Exchange 2013 SP1: Installation et configuration du serveur de transport Edge

Exchange 2013 SP1: Installation et configuration du serveur de transport Edge

Exchange 2013 SP1: Installation et configuration du serveur de transport Edge

Dans cet article, nous parlerons de l’installation du rôle Transport Edge et de sa configuration.

Vue d’ensemble Le rôle du serveur de transport Edge est l’un des trois rôles actuellement disponibles avec Exchange 2013 Sp1. La règle de transport Edge minimise la surface d’attaque en traitant tous les flux de courrier Internet.

Le serveur de transport Edge est principalement placé dans le réseau périmétrique ou dans la zone DMZ. Edge Transport possède des agents de transport supplémentaires qui ne sont pas installés sur les serveurs de boîtes aux lettres. Voici la liste complète des agents de transport pour le transport Edge:

  • Get-transportAgent

Conditions préalables à l’installation du transport Edge.

Edge n’a pas besoin d’être une machine jointe au domaine, même si vous pouvez également utiliser une machine jointe au domaine pour installer le rôle de transport Edge. Cependant, la machine de groupe de travail doit toujours résoudre le nom et la boîte aux lettres du serveur de boîtes aux lettres. Le serveur doit pouvoir résoudre le serveur Edge afin que le FQDN soit requis.

Suffixe primaire du serveur Edge Confiugre

  1. Changez le nom de l’ordinateur et fournissez également le suffixe DNS principal comme indiqué dans la capture d’écran ci-dessous.
  2. Créez un enregistrement hôte dans DNS pour Edge Server.
  3. Assurez-vous que le transport Edge est joignable  à partir du réseau interne

Ouvrir les ports de pare-feu.

 Internet ß -> serveur de transport EDGE

Port SMTP 25

Serveur de transport EDGE ß -> Intranet

Port SMTP 25 et 2525 – Mailflow

DNS TCP / UDP – 53 – Résolution DNS

RDP TCP 3389 – Bureau à distance

LDAP – 50389 – localement pour lier à l’instance AD ​​LDS – Il n’est pas nécessaire d’ouvrir  ce port sur le pare-feu périmétrique.

LDAP sécurisé – 50636 – Synchronisation d’annuaire des serveurs de boîtes aux lettres vers   AD LDS

Installation ADLDS

Le serveur Edge n’a pas accès à Active Directory, mais parfois Edge Server doit accéder à des informations provenant de AD comme la configuration du serveur Mailbox et les Infos de destinataires.

ADLDS est nécessaire pour stocker les informations de configuration et de destinataire utilisées par le serveur de transport Edge.

Ouvrez powershell sur Edge Server et exécutez-le en tant qu’administrateur

1 -Install-WindowsFeature RSAT-ADDS.

 2 –NET Framework 4.6.2

 Exchange 2013 CU16 et les versions plus récentes  nécessitent .NET Framework 4.6.2. Améliorez vos serveurs vers .NET Framework 4.6.2 avant d’installer Exchange 2013 CU16 .

3 –Windows Management Framework 4.0 (inclus avec Windows Server 2012 R2)

l’installation du transport Edge :

Exécutez le setup.exe. Sélectionnez « Ne pas vérifier les mises à jour en ce moment

Cliquez ensuite sur l’écran ci-dessous

 

 

Acceptez l’accord et cliquez sur Next.

 

Sélectionnez « Ne pas utiliser les paramètres recommandés » puis cliquez sur Suivant

Dans la sélection du rôle du serveur, assurez-vous de sélectionner le rôle de transport Edge et cliquez   sur Suivant.

 

Donnez le chemin puis cliquez sur Suivant.

Une fois la vérification de préparation terminée sans erreur, cliquez sur installer.

Nous faisons les vérifications suivantes après l’installation de serveur EDGE :

Le composant du serveur EDGE : Get-ServerComponentstate

Les services : Test-ServicesHealth

Les agents de transport : Get-transportAgent

Le connecteur de réception : Get-receiveconnector

 

 

Configuration de l’abonnement Edge pour Exchange Server 2013

Un serveur de transport Edge n’a pas d’accès direct à Active Directory. Les informations de configuration et de destinataire utilisées par le serveur de transport Edge pour traiter les messages sont stockées localement dans AD LDS. La création d’un abonnement Edge établit une réplication automatique et sécurisée des informations d’Active Directory vers AD LDS.La procédure d’abonnement Edge prévoit les informations d’identification utilisées pour établir une connexion LDAP sécurisée entre les serveurs de boîtes aux lettres Exchange 2013 et un serveur de transport Edge. Le service Microsoft Exchange EdgeSync (EdgeSync) qui s’exécute sur les serveurs de boîtes aux lettres effectue une synchronisation périodique pour transférer des données mises à jour vers AD LDS. Cela réduit les tâches d’administration que vous effectuez dans le réseau périmétrique en vous permettant de configurer le serveur de boîtes aux lettres, puis de synchroniser ces informations avec le serveur de transport Edge.

Vous souscrivez un serveur de transport Edge au site Active Directory qui contient les serveurs de boîtes aux lettres responsables du transfert de messages vers et depuis vos serveurs de transport Edge. La procédure d’abonnement Edge crée une affiliation de membre de site Active Directory pour le serveur de transport Edge. L’affiliation du site permet aux serveurs de boîtes aux lettres de l’organisation Exchange de transmettre des messages au serveur de transport Edge pour la livraison sur Internet sans devoir configurer des connecteurs d’envoi explicites.

Un ou plusieurs serveurs de transport Edge peuvent être abonnés à un seul site Active Directory. Toutefois, un serveur de transport Edge ne peut pas être abonné à plus d’un site Active Directory. Si vous avez déployé plus d’un serveur de transport Edge, chaque serveur peut être abonné à un autre site Active Directory. Chaque serveur de transport Edge nécessite un abonnement Edge individuel.

Exporter l’abonnement Edge à partir du serveur de transport EDGE

Exécutez la commande ci-dessous pour exporter l’abonnement, puis copiez le fichier dans le serveur de boîtes aux lettres.

New-EdgeSubscription -FileName « c:\edgesub\edgesub.xml »

Regardez l’écran, il est clair que Edge va parler au serveur de boîtes aux lettres. Nous devons importer ce fichier dans les 1440 minutes (24 heures). L’abonnement expirera.

Tapez Y puis Entrez à l’invite de confirmation

 

Copiez le fichier d’abonnement Edge dans un serveur de boîtes aux lettres

  1. Copiez le fichier d’abonnement Edge dans un serveur de boîtes aux lettres ou un partage de fichier accessible à partir du site Active Directory contenant vos serveurs de boîtes aux lettres.
  2. Connectez-vous à Mailbox Server.
  3. Ouvrez Exchange Management Shell et exécutez la commande ci-dessous.
  1. Exécutez la commande ci-dessous pour importer l’abonnement.

New-EdgeSubscription -FileData ([byte[]]$(Get-Content -Path “c:\edgesub\edgesub.xml” –   Encoding Byte -ReadCount 0)) -Site “Default-First-Site-Name”

NB :Assurez-vous que le port 50636 s’ouvre de la boîte aux lettres LAN vers le DMZ de transport Edge.

Configurer le serveur SMTP interne sur la configuration du transport

Utilisez le paramètre InternalSMTPServers sur la cmdlet Set-TransportConfig pour spécifier une liste des adresses IP du serveur SMTP interne ou des plages d’adresses IP à ignorer par les agents Singer ID et Connection Filtering sur le serveur Edge Transport.

Exécutez la commande ci-dessous sur le serveur de boîtes aux lettres

 Set-TransportConfig -InternalSMTPServers @{Add= »10.0.0.10″, »10.0.0.9″}

 

Start Edge Sync

      Une fois terminé, exécutez la commande ci-dessous au niveau des serveurs Mailboxes.

        Start-EdgeSynchronization -Server MailboxserverFQDN -TargetServer EDGEServerFQDN –ForceFullSync

  Redémarrez Edge-Sync sur le serveur de transport Edge.

 

 

 

 

 

 

 

Testez le Mailflow:

Mon LAB ne reçoit pas d’Internet, donc j’ai utilisé le telnet

Installer le client telnet sur le serveur EDGE.

Exécutez la commande ci-dessous :

telnet edge.esr.local 25

ehlo

mail from: yassineb@esr.local

rcpt to: ahmedb@esr.local

data

subject: email test from edge

test

.

quit

get-queue on edge

NB : Après le bon déroulement de la procédure supprimer le fichier XML qui contiennent des informations sensibles concernant les identifiants pour les communications LDAP.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Configuration Anti-Spam sur EDGE

Add an IP Block List Provider to Exchange Server 2013 Edge Transport

L’un des agents de transport installés sur le serveur de transport Edge 2013 est l’agent de filtrage de connexion.

Get-transportAgent

L’agent de filtrage de connexion examine l’adresse IP d’un serveur qui établit une connexion SMTP au serveur de transport Edge et décide de bloquer ou d’autoriser la connexion. Il prend la décision en recherchant l’adresse IP dans une liste de blocs, une liste de permissions ou en interrogeant un fournisseur de liste de blocs / autorisations.

Lorsque votre organisation Exchange reçoit un spam, vous pouvez ajouter les adresses IP des spammeurs à une liste de blocs IP sur le serveur de transport Edge. Cependant, cela est assez inefficace, car vous allez constamment ajouter de nouvelles adresses IP à la liste.

Une approche plus efficace consiste à utiliser un ou plusieurs fournisseurs de liste de blocs IP, tels que Spamhaus (mon favori personnel ) ou SpamCop .

Add-IPBlockListProvider -Name Spamhaus -LookupDomain zen.spamhaus.org -AnyMatch $true -Enabled $true -RejectionResponse « IP address is listed by Spamhaus »

Notez que vous pouvez modifier le message de rejet qu’il a renvoyé à l’expéditeur.

Set-IPBlockListProvider Spamhaus -RejectionResponse « IP address is listed by Spamhaus Zen. »

Get-IPBlockListProvider

Une fois que le fournisseur de liste de blocs est en place depuis un ou deux jours, vous pouvez voir les résultats en exécutant le script Get-AntispamTopRBLProviders.ps1 fourni avec Exchange.

Get-AntispamTopRBLProviders.ps1

 

 

 

 

Address rewriting on Edge Transport servers

La réécriture d’adresse dans Exchange Server 2016 modifie les adresses e-mail des expéditeurs et des destinataires dans les messages qui entrent ou quittent votre organisation via un serveur de transport Edge. Deux agents de transport sur le serveur de transport Edge fournissent la fonctionnalité de réécriture: l’agent entrant de réécriture d’adresse et l’agent sortant de réécriture d’adresse. La raison principale de la réécriture d’adresse sur les messages sortants est de présenter un domaine de messagerie unique et cohérent aux destinataires externes. La principale raison de la réécriture d’adresse sur les messages entrants est de transmettre des messages au destinataire correct.

L’entrée de réécriture d’adresse , que vous créez, spécifie les adresses internes (les adresses de courriel que vous souhaitez modifier) ​​et les adresses externes (les adresses de courrier électronique définitives que vous souhaitez). Vous pouvez spécifier si les adresses électroniques sont réécrites dans les messages entrants et sortants, ou uniquement dans les messages sortants. Vous pouvez créer des entrées d’écriture d’adresse pour un utilisateur unique (chris@contoso.com à support@contoso.com), un seul domaine (contoso.com à fabrikam.com), ou pour plusieurs sous-domaines à l’exception (* .fabrikam.com à Contoso.com, sauf legal.fabrikam.com).

 

L’exemple suivant montre comment une organisation, Contoso, Ltd., peut cacher ses sous-domaines internes à partir de destinataires externes:

  • Les messages sortants des domaines northamerica.contoso.com, europe.contoso.com et asia.contoso.com sont réécrits afin qu’ils apparaissent à partir d’un seul domaine contoso.com. Tous les messages sont réécrits lorsqu’ils passent par des serveurs de transport Edge qui fournissent une connectivité SMTP entre l’ensemble de l’organisation et Internet.
  • Les messages entrants vers les destinataires de contoso.com sont transmis par le serveur de transport Edge à un serveur de boîtes aux lettres. Le message est transmis au destinataire correct en fonction de l’adresse proxy qui est configurée sur la boîte aux lettres du destinataire.

Sender filter agent

 

Le filtrage de l’expéditeur compare une liste des expéditeurs bloqués gérés par l’administrateur Exchange à la valeur de la commande MAIL FROM dans les connexions SMTP pour déterminer ce qu’il faut faire avec les messages électroniques entrants de ces expéditeurs bloqués. Le filtrage de l’expéditeur dans Exchange 2016 est fourni par l’agent Sender Filter et est essentiellement inchangé par Exchange Server 2010.

Vous pouvez configurer l’agent Sender Filter agent d’expéditeur unique (par exemple, kim@contoso.com), tous les domaines (contoso.com), ou les domaines et tous les sous-domaines (* .contoso.com). Vous pouvez contrôler si l’agent inspecte les messages provenant de sources internes, de sources externes ou des deux. Vous pouvez également configurer l’action pour prendre les messages des expéditeurs bloqués:

  • Rejeter    L’agent du filtre 554 5.1.0 Sender Deniedexpéditeur rejette la requête SMTP avec une erreur de session SMTP et ferme la connexion.
  • Statut du timbre    L’agent Sender Filter accepte le message et met à jour le message pour indiquer qu’il venait d’un expéditeur bloqué. L’agent de filtrage de contenu utilise ces informations lorsqu’il calcule le niveau de confiance de spam (SCL) du message. Pour plus d’informations sur le filtrage de contenu et l’agent Filtre de contenu

 

Discussion

Share This:

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

cinq × deux =