Quản Trị  Thiết Bị Mạng Doanh Nghiệp
 
Tìm hiểu phương pháp triển khai hệ thống Mail Server của Microsoft cho nhân viên
14:10 | 30/06/2010
1- Hệ thống Email hiện tại ở Microsoft
Primary domain: @microsoft.com
Khối lượng mail:
+ Trung bình mỗi ngày nhận (inbound) khoảng 17 - 22 triệu e-mail từ Internet.
+ Trung bình mỗi ngày gửi (outbound) khoảng 500.000 – 700.000 email gửi ra ngoài.
+ Trong đó hơn 96% email được lọc bỏ (spam, virus…).
Internet Email Gateway được phân bổ ở bốn vị trí khác nhau:
+ Inbound và Outbound: Redmond và Silicon Valley
+ Outbound: Dubin và Singapore
Ở Microsoft, Email trước khi đến tay Client phải trải qua một hệ thống lọc mail gồm sáu Server. Các Exchange Server 2003 đều join vào Domain. Sau đó được cấu hình làm Gateway Server chạy Messaging Hygiene. Hệ thống trên được xây dựng nhằm đảm bảo Email được an toàn.
 

Tuy Email trước khi đến tay người nhận đã trải qua một hàng rào kiểm tra chặt chẽ nhưng hệ thống vẫn còn những khuyết điểm như:
+ Phải phụ thuộc vào Active Directory
+ Hoạt động Gateway Server hiện tại vẫn còn nhiều phức tạp
    + Dữ liệu dễ truy cập từ mạng bên trong
+ Dễ bị DoS
Do đó, Microsoft cần thiết kế một hệ thống nhằm đảm bảo an toàn và bảo mật hơn.

2- Tăng cường quá trình thanh lọc Email và thiết kế bảo mật

Để có thể giải quyết được những yếu điểm trên, Microsoft đã khảo sát và thiết kế lại cơ sở hạ tầng Internet Email Gateway. Với mục tiêu là bảo vệ dữ liệu nội bộ tránh khỏi những mối nguy hiểm tiềm tàng từ bên ngoài, Microsoft đã ứng dụng công nghệ Exchange Server 2007 vào trong hệ thống của mình. Một số ưu điểm của công nghệ mới này là:
    + Giảm bề mặt tấn công
    + Tăng khả năng lọc Spam và Virus
    + Triển khai nền tảng bảo mật email
    + Bảo vệ ở tầng Network
    + Dễ dàng triển khai và quản lý
Exchange Server 2007 là một ứng dụng được thiết kế trên nền tảng bảo mật. Ngoài ra, Exchange Server còn có khả năng tích hợp với nhiều hệ thống và dịch vụ như Microsoft Windows SharePoint Services, các ứng dụng Office và nhiều dịch vụ khác nhằm đáp ứng nhu cầu đa dạng của hệ thống và người sử dụng.
 
Một số tính năng bảo mật của Exchanger Server 2007 Edge Server:
    + Xây dựng trên nền tảng hỗ trợ Anti-Spam và Antivirus
    + Cơ chế tối ưu bảo mật E-mail
    + Không cần thiết phải Join Domain
Các phương thức bảo mật của hệ thống:
+ Protocol Analysis Agent: phân tích và thu thập thông tin của người gửi (địa chỉ IP) tại SMTP Protocol Layer.
+ Sender Reputation Level (SRL): dữ liệu được thu thập từ Protocol Analysis Agent sẽ được kết hợp và tính toán mức độ đại chúng (Reputation)
+ IP Reputation Services (IRS): đây là một dịch vụ cung cấp địa chỉ IP với mức độ đại chúng đi kèm. Ngoài ra, còn bổ sung mức độ đại chúng cục bộ (Locally) của người gửi. Từ đó, Edge Server sẽ tính toán dữ liệu này để tạo ra một dãy IP để chặn
 
+ Safelist Aggregation: hỗ trợ chức năng Anti-Spam của Exchange 2007, đồng thời chia sẽ giữa Microsoft Office Outlook và Exchange. Đồng bộ dữ liệu trong Safelist (danh sách an toàn) với Edge Server ADAM thông qua Exchange EdgeSync.

3- Thiết kế Edge Server tại Microsoft IT


Hệ thống mới được xây dựng phải giải quyết được những khó khăn và yêu cầu hiện tại. Ngoài ra còn nhận diện được điểm yếu của từng lớp: Exchange Application, Windows và Network. Từ đó, Microsoft thực hiện xây dựng và thiết kế mô hình như sau:
 
Vị trí của Edge Server được đặt tại Mạng vành đai (Perimeter Network). Quá trình Routing và đồng bộ mail và dữ liệu được thực hiện như sau:
    + Mail Routing giữa mạng bên trong và Mạng vành đai được kiểm soát dựa vào Router Access Control List và Connection Restrictions.
    + Quá trình đồng bộ giữa Exchange Server 2007 Hub Transport Server và Edge Transport Server được thực hiện qua EdgeSync.
    + Inbound và Outbound Internet Email được quản lý thông qua sáu máy Exchange Server 2007 Edge Transport (bằng với số Server trong mô hình Exchange Server 2003). Các Server được đặt ở hai trung tâm dữ liệu nhằm hỗ trợ Failover và Load Balancing.
+ Outbound-only Internet Email: được quản lý thông qua bốn máy Exchange Server 2007 Edge Transport được đặt tại các khu vực khác nhau. 
Quá trình xây dựng hệ thống bảo mật được thực hiện như sau:
    + Giảm bề mặt tấn công bằng cách xây dựng một Server gọn nhẹ mà không yêu cầu phải Join Domain.
    + Khóa các tập tin hệ thống và chức năng chia sẽ
    + Giới hạn quyền trong hệ thống Local
    + Sử dụng Security Configuration Wizard (SCW)
    + Chỉ sử dụng dịch vụ cần thiết (không cần WWW, SMTP, NNTP ISS…)
    + Quản lý Server sử dụng Systems Management Server (SMS)
Bảo mật cho hệ thống Exchange Server:
    + Mã hóa được cấu hình mặc định cho quá trình giao tiếp bên trong. Ngoài ra, còn hỗ trợ mã hóa giao tiếp cho bên ngoài.
    + Anti-Spam: bảo vệ ở các lớp mạng và từ chối Email tại cấp độ giao thức.
    + Antivirus: sử dụng Microsoft Forefront Security cho Exchanger Server và cấu hình cơ chế lọc file.
    + Cấu hình giám sát sử dụng DCM (Desired Configuration Monitoring)

4- Các cấu hình và thiết lập cơ bản

       Cấu hình Anti-Spam
Exchange Server cấu hình Anti-Spam dựa trên danh sách Global IP Allow và Deny. Danh sách này bao gồm: Static List và Dynamic IP Block List (tạo ra bằng Sender Reputation Agent). Quá trình lọc Email được thực hiện thông qua các cơ chế sau:
+ Lọc kết nối: sử dụng thông tin của cả hai danh sách.
+ Lọc dựa trên người gửi: chỉ sử dụng Static List.
+ Lọc theo người nhận: dựa vào Static List và Directory lookup (dữ liệu người nhận được đồng bộ sử dụng EdgeSync)
+ Ngoài ra còn có cơ chế lọc theo ID của người gửi và lọc nội dung.

       Cấu hình Antivirus
Hệ thống Antivirus được cài đặt trên cả hai Edge Transport và Hub Transport Server.
Cấu hình Forefront Security cho Exchange Server:
Number of scan engines = 5
Bias = Max certainty
Action = Delete; Remove infection.
Notifications = Internal only

Cấu hình lọc file:
Inbound only
Action = Delete: Remove contents


       Triển khai trong Microsoft
Thiết kế Exchange Server 2007 trên mô hình Mạng vành đai theo tiêu chuẩn của Microsoft IT. Việc quản lý cơ sở hạ tầng được thực hiện nhờ MOM và SMS. Quá trình triển khai được bắt đầu với tiện ích Exchange 2003 Hygiene, sau đó đến các tiện ích khác.

       Triển khai Mail Routing
Bước 1: thiết lập Mail Routing giữa Exchange 2007 và Exchange 2003 Routing Groups.
Bước 2: cài đặt và cấu hình Edge Server trong mạng nội bộ gồm chín Server (sáu Exchange 2003 và ba Exchange 2007 Edge). Các Edge được thêm vào Redmond AD. Sau đó cấu hình Spam Filter Agent.
Chú ý: Bước này vẫn chưa cài đặt Antivirus.
Bước 2: Quét Internet mail (inbound & outbound) bằng Exchange 2003 Hub Server và cấu hình đưa mail từ Exchange Server 2007 Hub Server ra Internet.
Bước 3: Cài đặt và cấu hình Antivirus trên Edge Server
Bước 4: Cấu hình lại Mail Routing để gửi và nhận mail trực tiếp từ Edge Server   
Bước 5: Gỡ bõ Exchange 2003 Internet Gateway Server
 
Mail Routing - Bước cấu hình trung gian
 
Mail Routing - bước cuối cùng
       Cấu hình Regional Edge Server
Cấu hình Outbound-only Internet Mail ở hai vị trí là Europe và Asia.
Thêm Edge Servers vào Active Directory. Domain được chấp nhận phải chuyển NDRs trở về Corp.
Send Connector ra Internet được quản lý local Active Directory.

New-sendconnectorDUB_Edgeserver_To_Internet-
DNSRoutingEnabled:$true -port:25 -
ProtocolLoggingLevel:Verbose-AddressSpaces:
'Local:SMTP:*;25' -SmartHostAuthMechanism:None ±
MaxMessageSize:100MB -SourceTransportServers: DUB-EXGWY-
E801, DUB-EXGWY-E802 -fqdnsmtp-dub.microsoft.com ±
Usage:Internet
 
Bước trung gian cấu hình Edge Server Connector
 
Bước cuối cùng cấu hình Edge Server Connector
 
Quốc Dũng (Từ Microsoft)
 
Ý kiến phản hồi và bình luận Góp ý kiến của bạn

Các tin mới nhất :
- Thay đổi lưu lượng traffic qua chế độ ưu tiên với DD-WRT
- Cấu hình IP SLA (IP Service Layer Aggrement).
- Cấu hình HSRP
- Quản lý bandwidth của o2security
- Cấu hình SifoWorks UTM phòng chống Mail Spam/Virus
- Cấu hình Juniper SSG
- Cơ bản về cấu hình Vyatta box
- Thiết lập VPN trên Cisco 2600
- Tìm hiểu phương pháp triển khai hệ thống Mail Server của Microsoft cho nhân viên
- Giải pháp Load Balancing Multi-WAN dùng Radware LinkProof (Phần 2)
Các tin liên quan :
- Giải pháp Load Balancing Multi-WAN dùng Radware LinkProof (Phần 2)
- Giải pháp Load Balancing Multi-WAN dùng Radware LinkProof (Phần 1)
- Backup và Restore Router Cisco
- How to terminate cat6 cable to Connector, Modular and Patch Panel
- Từng Bước Cấu Hình Router Cisco
Bài nhiều người đọc cùng chuyên mục
Cấu hình HSRP
 
Cấu hình Juniper SSG
 
Từng Bước Cấu Hình Router Cisco
 
Thiết lập VPN trên Cisco 2600
 
Cơ bản về cấu hình Vyatta box
 
Cấu hình IP SLA (IP Service Layer Aggrement).
 
Backup và Restore Router Cisco
 
Trang chủ | Giới thiệu | Quảng cáo | Liên hệ
Giấy phép ICP số 199/GP-TTĐT. Bộ Thông tin và Truyền thông cấp.
Cơ quan quản lý  : Công Ty Cổ Phần Kênh Giải Pháp
Bản quyền © 2010-2011 Kenhgiaiphap.vn . Giữ toàn quyền.
Ghi rõ nguồn "Kenhgiaiphap.vn" khi phát hành lại thông tin từ website này.