27 maja 2010

71-693 - Szczęśliwy finał

Kiedy na początku stycznia zdawałem egzamin Beta 71-693, nie przypuszczałem ile będzie z tym problemów. Po dwóch miesiącach oczekiwania na wynik, kiedy egzamin wszedł już “na produkcję” ja ciągle miaęłm status “tested”. Wysłałem więc zapytanie do Prometrica, dlaczego jeszcze nie mam wyniku. Jakież było moje zdziwienie, kiedy tydzień później egzamin zmienił status na “no show”. Wysłałem kolejnego maila, co niewiele zmieniło. Podobny problem dotyczył nie tylko mnie, o czym pisano na blogu Born To Learn, zgłosiłem więc problem również do Microsoftu. Wreszcie po miesiącu oczekiwania, Prometric odezwał się i zaproponował mi ponowne podejście do egzaminu, na szczęście bezpłatne. I w ten sposób sprawa została pomyślnie zakończona, a ponieważ był to ostatni, brakujący mi egzamin do zakończenia ścieżki wirtualizacyjnej, od wczoraj jestem posiadaczem 9 tytułu MCITP.

MCITPVirutalR2

12 maja 2010

Jak blokować spam od samego siebie?

Od czasu do czasu na forach Exchange pojawiają się pytania o blokowanie spamu przychodzących z zewnątrz, gdzie przesyłka w polu nadawcy ma adres pocztowy odbiorcy. Sam nie mam takiego problemu – hostowany antyspam, którego używam automatycznie kasuje takie kwiatki. Ale w jednym z wątków na wss.pl, padła odpowiedź, która przypomniała mi o zaawansowanych atrybutach bezpieczeństwa na konektorach odbierających pocztę w serwerze Exchange 2007 lub 2010. Jak widać na poniższym rysunku dla użytkownika anonimowego takich praw jest całkiem sporo.

connector-extperm

Zaznaczenie we właściwościach Receive Connectora pola zezwalającego na dostęp grupy Anonymous dodaje wbudowanemu kontu ANONYMOUS LOGON prawa:

  • Ms-Exch-Accept-Headers-Routing
  • Ms-Exch-SMTP-Accept-Any-Sender
  • Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender
  • Ms-Exch-SMTP-Submit

Żeby umożliwić anonimowy relaying na konektorze trzeba dodatkowo dodać ręcznie (czyli z Management Shella) prawo Ms-Exchange-SMTP-Accept-Any-Recipient dla tego użytkownika, co opisane jest w helpie zaróno do wersji Exchange 2007 jak i 2010.

Żeby jednak zablokować odbieranie poczty od teoretycznie naszych własnych użytkowników należy usunąć domyślne prawo Ms-Exch-SMTP-Accept-Authoritative-Domain-Sender. W tym celu w Management Shellu musimy wykonać komendę (dla wyświetlonego powyżej Default connectora na serwerze NEXUS, oczywiście nazwa serwera i connectora będą różniły się w zależności od środowiska):

remove-ADPermission –Identity ‘NEXUS\Default NEXUS’ -User "NT AUTHORITY\ANONYMOUS LOGON" -ExtendedRights ms-Exch-SMTP-Accept-Authoritative-Domain-Sender

Oczywiście tak “przycięty” connector powinien obsługiwać tylko anonimowy ruch z innych serwerów pocztowych, a nie ruch od naszych klientów POP3/IMAP4, bo wtedy klienci stracą możliwość wysyłania poczty.

Understanding Receive Connectors – Exchange 2010 Help