1 Validando o ambiente
Nesta parte do artigo faremos alguns testes basicos e apontar algumas alterações que ocorrem com a implantação do Exchange 2007 já com a entrada do CAS/HUB.
Vocês irão observar que, com a entrada do Exchange 2007, o ambiente ficará automaticamente mais seguro.
Os testes serão compreendidos em:
- Validação do OWA (abertura de Mailbox e teste de envio e recebimento via OWA);
- Validação das conexões POP3 e SMTP;
- Validação de envio de mensagens externas(validação da função HUB).
2 Modificações no ambiente
Ao abrir o System Manager do Exchange 2000, você observará uma mudança na estrutura da sua organização.
Você observará que será gerado um Administrative Group novo, denominado Exchange Administrative Group (FYDIBOHF23SPDLT). Ele será o responsável por fazer a transição entre o ambiente 2000 / 2003 com o 2007.
Neste novo grupo administrativo, será gerado um Routing Group denominado Exchange Routing Group (DWBGZMFD01QNBJR). Nele, o exchange criará um conector com o grupo administrativo existente, permitindo assim que ocorra a troca de mensagens entre os ambientes e garantindo a compatilidade entre as versões de correio. O nome do conector será exatamente o nome da máquina de exchage antiga-nome da maquina nova com exchange 2007 (no exemplo, será EX2KBE1-CASW2K3).
3 Validando OWA
A versão do Exchange 2007 já vem protegida por padrão, para que não ocorra problemas com falha de segurança. Uma das modificações feitas é que ao montar o CAS server, seus protocolos de acesso já são encriptados por um certificado local.
O que isso significa na prática ??? Se o seu ambiente de OWA não estiver trabalhando com SSL, a partir da implantação do Exchange 2007, ele será acessado apenas com o SSL.
Para testar, digite https://<nome do servidor>/exchange
Será exibido a tela de advertência, devido ao fato de não estar com um certificado publico válido. Selecione Yes para continuar.
Entre com: domínio\nome do usuário e a senha atual e selecione Log On.
Acima você terá a visualização do mailbox. Bom, você deve estar se perguntando, mas cadê a nova visualização?? Como estamos acessando um maibox situado em um servidor com Exchange 2000, a visualização será exatamente a mesma, ou seja, como estivesse em um OWA 2000. Apesar de não estarmos focando com o Exchange 2003, o padrão será identico, ou seja, a página de autenticação será apresentada como Exchange 2007 mas o conteúdo do mailbox será mostrado como no Exchange 2003.
A tabela abaixo explica a experiencia do novo OWA para com os ambientes de Exchange 2000 / 2003 / 2007:
|
Client Access ou Front End
|
Mailbox
|
Experiência do usuário
|
|
Exchange 2007
|
Exchange 2007
|
Exchange 2007
|
|
Exchange 2007
|
Exchange 2003
|
Exchange 2003
|
|
Exchange 2007
|
Exchange 2000
|
Exchange 2000
|
|
Exchange 2003
|
Exchange 2007
|
Exchange 2000
|
Após acessar, teste o envio e o recebimento de mensagens via OWA, garantindo assim o perfeito funcionamento do OWA.
4 Conexão POP3 / IMAP4
Assim como no OWA, estes protocolos estarão trabalhando por padrão com SSL. Por esta razão, automaticamente as aplicações que utilizam estes protocolos irão parar.
4.1 Como reconfigurar??
Bom, se seus usuários utilizam Outlook Express, segue uma sugestão: Atualize as estações para trabalhar com Windows Live Mail. Isso é estremamente recomendável, pois além dos protocolos POP3 e IMAP4, o SMTP também estará trabalhando com SSL e com o Outlook Express existe um problema com negociação na porta de SMTP fora da porta padrão (porta 25), que impede o seu perfeito funcionamento.
Utilizando o Oultook Express, você necessitará fazer as seguintes mudanças:
Nas configurações da conta, é necessário marcar a opção de SSL, tanto para a porta de SMTP, quanto para POP3.
Ao ativarmos o SSL para o POP3, automaticamente a porta 995 será ativada. Devido ao fato de estarmos utilizando a mesma máquina como HUB, a porta de conexão para o cliente interno da rede será a porta 587, justamente para não concorrer com a porta 25. Como comentando anteriormente, o Outlook Express não trabalham bem com a porta SSL de SMTP. Se você colocar a porta 587, ele não irá e apresentará o erro abaixo. Porém, podemos apontar para porta 25, para contornar o problema.
Além de ativar o SSL, temos que alterar o requerimento de autenticação para o SMTP como na figura abaixo:
Mas e se não quisermos tanta segurança?? Como minimizarmos as ações a ser tomada nas estações dos usuários com a entrada do Exchange 2007 ???
Bom isso é possível, porém não recomendado, pois você estará reduzindo a segurança do seu ambiente. Lembre sempre que a Microsoft nos últimos anos vem trabalhando para aumentar a segurança de seus produtos.
Uma vez que você tome a decisão de reduzir a segurança do ambiente, tenha ciência dos riscos que poderá estar exposto.
5 Reduzindo segurança do POP3
Abra o Exchange Management Console, em Server Configuration, em Client Access. Selecione a aba POP3 and IMAP4.
Selecione o protocolo POP3 e com o botão direito escolha propriedades. Entre na aba Authentication. Você observará que temos os seguintes parâmetros estão ativados:
Para reduzirmos o nível de segurança, iremos primeiro alterar o método de logon (Logon Method), selecionando Plain Text Logon
Na sequência, devemo apagar o nome do certificado X.509. De OK e reinicie o serviço Microsoft Exchange POP3 para que as alterações sejam efetivas.
Apesar de não termos comentado sobre o IMAP4, o processo é parecido.
6 Reduzindo segurança para o SMTP
Abra o Exchange Management Console, em Server Configuration, em Hub Transport.
Selecione o conector Cliente <nome do servidor> e com o botão direito escolha propriedades. Entre na aba Authentication. Você observará que temos os seguintes parâmetros estão ativados:
Para permitir a conexão, basta marcar a opção Anonumous users.
Lembre-se que habilitando desta forma, qualquer máquina de sua rede poderá enviar e-mail, sem controle seguro de origem.
Para fazer o mesmo processo via cmdlets, você entrará com os comandos:
Set-ReceiveConnector "CASW2K3\client CASW2K3" -PermissionGroups “ExchangeServers,AnonymousUsers"
Para tornar um pouco mais seguro, sugiro alterar a configuração abaixo:
Em “Receive mail from remote servers that have these IP addresses”, troque o parametro 0.0.0.0-255.255.255.255, para o range que se deseja dar permissão de relay.
O exemplo abaixo mostra a alteração de SMTP para a rede 192.168.0.0/24
Links Relacionados
Tire suas dúvidas no site abaixo. Muitos profissionais qualificados tentarão lhe ajudar da melhor forma possível:
Conclusão
É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicados neste site, entre com contato através do e-mail: fabiano@winsec.org ou vitor@winsec.org
Em breve novos artigos sobre Exchange serão publicados no site winsec.org
Flávio Jorge de Medeiros, à 13 anos trabalhando na área de TI, onde atuou como Suporte/Projeto com produtos Microsoft e VMWare e hoje trabalha na área de arquitetura de soluções.Possui certificações MOUS, MCP, MCP+I, MCSA, MCSA+M, MCSE, MCSE+M, pela Microsoft e VCP, pela VMWare.
Você pode entrar em contato através do e-mail fdminf@gmail.com ou fdminf@fjorge.net