apenas a porta 25 de entrada). O servidor só deverá ter um gateway padrão. Se existirem várias redes internas, configure rotas estáticas persistentes.

    Espero ter ajudado.

    Grande abraço!


    Rogerio Silva .::. MCSE / MCT - CompuNext
    quarta-feira, 9 de junho de 2010 19:19

Todas as Respostas

  • CAso voce tenha ISA ou Firewall qualquer pode criar regras de entrada e saida de e-mail com isso voce coloca esse firewall como seu smart Host no SendConnector.

    http://www.isaserver.org/articles/smtprelayinboundoutbound.html

    da uma olhada nesse link que eu acho que vai dar uma luz para voce.


    André Cangussu
    terça-feira, 8 de junho de 2010 14:15
  • Andre,

    não tenho o ISA no meu ambiente, apenas o MS EXchange, Fore Front for Exchange e um firewall WatchGuard. Vou dar uma olhada no documento de qualquer forma. Obrigado.

     

    terça-feira, 8 de junho de 2010 14:21
  • Oi Cristiano. Boa tarde!

    Não é necessária a configuração de um "Send Connector" na máquina do Hub Transport, pois o próprio HT já sabe como enviar para a Internet. Só seria necessária a configuração de um "Send Connector" se você utilizasse uma conexão ADSL com a Internet e precisasse fazer "Relay" em algum provedor de e-mail externo.

    Com relação à exposição do servidor na Internet, se a publicação for feita de forma adequada (apenas a porta 25/TCP de entrada) o grande risco está nas filas de SMTP, que podem crescer descontroladamente, causando paradas constantes do serviço. Para configurá-lo de forma relativamente segura, você deve usar um script de poweshell presente na pasta %ProgramFiles%\Microsoft\Exchange Server\scripts para habilitar os agentes antispam. Isto não retira a sobrecarga causada no processamento das mensagens bloqueadas.

    Outra coisa, prefira utilizar duas placas de rede: uma para tráfego interno com as estações e uma para tráfego da Internet (não esqueça-se de habilitar o firewall do Windows e liberar apenas a porta 25 de entrada). O servidor só deverá ter um gateway padrão. Se existirem várias redes internas, configure rotas estáticas persistentes.

    Espero ter ajudado.

    Grande abraço!


    Rogerio Silva .::. MCSE / MCT - CompuNext
    quarta-feira, 9 de junho de 2010 19:19