26
Don’t worry, Be MAPI ;-) Παύλος Καλογεράς Γιώργος Ανδρίτσος

Παύλος Καλογεράς Γιώργος Ανδρίτσος

  • Upload
    aimee

  • View
    39

  • Download
    0

Embed Size (px)

DESCRIPTION

Παύλος Καλογεράς Γιώργος Ανδρίτσος. Don’t worry, Be MAPI ;-). Ασφάλεια Ηλεκτρονικής Αλληλογραφίας. Προστασία από Ιούς Προστασία από ανεπιθύμητη αλληλογραφία ( SPAM) Σε πολλαπλά επίπεδα Τερματικό Υπολογιστή Mail Server Gateway. Ασφάλεια Ηλεκτρονικής Αλληλογραφίας. Mail Phishing - PowerPoint PPT Presentation

Citation preview

Page 1: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Don’t worry, Be MAPI ;-)Παύλος ΚαλογεράςΓιώργος Ανδρίτσος

Page 2: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Ασφάλεια Ηλεκτρονικής Αλληλογραφίας

• Προστασία από Ιούς• Προστασία από ανεπιθύμητη αλληλογραφία

(SPAM)

Σε πολλαπλά επίπεδα• Τερματικό Υπολογιστή• Mail Server• Gateway

Page 3: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Ασφάλεια Ηλεκτρονικής Αλληλογραφίας

• Mail Phishing• Προστασία ταυτότητας χρήστη και ασφάλεια

κατά την μεταφορά μηνυμάτων.– Ανασφάλεια του SMTP (SMTP/S over TLS)– Έλεγχος με MAPI (Encrypted MAPI)– Sender ID Framework (SPF)– Ψηφιακή Ταυτότητα

Page 4: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Ασφάλεια Ηλεκτρονικής Αλληλογραφίας

• Έλεγχος και Προστασία Δεδομένων– Παρεμπόδιση διαρροής ευαίσθητων δεδομένων– Έλεγχος διακινουμένων πληροφοριών

Στόχος: Παρεμπόδιση μη εξουσιοδοτημένης διακίνησης ευαίσθητων δεδομένων

Page 5: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Ασφάλεια Ηλεκτρονικής Αλληλογραφίας

Rights Management Service• Τεχνολογία προστασίας πληροφοριών

βασισμένη σε πλατφόρμα Microsoft Windows– Ο Χρήστης ορίζει ποιός και τι δικαιώματα θα έχει

στην πληροφορία– Προστασία μηνυμάτων οπουδήποτε, εντός και

εκτός εταιρείας.– Τα δικαιώματα για το «ποιός και τι» ταξιδεύουν

μαζί με το μήνυμα

Page 6: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Ασφάλεια Ηλεκτρονικής Αλληλογραφίας

Συνεργασία Exchange 2010 και Rights Management Service

Αυτόματός Ορισμός Προστασίας ΔεδομένωνΑυτόματός Ορισμός Προστασίας Δεδομένων::• Transport Rule Transport Rule για εφαρμογή για εφαρμογή RMS template RMS template στο στο μήνυμα και στα συνημμένα τουμήνυμα και στα συνημμένα του•Οι Οι Transport Rules Transport Rules υποστηρίζουν κανόνες για υποστηρίζουν κανόνες για έλεγχο μέσα στο θέμα, στο μήνυμα, ακόμα και στο έλεγχο μέσα στο θέμα, στο μήνυμα, ακόμα και στο συνημένοσυνημένο..

Page 7: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Ασφάλεια Ηλεκτρονικής Αλληλογραφίας

Συνεργασία Exchange 2010 και Rights Management Service

Απαιτήσεις:• Microsoft Active Directory• Windows Server 2008 RMS

Page 8: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Συνεργασία Exchange 2010 και Rights Management Service

SCP: Service Connection PointRAC: RMS Account CertificateCLC: Client Licensor Certificate

Page 9: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Η ανάγκη για Archiving μηνυμάτων

Που είναι τα Email σας ?

SharePoint

Webmail

Third Party ArchiveBackups

Exchange Server

Outlook PSTs

Page 10: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Ένα δευτερεύον Mailbox το οποίο ρυθμίζει ο AdministratorΕμφανίζετε ταυτόχρονα με το κανονικό Mailbox του Χρήστη από Outlook ή Outlook Web App.Μπορούμε να μεταφέρουμε μηνύματα από PST στο Archive ακόμα και με Drag and Drop.Τα μηνύματα στο mailbox του χρήστη μπορούν να μεταφέρονται αυτόματα στο Archive με χρήση Retention PoliciesΤο Archive Mailbox μπορεί να έχει διαφορετικό Quota από το κυρίως Mailbox.

Online Online ArchiveArchive

Online Archive

Page 11: Παύλος Καλογεράς Γιώργος Ανδρίτσος

New-Enable-Connect Archive GUIΚατά την διάρκεια της δημιουργίας του Mailbox μπορούμε να ενεργοποιήσουμε και Archiving με ένα κλικ

Τα Mailbox με Archive έχουν διαφορετικό εικονίδιο

Μπορούμε να απενεργοποιήσουμε ή να διαγράψουμε το Archive ξεχωριστά από το κανονικό Mailbox του χρήστη.

Διαχείριση και από Powershell

Page 12: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Archive: Message Retention

• Move Policy: Μετακινεί αυτόματα μηνύματα στο Archive– Επίπτωση στον Χρήστη: Φροντίζει ώστε να μένουμε μέσα στο Mailbox

Quota.– Λειτουργεί σαν το Outlook Auto-Archive αλλά…. Χωρίς PSTs!

• Delete Policy: Διαγράφει τα μηνύματα αυτόματα.– Επίπτωση στον Χρήστη: Αφαιρεί μη χρήσιμα μηνύματα– Φροντίζει ώστε να μένουμε μέσα στο Mailbox Quota. – Οι Delete policies μεταφέρονται και στο Archive.

• Hold Policy: Διατηρεί αυτόματα μηνύματα για ανάκτηση

Page 13: Παύλος Καλογεράς Γιώργος Ανδρίτσος

User selects 5 Years from set of Policies

Ο χρήστης επιλέγει να κρατήσει τα μηνύματα

στο mailbox για 5 χρόνια από τα Move

Policies

Outlook OWA

User selects 5 Years from set of Policies

Ο χρήστης επιλέγει να κρατήσει τα μηνύματα για 10 χρόνια από τα

Delete Policies

Archive: Message Retention

Page 14: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Archive: Message RetentionHold Policy

Page 15: Παύλος Καλογεράς Γιώργος Ανδρίτσος

High Availability

• Απλή Ρύθμιση• Ελαχιστοποίηση κόστους• Λύση από το ίδιο το προιόν• Ταχύτερος Χρόνος ανάκτησης• Υποστήριξη για πιο μεγάλα Mailboxes• Υποστήριξη για μεγάλες και ευέλικτες εγκαταστάσης

High Availability … Κάτι που θα εφαρμόζετε σε όλες τις εγκαταστάσεις

Page 16: Παύλος Καλογεράς Γιώργος Ανδρίτσος

DB2

DB3

DB2

DB3

DB4

DB4

DB5

Client Access Server

Client Access Server

Mailbox Server 1Mailbox Server 1

Mailbox Server 2Mailbox Server 2

Mailbox Server 3Mailbox Server 3

Mailbox Server 6Mailbox Server 6

Mailbox Server 4Mailbox Server 4

Dallas

San Jose

Mailbox Server 5Mailbox Server 5

DB5

DB2

DB3

DB4

DB5DB1

DB1

DB1

Failover managed by/with Exchange

Database level failover

Easy to extend across sites

All clients connect via CAS servers DB3

DB5

DB1

Exchange Server 2010

Page 17: Παύλος Καλογεράς Γιώργος Ανδρίτσος

17

Exchange Server 2010Active Directory Schema Organization

Page 18: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Site: DublinSite: Dublin

HU

B

GC

MbxSvr2

DB1DB1 DB2DB2 DB3DB3

DB4DB4 DB5DB5 DB6DB6

Alt FSW

DAG

Site: RedmondSite: Redmond

HU

B

GC

MbxSvr1

DB1DB1 DB2DB2 DB3DB3

DB4DB4 DB5DB5 DB6DB6

FSW

CASCAS LB FarmLB Farm CAS LB FarmCAS LB Farm

Page 19: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Site: DublinSite: Dublin

HU

B

GC

MbxSvr2

DB1DB1 DB2DB2 DB3DB3

DB4DB4 DB5DB5 DB6DB6

Alt FSW

DAG

Site: RedmondSite: Redmond

HU

B

GC

MbxSvr1

DB1DB1 DB2DB2 DB3DB3

DB4DB4 DB5DB5 DB6DB6

FSW

CASCAS LB FarmLB Farm CAS LB FarmCAS LB Farm

Page 20: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Single Site

3 HA Copies

Database Availability Group

DB1DB1 DB2DB2 DB3DB3

DB5DB5 DB6DB6

DB1DB1 DB2DB2 DB3DB3

DB4DB4 DB5DB5 DB6DB6

DB1DB1 DB2DB2 DB3DB3

DB4DB4 DB5DB5 DB6DB6DB4DB4

MailboxServer 1

MailboxServer 2

MailboxServer 3

3 Nodes

XX

CAS LB FarmCAS LB Farm

AD: DublinAD: Dublin

XXJBOD -> 3 physical Copies

2 servers out -> manual activation of server 3 In 3 server DAG, quorum is lostDAGs with more servers sustain more failures – greater resiliency

High Availability Design ExampleDouble Resilience – Maintenance + DB Failure

Page 21: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Client AccessClient AccessHub Hub

TransportTransportMailboxMailbox

Client AccessClient AccessHub Hub

TransportTransportMailboxMailbox

Member servers of DAG can host other server roles

DB1DB1

DB2DB2

DB3DB3

DB2

DB1DB1

DB2DB2

DB3DB3

2-server DAGs should use RAID

8 processor cores recommended with a maximum of 64GB RAM

UM role not recommended for co-location

High Availability Design ExampleBranch/Small Office Design

Page 22: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Networks in an HA Deployment• Requirements

– Minimum of 2 networks– Separate subnet per network– <250ms network latency

• Network Types– Replication network (1 or more)

• Log shipping• Seeds• Incremental Resynch• Heartbeats

– MAPI network (1)• Email MAPI clients – Outlook• Other non-Mailbox servers – HUB, CAS, AD• Heartbeats

Page 23: Παύλος Καλογεράς Γιώργος Ανδρίτσος

Network Design

nicΑ

nicB

nicC

MAPI Network

Replication Network

Replication Network

OutlookHUB CAS

nicΑ

nicB

nicC

nicΑ

nicB

nicC

nicΑ

nicB

nicC

Page 24: Παύλος Καλογεράς Γιώργος Ανδρίτσος
Page 25: Παύλος Καλογεράς Γιώργος Ανδρίτσος
Page 26: Παύλος Καλογεράς Γιώργος Ανδρίτσος