» Home » Ex 2007/2010 » Edge

Exchange Edge Rolle

Edge und HMC 4.5
Microsoft beschreibt im Paket HMC 4.5 (Anleitung wie man Exchange 2007 als Hostinglösung installiert) genau, warum hier ein gut konfigurierter Hub/Transport am Internet die bessere Lösung ist. Prüfen Sie daher genau, ob Sie überhaupt einen Edge-Server benötigen.

Die Exchange Edge Services geistern schon einige Zeit durch die Medien und wurden erst als eigenständiges Produkt angekündigt, später dann als Addon für bestehende Exchange Systeme gehandelt (vielleicht wurde daraus dann der Intelligent Message Filter). Es wurden sicher auch einige Nebelkerzen geworfen. Aber mit Exchange 2007 ist es nun amtlich, dass diese Rolle Bestandteil des Produkts wird.

Ursprünglich wurde es als "Sendmail Killer" bezeichnet und zielte darauf ab, dass Exchange 2000/2003 nicht gerade optimal dafür eingestellt war, als Mailrouter für große Unternehmen zu dienen. Exchange kann zwar wunderbar Nachrichten in Datenbank speichern und den Anwendern bereit stellen, aber für das Routing von großen Nachrichtenmengen zwischen vielen Systemen, wie dies bei Dienstleistern oft benötigt wird, war Exchange nicht optimal aufgestellt. So ist es nur sehr aufwändig  möglich, Nachrichten beim Transport umzuschreiben oder den SMTP-Stack generell zu erweitern. Wenn Sie hier den Windows SMTP-Server (und das ist ja letztlich auch der Exchange SMTP-Dienst) mit Funktionen von PostFix, SendMail und anderen Vergleichen, dann fehlen hier schon einige Funktionen.

Mit Exchange 2007 wird nun alles anders, da sowohl für die Edge-Rolle als auch für die Hub/Brdigehead-Rolle der SMTP-Stack komplett neu entwickelt wurde.

Der Einsatz der Edge-Rolle ist nicht zwingend erforderlich. Sie können natürlich auch ohne Edge-Rolle Exchange betreiben.

Der Einsatz von Edge ist nicht von Exchange 2007 intern abhängig. Sie können Edge auch vor beliebigen anderen Servern installieren. Sinnvoll erscheint diese aber nicht, da Sie zum sinnvollen Einsatz natürlich die Exchange 2007 Enterprise CALs für alle Benutzer benötigen, selbst wenn diese kein Exchange Postfach haben. Wenn Sie nur eine Standardversion und CALs einsetzen, dann können Sie auch nicht die häufigen Antispam Updates nutzen.
Insofern reicht auch eine Standard Lizenz. Dann aber sind Drittprodukte oft di bessere Wahl.

Um auf einem HUB-Transport die Antispam Funktionen zu aktivieren, müssen Sie folgende Befehlszeile aufrufen

install-antispamagents.ps1

Siehe auch E2K7:Antispam

Die Funktion der Edge-Rolle ist die Verbindung einer Exchange Organisation mit dem Internet. Die Edge-Rolle schützt dabei die Server mit der Hub/Transport-Rolle gesondert ab und übernimmt erste Filterfunktionen bezüglich Spam und Viren. Um dieser Rolle gerecht zu werden, gelten für den Server mit der Edge-Rolle besondere Bedingungen.

Edge Installation

Der Server mit der Edge-Rolle steht normalerweise in einer besonders abgeschotteten Zone und übernimmt einfach nur die Weiterleitung der Mails in beide Richtungen und zusätzlich einige Filter.

Damit der Administrator nun nicht allzu viel zu tun tun hat, gibt es aber einen Replikationsmechanismus zwischen dem Edge Server und einem Hubserver. Dazu muss folgendes durchgeführt werden.

• Edge Installieren
  Durch die Installation wird auf dem Server auch eine ADAM-Datenbank (Siehe ADAM) installiert. Zudem wird eine XML-Datei erstellt, in der die Konfiguration dieses Servers hinterlegt ist. Die Edgerolle muss zwingend auf einem eigenständigen PC installiert werden, der nicht Mitglied im internen Active Directory ist. Es kann wohl in einem eigenen Forest betrieben werden. Zudem kann Edge mit keiner anderen Exchange Rolle kombiniert werden. Das sieht man schon beim Setup selbst.
  
  Durch die Auswahl der Edge-Rolle werden alle anderen Optionen werden abgeblendet. Und natürlich muss man neben dem .NET Framework und der Powershell auch noch ADAM SP1 selbst installieren. Dafür dürfen natürlich keine NNTP oder SMTP-Dienste installiert sein.
  
  Ein ebenfalls installierter IIS hingegen stört nicht, obwohl ich den sicher nicht auf einem Edge installieren würde.

Edge Konfiguration

Eine Edge-Rolle macht nur richtig Sinn, wenn Sie auch Exchange 2007 intern einsetzen, denn als Partnerschaft profitieren beide.

• Edge Subscription auf dem Edge erstellen
  Damit wird im wesentlichen eine XML-Datei mit Konfigurationsdaten und Verschlüsselungswerten erstellt, die dann auf dem HubTransport importiert wird.
• XML auf Hubrolle einbinden
  Der nächste Schritt ist die Einrichtung einer "EDGE-Subscription" auf dem HUB-Server. Hier müssen Sie die XML-Date angeben. Über diesen "Trick" weiß der HUB-Server automatisch, wie er die ADAM-Datenbank auf dem Edge-Server erreicht. (Firewall-Einstellungen, IP-Routing, Namensauflösung etc. müssen Sie natürlich selbst sicherstellen)
• EdgeSync starten
  Nun ist es die Aufgabe des HUB-Servers, regelmäßig die für den Betrieb des EDGE-Servers erforderlichen Daten in das ADAM-Directory zu schreiben.

Ein Bild verdeutlicht noch einmal die Zusammenhänge.

Der Synchronisationsprozess ist also nicht im SMTP-Protokolle enthalten, sondern von intern wird per LDAP auf die ADAM-Datenbank des EDGE-Servers zugegriffen. Dabei repliziert der Edge-Sync-Prozess, welcher auf einem HUB-Server läuft, periodisch folgende Informationen:

• Accepted domains
  Die Liste der in Exchange als "eingehend" definierten Domänen. Damit erspart man sich die gesonderte Pflege auf den Edge Servern.
• Recipients (Hashed)
  Die Liste der gültigen Empfänger. Diese wird aber nur als "Hash" eingetragen. Meist werden Daten als Hash gespeichert, um diese schneller zu finden. In dem Fall dürfte aber eher die Verschleierung ein Thema sein, damit niemand, der den Edge-Server "knackt", eine Liste der Empfänger hat. Allerdings finde ich das nur bedingt tauglich. Wenn ich die Daten eines Edge-Servers habe, dann "weiß" ich ja schon anhand der Domains die Empfängerdomänen. Eine "brute force"-Attacke auf die Hashwerte dürfte nicht wirklich lange dauern.
• Safe Senders Lists (Hashed)
  Ebenfalls extrahiert der Transport Server die "Safe Sender" der Benutzer, um diese als besondere Absenderadressen an Edge zu liefern. Ich persönlich finde aber "Safe Sender" nicht wirklich brauchbar. Gerade "große Verteiler" von Firmen nutzen ja immer die gleiche Absenderadresse, z.B. agb@ebay.de, und solche Adressen werden dann sicher auf der "Safe Sender Liste" landen. Es ist ein einfaches für Spammer solche eine "bessere" Adresse zu nutzen, solange die Absender nicht mit SPF/CallerID ihren Namen schützen.
• Send Connectors
  Zudem bekommt Edge die Infos der "Send Connectors", d.h. welche Hubserver nach draußen an welche Adressen ihre Mails wie zustellen. Edge kann über diesen Weg dann einfach erkennen, ob eine Verbindung von einer konfigurierten internen Stelle kommt
• Hub Transport Server List
  Damit kann der Edge dynamisch den Weg nach innen finden.

Dabei handelt es sich immer um eine "Push"-Synchronisation, d.h. die Daten werden vom Hub/Transport-Server von innen nach draußen auf den Edge-Server geschrieben. Es gibt demnach außer der SMTP-Verbindung keine weitere Verbindung von Edge nach intern.

• 1h ConfigUpdate
  Die Konfiguration wird einmal in der Stunde repliziert
• 4h recipient Update
  Die Liste der gültigen Empfänger wird alle 4 Stunden zur ADAM-Datenbank des Edge-Servers geschrieben. Dabei handelt es sich immer um einen Full-Sync !, d.h. es werden keine Deltas geschrieben.

Manuelle Konfiguration

Die Edge-Rolle muss aber nicht zwingend mit Exchange Servern und EdgeSync eingesetzt werden. Über die Management Console können Sie einige der Einstellungen sogar direkt auf dem Edge Server vornehmen:

Allerdings ist dann z:B. die Empfängerfilterung kniffliger zu lösen, da die gültigen Empfänger nicht über den EdgeSync in die ADAM-Datenbank kommen. Auch wenn Edge ohne Exchange 2007 möglich ist, ist es meiner Ansicht nach keiner weiteren Betrachtung wert. Sie benötigen für den Einsatz von Edge sowieso die Exchange 2007 CALs und zumindest die Serverlizenz für den Edge. Das ist eine ganze Stange Geld, wenn Sie "nur" etwas Spamschutz möchten.

Bewertung

Letztlich ist die Idee von Microsoft bestehend einfach und trivial. Das Schutzsystem liefert eine XML-Datei, die intern einfach importiert wird. Damit "weiß" der HUB-Server zumindest die Daten des EDGE-Servers. Den Send-Connector müssen Sie aber natürlich weiterhin einrichten. Umgekehrt bekommt Edge über die ADAM-Datenbank die wesentlichen Informationen.

Konfiguration Fehlanzeige ?
Aus Gesprächen mit Microsoft habe ich mir auch erläutern lassen, warum Edge nur eingeschränkt konfigurierbar ist. Microsoft erklärt dies so, dass der Spamschutz als "Blackbox" zu betrachten ist und Microsoft über Updates (WSUS etc.) eine hohe gute Erkennung sicherstellen will. Es erscheint nicht sinnvoll, dass Administratoren als eigenständige "Spamfighter" auftreten und Millionen von Admins regelmäßig ihr System "nachtunen" müssen.
Das ist für viele Firmen sicher auch zutreffend. Er hier mehr Konfigurationsmöglichkeiten benötigt, wird zu Drittprodukten greifen. (z.B. NoSpamProxy)

Weitere Links

• Spam und UCE
• E2K7:Antispam
• Edge Transport Server Role: Overview
  http://www.microsoft.com/technet/prodtechnol/exchange/e2k7help/cfff9f59-afac-447c-8297-afcebe49a52d.mspx
• http://blogs.msdn.com/exchange/archive/2004/12/22/330184.aspx
  Exchange Edge Services wird erst mit der nächsten Version von Exchange kommen. Einige Funktionen sollten wohl mit Exchange 2003 SP2 verfügbar werden, wie z.B.: CallerID
• Using an Edge Subscription to Populate ADAM with Active Directory Data
  http://www.microsoft.com/technet/prodtechnol/exchange/e2k7help/26e90de4-adde-4571-9137-8dc5f72b0eed.mspx?mfr=true
• Configuring Exchange 2007 Hub Transport role to receive Internet mail http://msexchangeteam.com/archive/2006/11/17/431555.aspx
• http://www.Microsoft.com/exchange/techinfo/security/EdgeServices.asp
• http://www.Microsoft.com/germany/ms/presseservice/meldungen.asp?ID=531051
• Edge Message Statistics Sample Agent
  http://www.microsoft.com/downloads/details.aspx?familyid=e3055949-6461-4b22-a821-3630c2e799c8&mg_id=10116&displaylang=en
• 925474 Information about the types of anti-spam updates that are available for Exchange 2007
• Exchange 2007 Edge - What is the Point?
  http://www.sembee.co.uk/archive/2007/10/26/55.aspx
• Exchange Edge Transport Servers at Microsoft
  http://technet.microsoft.com/en-us/magazine/2007.10.edge.aspx

Keywords:

Exchange2K7 Exchange 2007 Edge Antispam

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
  • Ex2007
  • Ex2010
  • Wer braucht 2007/2010
  • Fakten
  • Erfahrung
  • Umsteiger
  • Rollen
  • Mailbox/Datenbank
  • Hub/Transport
  • Client Access
  • Unified Messaging
  • Edge
  • Dienste
  • 64-bit
  • Autodiscover
  • POP3/IMAP4
  • Management Console
  • Toolbox
  • Management Shell
  • Konformität
  • Whitepapers
  • OABGen
  • OPATH
  • Entfernen
  • Rollback
  • Ressourcen
  • MRM Message Records Management
  • Akzeptierte Domains
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages