Archive for the ‘Exchange 2003’ Category.

OWA/RPC – Exchange 2003


Nedenstående link’s beskriver opsætning og fejlfinding for Outlook Web Access og RPC over Https.

How do I configure OWA to use SSL:
http://www.petri.co.il/configure_ssl_on_owa.htm

Implementing Outlook Web Access with Exchange Server 2003:
http://www.msexchange.org/tutorials/OWA_Exchange_Server_2003.html

Configure ISA to Publish OWA:
http://www.petri.co.il/configure_isa_to_publish_owa.htm

configure Forms-Based Authentication in Exchange Server 2003 OWA:
http://www.petri.co.il/configuring_forms_based_authentication_in_exchange_2003.htm

Configure RPC over HTTP/S on Exchange 2003:
http://www.petri.co.il/configure_rpc_over_https_on_a_single_server.htm

How can I test RPC over HTTP/S on Exchange 2003
http://www.petri.co.il/testing_rpc_over_http_connection.htm

Troubleshooting Outlook Web Access logon failures in Exchange 2000 and
in Exchange 2003:
http://support.microsoft.com/kb/327843

Fixing a Damaged or Incorrectly Configured OWA 2003 Installation:
http://www.msexchange.org/tutorials/Fixing-Damaged-Incorrectly-Configured-OWA-2003-Installation.html

How to reset the default virtual directories…….
http://support.microsoft.com/kb/883380

Exchange – clean out a big SMTP Queue


Jeg har tidligere set eksempler på kunder der har været udsat for NDR spam – Open Relay – Compromised user accounts i deres Exchange miljø.
Hvis man får et stort antal af dead/frozen
queues på sin Exchange server, kan man benytte aqadmcli til at fjerne alle de queued messages.
For at fjerne alle meddelelser i et hug kan man benytte nedenstående kommando.

aqadmcli.exe
setserver [Navn på Exchange serveren]
delmsg flags=all
quit

Hvis man kun ønsker at slette meddelelser fra en bestemt bruger, kan benytte denne kommando

delmsg flags=SENDER,sender=user@domain.com

For mere info omkring Aqadmcli se nedenstående link
http://web.archive.org/web/20060515193356/http://cameron-webb.com/blog/archive/2004/10/06/195.aspx

Microsoft har ligeledes en artikel omkring det.

How to block open SMTP relaying and clean up Exchange Server SMTP queues in Windows Small Business Server
http://support.microsoft.com/kb/324958

Antispam – ORF og Exchange 2003 IMF


Netværks Design for Antispam løsning:

Nedenstående figur illustrerer et eksempel på en Back-to-Back DMZ med private IP adresser.
Dette dokument tager udgangspunkt i denne model.

  1. Exchange 2003 Servere– Konfigureret med IMF v2. [LAN]
  2. Backend Firewall – ISA Server 2004/2006 med 2 netkort til LAN og DMZ. [DMZ]
    Er member server i domænet og har således AD-integration. Der er installeret ORF + servicen smtpsvc, som kommer med IIS 6.0
  3. Frontend Firewall – Feks. Sonicwall eller Cisco hvis primær funktion er at beskytte DMZ. [WAN]
    Man benytter i dette tilfælde kun WAN og LAN porten.

Mail-Flow:

Mails kommer ind via frontend firewall på port 25.
Fontend FW forwarder smtp trafikken til Backend FW, hvor ORF træder i kraft.
De spam-mails der slipper igennem ORF filteret bliver sendt videre til IMF filteret på exchange 2003 servveren.
Via IMF Antispam settings bliver spam-mails enten opsamlet i en Archive folder eller bliver redirectet til brugernes junk folder.

Konfig af IMF v2 på exchange serveren:

Inden opsætning skal man sikre sig følgende:
Der er installeret SP2 på Exchange serveren. Hvis man tidligere har benyttet IMF v1 skal denne afinstalleres inden man installere SP2.
IMF er nu en integreret del af exchange, som kommer med SP2. IMF er ikke supportet i et Exchange cluster setup.
Hvis man har Frontend/backend exchange setup, skal IMF installeres på frontend.
For aktivere IMF, skal man gøre følgende:
Start ESM – Global settings – Message delivery – properties
Vælg her fanebladet “Intelligent Message Filtering”

 

Sæt her gateway blocking til 7 og Store junk til 5. Disse værdier kan man ændre over tid.
Det betyder at hvis en mail får SCL rating 7 eller derover bliver den arkiveret i en central folder på exchange serveren. Alle disse mail vil typisk være rent spam med få falske posetiver.
De mails der får en SCL mellem 5 og 7 bliver automatisk sendt videre til brugernes junk-folder.
Hvis ovenstående setup giver for mange falske/posetiver skal man ændre SCL værdierne til feks 9-7.
Hvis man ikke mener at IMF filteret er effektivt nok skal man nedsætte SCL værdierne. Personligt har jeg i mit test-setup SCL til 6-4 og det spiller helt fint.
Det skal bemærkes at jeg vælger at arkivere frem for at delete. Jeg kan derfor tillade at køre med en lavere SCL rating.
En SCL rating på 9 er helt sikkert spam.
De sidste man skal gøre for at aktivere IMF er følgende:
Gå til Administrative Groups – First Administrative Group – Exchange serveren – Protocols- SMTP – Default SMTP Virtual Server – Properties


Vælg Advanced.


Klik på knappen Edit og sæt hak ved “Apply IMF”


Restart SMTP servicen på exchange serveren.

Administration af IMF v2 på exchange serveren:

De mails der bliver arkiveret på exchange serveren ligger default i følgende sti.
C:Program FilesExchsrvrMailrootvsi 1UceArchive
Denne sti kan ændres. Se nedenstående taget fra IMF deployment Guide.

1. Where are the messages archived?
Messages are archived in the UCEArchive folder. By default this folder is created in exchsrvrmailrootvsi 1 folder – where 1 is the instance number of SMTP virtual server.

2. Is there a way to change the location of the UCEArchive folder?
Yes, this is done by inserting a registry value of type String (REG_SZ)
HKLMSoftwareMicrosoftExchangeContentFilter
Value: ArchiveDir
Type: REG_SZ (string)
Value data: path to archive folder

3. I set the action to Archive. Why don’t I see the UCEArchive folder in the default location?
The UCEArchive folder is created when the first message meeting or exceeding the gateway threshold is received.

Things to check when you don’t see the UCEArchive folder:
– Is the action set to Archive?
– Is IMF enabled on SMTP virtual server?

De spam mail der bliver arkiveret i userarchive kan kun tilgås via Outlook express eller 3 part værktøjer.
Jeg vil her anbefale nedenstående.

  1. IMF Archive Manager
  2. IMFcompanion
    http://www.gotdotnet.com/workspaces/releases/viewuploads.aspx?id=e8728572-3a4e-425a-9b26-a3fda0d06fee
    http://stoekenbroek.com/imfcompanion/default.htm

Jeg benytter selv IMFcompanion, som både virker på XP og Vista.
For at tilgå userarchive via IMFcompanion, skal folderen shares ud på exchange serveren.
Herefter indtaster man stien i IMFcompanion. Nedenstående viser spam mail i userarchive


Userarchive visning via IMFcompanion. Man kan her delete eller frigive mails.


Vigtigt: IMF opdateringer kommer ca. hver 14 dag og de bliver udrullet via WSUS.
Man skal her ind og approve dem i WSUS serveren. Det kan godt betale sig at laver logiske opdaterings grupper i sin WSUS.

Reference til IMF v2:
http://www.microsoft.com/technet/prodtechnol/exchange/downloads/2003/imf/default.mspx
http://www.microsoft.com/downloads/details.aspx?FamilyId=B1218D8C-E8B3-48FB-9208-6F75707870C2&displaylang=en

Konfig af ORF på ISA 2004/2006:

ORF vil være den primære Antispam løsning, som skal installeres på ISA serveren.
Link til ORF – http://www.vamsoft.com/
Teknisk info omkring ORF og hvad den p.t. understøtter:
http://www.vamsoft.com/orfee_prodspec.asp

Man kan her downloade en 30 dages trial version.
Inden man installere ORF, skal man forinden have installeret SMTPSVC servicen på ISA.
ORF har et såkaldt dobbelt filter, som betyder at den kan afvise mails med.
minimum af ressourcer. Det håndtere bla DNS blacklist, imagespam, Active directory integration, greylistning m.m.
Med eksisterende konfig filer tager hele installationen + opsætning under 15 minutter.
For mig at se er ORF et af de bedste Antispam programmer der er på markedet i dag. Samtidig er prisen helt i bund.
En server licens med ubegrænset brugere koster under 300$.