Articolo originale pubblicato venerdì 07 ottobre 2011

L'accettazione della posta in ingresso per un dominio DNS e l'inoltro a host di posta elettronica responsabili all'esterno dell'organizzazione di Exchange è un processo semplice in Exchange 2003, anche se necessita di alcune spiegazioni, disponibili negli articoli seguenti:

  • KB 321721 Condivisione di uno spazio degli indirizzi SMTP in Exchange 2000 Server o in Exchange Server 2003
  • KB 315511 XADM: Come configurare la condivisione di dominio SMTP centralizzata in Exchange 2000 Server per organizzazioni indipendenti

In Exchange 2003 vengono utilizzati Criteri destinatari per definire i domini per cui i server di Exchange accetteranno messaggi di posta elettronica e per generare indirizzi di posta elettronica per i destinatari utilizzando questi domini.

I Criteri destinatari consentono inoltre di applicare impostazioni di Gestione cassette postali, l'equivalente in Exchange 2003 di Messaging Retention Management (MRM).

Domini accettati e Criteri degli indirizzi di posta elettronica

In Exchange 2007 la funzionalità Criteri destinatari è suddivisa in due componenti, ovvero Domini accettati e Criteri degli indirizzi di posta elettronica. Come suggerito dal nome, Domini accettati consente di definire i domini SMTP per cui i server di trasporto accetteranno messaggi di posta elettronica, mentre Criteri degli indirizzi di posta elettronica consente di generare indirizzi di posta elettronica per i destinatari. Criteri degli indirizzi di posta elettronica utilizza Domini accettati. È necessario disporre di un dominio accettato per potere creare indirizzi di posta elettronica che utilizzano tale dominio. Ad esempio, se si desidera che i destinatari dispongano di indirizzi di posta elettronica dai domini contoso.com e tailspintoys.com, è innanzitutto necessario creare un dominio accettato per ognuno di tali domini e quindi creare un criterio di indirizzo di posta elettronica per definire il formato dei messaggi di posta elettronica generati automaticamente, ad esempio, nome.cognome@contoso.com.

Mentre Exchange 2003 consente di utilizzare i filtri del protocollo LDAP per applicare i Criteri destinatari, in Exchange 2010 e 2007 i destinatari vengono filtrati mediante la sintassi di filtro OPATH per applicare i Criteri degli indirizzi di posta elettronica. Alcuni filtri predefiniti sono inclusi nell'interfaccia dei Criteri degli indirizzi di posta elettronica in EMC o come parametri nella Shell, semplificando l'utilizzo di alcune delle proprietà più utilizzate dei destinatari, ad esempio nome società, reparto, paese e gli attributi personalizzati 1-15 per applicare i criteri. I filtri predefiniti soddisfano le necessità della maggior parte delle distribuzioni di Exchange. Nel caso dei filtri più complessi, è possibile creare un filtro destinatario personalizzato utilizzando il parametro RecipientFilter dalla Shell. Un filtro destinatario personalizzato consente di utilizzare un elenco lungo di proprietà destinatario, definite proprietà filtrabili, in un filtro destinatario. Per un elenco delle proprietà filtrabili, vedere Proprietà filtrabili per il parametro -RecipientFilter in Exchange 2007 SP1 e SP2.

Domini accettati e condivisione di spazi degli indirizzi SMTP

La separazione di nome dominio e oggetti criterio dell'indirizzo di posta elettronica semplifica notevolmente la condivisione di spazi degli indirizzi SMTP. È possibile creare i tre tipi seguenti di domini accettati in Exchange 2010 ed Exchange 2007:

  1. Domini autorevoli: un dominio autorevole indica che l'organizzazione di Exchange è autorevole per il dominio e conosce tutti i propri destinatari. In genere, tutti i destinatari in un dominio autorevole sono destinatari di Exchange, ovvero cassette postali, gruppi di distribuzione e cartelle pubbliche abilitate per la posta elettronica. I destinatari possono anche essere presenti in altri sistemi di posta elettronica, ma è necessario che Exchange disponga di un oggetto contatto abilitato per la posta elettronica (MailContact) o utente abilitato per la posta elettronica (MailUser) per tali destinatari. Benché sia possibile creare manualmente contatti o utenti di posta elettronica One-Off, tali elementi vengono in genere creati utilizzando la sincronizzazione delle directory negli scenari seguenti, ad esempio:

    • Un'altra business unit che dispone di una propria foresta Active Directory
    • Un altro sistema o un'altra directory di messaggistica in uso nella stessa organizzazione

    Dopo la replica, Exchange è in grado di capire come recapitare messaggi di posta elettronica a tali destinatari.

    Poiché Exchange è autorevole per il dominio, è necessario che generi un rapporto di mancato recapito per i messaggi accettati ma che non è possibile recapitare per qualsiasi motivo, ad esempio per destinatari non trovati in Active Directory. È possibile utilizzare Filtri destinatario e rilasciare automaticamente i messaggi di posta elettronica per destinatari non esistenti.

  2. Domini di inoltro esterno: se i server di Exchange deve accettare messaggi di posta elettronica per un dominio che non è disponibile alcun destinatario specifico e quindi deve inoltrare tutti questi messaggi di posta elettronica a un altro host di posta elettronica, è possibile creare un dominio di inoltro esterno. In questo caso, Exchange non conosce i destinatari, pertanto non è in grado di eseguire azioni quali l'applicazione di filtri destinatario e il rilascio di messaggi di posta elettronica per destinatari inesistenti. L'accettazione di messaggi di posta elettronica in ingresso tramite un'infrastruttura di messaggistica centralizzata è uno scenario comune. Poiché Exchange non è autorevole per il dominio, è responsabile solo per l'inoltro di messaggi di posta elettronica all'hop successivo per tale dominio, che deve generare eventuali rapporti di mancato recapito in caso di impossibilità del recapito.

    Per inoltrare messaggi di posta elettronica per un dominio di inoltro esterno a host di posta elettronica autorevoli per il dominio o per l'hop successivo a cui possono eseguire l'inoltro, è necessario creare un Connettore di invio per tale dominio e quindi specificare l'hop successivo come uno SmartHost. Nelle topologie con server Trasporto Edge tale messaggio di posta elettronica viene inoltrato dal Trasporto Edge e i server Trasporto Hub non devono mai gestire i messaggi.

  3. Domini di inoltro interno: i domini di inoltro interno soddisfano un'esigenza importante, che in Exchange 2003 richiede una configurazione abbastanza complessa. Consentono di accettare messaggi di posta elettronica da un dominio in cui è possibile che esistano alcuni destinatari nell'organizzazione di Exchange e alcuni destinatari in un altro sistema di messaggistica. È possibile che i destinatari in altri sistemi di messaggistica siano noti a Exchange mediante contatti di posta elettronica o utenti di posta elettronica. In alternativa, è possibile che vengano recapitati tutti i messaggi recapitabili localmente, in qualsiasi server Exchange dell'organizzazione, e che i messaggi per destinatari sconosciuti vengano inoltrati a un altro host di posta elettronica mediante un Connettore di invio per lo stesso dominio. Poiché Exchange non è autorevole per questo dominio, non genera rapporti di mancato recapito per destinatari di cui non è responsabile.

    Domini di inoltro interno e connettori di invio
    Una considerazione importante quando si utilizza un dominio di inoltro interno consiste nel fatto che il connettore di invio utilizzato per l'invio di messaggi di posta elettronica per destinatari sconosciuti in un altro host di posta elettronica non possono avere come origine un server Trasporto Edge, poiché il server Trasporto Edge è già stato configurato per accettare tutti i messaggi di posta elettronica per tale dominio e inoltrarli a server Trasporto Hub. È invece necessario che il connettore di invio abbia come origine server Trasporto Hub ed è necessario specificare un altro host di posta elettronica come SmartHost.


Figura 1: Creazione di un dominio accettato in EMC

Per ulteriori dettagli, vedere Informazioni sui domini accettati.

Domini accettati e Filtro destinatario

Quando si creano domini accettati, il Filtro destinatario costituisce un elemento importante. Se si utilizzano i filtri antispam predefiniti di Exchange, è possibile filtrare destinatari inesistenti nell'organizzazione utilizzando Filtro destinatario. Ciò consente di rilasciare una quantità elevata di posta indesiderata, presso il gateway se Trasporto Edge è stato implementato con EdgeSync. Ciò significa inoltre che i server non elaboreranno la posta elettronica per destinatari inesistenti e non genereranno un Rapporto di mancato recapito per il mittente, che a sua volta può essere un indirizzo inesistente o indirizzi validi falsificati da spammer.

Se si utilizza una topologia con server Trasporto Edge e EdgeSync configurato, le informazioni sul destinatario vengono sincronizzate da un server Trasporto Hub a un server Trasporto Edge, che può quindi utilizzare tali informazioni per rilasciare messaggi di posta elettronica per destinatari inesistenti nell'organizzazione. Se non è stato distribuito alcun server Trasporto Edge, sarà possibile installare agenti antispam in un server Trasporto Hub e abilitare il Filtro destinatario.

Molte soluzioni di sicurezza SMTP di terze parti in genere distribuite in reti perimetrali possono anche cercare destinatari in Active Directory, anche se è possibile che necessitino di connettività LDAP a un Controller di dominio/Catalogo globale di Active Directory, situato nella rete interna, o di altre soluzioni per la replica di informazioni sul destinatario. Analogamente, la comunicazione EdgeSync è in uscita (Secure LDAP) da server Trasporto Hub a server Trasporto Edge e non necessita dell'apertura di porte nel firewall interno per traffico in ingresso.

In che modo il Filtro destinatario gestisce i destinatari da tipi diversi di domini accettati? Per i domini autorevoli, in cui tutti i destinatari sono noti a Exchange, il Filtro destinatario rilascia i messaggi di posta elettronica per destinatari inesistenti in Active Directory. Nei domini di inoltro esterno i destinatari non sono noti a Exchange, pertanto non è possibile applicare tale filtro. Nei domini di inoltro interno è possibile che i destinatari siano o non siano noti a Exchange.

Per configurare se consentire il Filtro destinatario per un dominio accettato, è necessario impostare la rispettiva proprietà AddressBookEnabled. Nella tabella seguente sono inclusi i valori predefiniti per ogni tipo di dominio accettato:

Tipo di dominio accettato AddressBookEnabled
Autorevole true
Inoltro esterno false
Inoltro interno false

Per i domini di inoltro interno, l'impostazione predefinita è false e ciò indica che Exchange , ovvero l'agente di Filtro destinatario, se abilitato e configurato per il rilascio di messaggi di posta elettronica per destinatari inesistenti in Active Directory, non verificherà l'esistenza del destinatario. Se si utilizza un meccanismo per la replica di destinatari da un'altra organizzazione di Exchange o un sistema di messaggistica diverso da Exchange ad Active Directory, sarà possibile impostare la proprietà su true e consentire a Filtro destinatario di verificare la validità dei destinatari.

Set-AcceptedDomain foo.com –AddressBookEnabled $true

Bharat Suneja

Questo è un post di blog localizzato. Consultate l'articolo originale: Accepted Domains, Shared SMTP Address Spaces and Recipient Filtering