Минимум риска при доступе к почте

С недавнего времени я перестал брать в короткие командировки ноутбук, поскольку Microsoft Exchange 2000 Server Outlook Web Access (OWA) 2000 позволяет задействовать почти все возможности Outlook через браузер из любого места, где есть доступ к Internet. В этой статье я хотел бы дать несколько советов по настройке и стратегии доступа, которые помогут реализовать подобный способ работы с электронной почтой.

Чтобы полностью использовать все возможности OWA 2000, прежде всего надлежит изучить их. В OWA 2000 реализованы все основные функции Outlook, кроме Tasks и Journal. OWA 2000 также не обеспечивает контроль орфографии (хотя компании Messageware и CompuBridge предлагают соответствующие решения). Нужно учитывать, что OWA 2000 не замещает Outlook, а предоставляет возможность работать в знакомой среде тем пользователям, которые по каким-либо причинам не могут задействовать Outlook на компьютерах с Windows или Macintosh.

Для доступа к OWA 2000 требуется браузер с поддержкой фреймов HTML и JavaScript. OWA 2000 стабильно работает в Microsoft Internet Explorer (IE) 5.0 и последующих версиях. Я запускал с OWA 2000 в браузерах IE 4.0 (и старше), Netscape Navigator 4.08 (и старше), Opera Software — Opera for Windows и Opera for Macintosh, и Alexander Clauss & iCab — iCab (только для Macintosh). Если применяется простая аутентификация (т. е. режим text-only), OWA 2000 также может работать с Pocket PC Pocket Internet Explorer (PIE). Кроме того, OWA 2000 можно использовать совместно с различными приложениями Internet.

Загрузка для Exchange мультимедийного ActiveX позволит создавать сообщения в формате rich-text format. Для этого следует открыть OWA 2000 и щелкнуть на значке Options в левой панели OWA 2000. Затем в окне Options в секции E-mail нужно щелкнуть Download (в связи с возможной блокировкой ActiveX, на некоторых машинах из-за настроек безопасности IE компонент может и не загрузиться).

О безопасности

Если имеющаяся платформа поддерживает протокол Secure Sockets Layer (SSL), я рекомендую задействовать SSL на сервере Microsoft Internet Information Services (IIS) 5.0, обслуживающем страницы OWA 2000. SSL кодирует весь трафик к серверу Web и обратно. Соответственно, данные во время передачи не могут быть прочитаны или изменены. Это очень удобно для пользователей, передающих по сети свои имена, пароли и другую важную информацию. Порт 80 протокола TCP обычно используется для простого трафика HTTP, а трафик SSL (определяемый по префиксу https в URL) назначен на порт 443. Следует настроить сервер так, чтобы OWA 2000 использовал соединение только через защищенный порт.

Риск перехвата конфиденциальной информации достаточно велик, пока не рассмотрены все возможные варианты работы с OWA 2000. Прилетая в Нью-Йорк, я бываю в трех аэропортах, в гостинице и в нескольких офисах у клиентов. Вместо того чтобы брать для проверки почты ноутбук, я, как и многие, использую точки общего доступа к Internet. Хотя нужно иметь в виду, что, поскольку через них проходит большой объем ценной информации, злоумышленники в первую очередь будут атаковать именно такие пункты доступа, а не домашние или корпоративные локальные сети.

Для включения SSL на компьютере с IIS следует использовать Web Server Certificate Wizard, чтобы сформировать запросы на сертификаты. Для этого предназначена оснастка Internet Information Services в Microsoft Management Console (MMC). Необходимо открыть страницу Properties для узла Web, обслуживающего страницы OWA 2000, щелкнуть Server Certificate на закладке Directory Security и следовать инструкциям для создания запроса на сертификат. Затем нужно отправить запрос на сертификат в любой доступный центр сертификации Certificate Authority (CA). Для установки подготовленного CA сертификата требуется снова запустить Web Server Certificate Wizard.

Включается SSL из оснастки Internet Information Services. Для этого нужно открыть для Default Web Site страницу Properties, затем щелкнуть на закладке Web Site. В группе Web Site Identification требуется щелкнуть Advanced и проверить в диалоговом окне Multiple SSL identities for this Web Site поле, содержащее IP-адрес узла для порта 443 (этот порт может понадобиться для брандмауэра). В завершение следует проверить возможность подключения по адресу: https://yourservername.

После того как SSL будет готов к использованию, можно внести несколько полезных изменений. Для начала рекомендуется задействовать SSL для всех соединений с сервером Web — бесполезно вешать замок на дверь, если открыто окно. Чтобы заставить пользователей работать с SSL, нужно щелкнуть на закладке Directory Security страницы Properties сервера Web, далее щелкнуть на Edit в группе Secure Communications и выделить Require Secure Channel (SSL). После внесения изменений можно попробовать подключиться к http://yourservername. Появится сообщение об ошибке SSL required (код ошибки 403.4). Информацию об использовании SSL см. в документации IIS 5.0 и статье Microsoft «HOW TO: Enable SSL for All Customers Who Interact with Your Web Site» (http://support.microsoft.com/support/ kb/articles/q298/8/05.asp).

Платой за такое принудительное использование SSL может стать лавина звонков в службу технической поддержки от пользователей, которые будут набирать http:// вместо https://. На этот случай можно создать на сервере программу, код которой будет автоматически перенаправлять пользователей со страницы об ошибке на защищенный канал SSL при попытке доступа по незащищенному URL. Кодом, приведенным в Листинге 1, следует перезаписать на сервере IIS код ошибки 403.4 для перенаправления браузеров пользователей на защищенный канал. Необходимо скопировать Листинге 1 в файл на сервере Exchange 2000 в каталоге inetpubwwwrootowaasp (имя файла не имеет значения, просто его надо запомнить и присвоить расширение Active Server Pages -.asp). Затем в Internet Services Manager (ISM) нужно открыть на закладке Custom Errors страницу Properties виртуальных каталогов Exchange. Далее необходимо дважды щелкнуть на 403.4 и в открывшемся диалоговом окне Error Mapping Properties указать, что 403.4 соответствует файл /owaasp/yourfilename.asp. После этого требуется остановить и снова запустить службу IISAdmin. Так как остановка службы IISAdmin завершит работу всех служб Exchange, данный шаг нужно запланировать на то время, когда это вызовет минимум неудобств.

Меняйте пароли

Постоянно использовать один и тот же пароль рискованно, поэтому целесообразно устанавливать ограничение на срок действия пароля. Однако по истечении срока действия пароля у пользователей, которые работают с сервером только через OWA 2000, могут возникнуть проблемы. По умолчанию пользователи не могут сменить свой пароль через Internet (разработчики Microsoft предусмотрели такой запрет для дополнительной защиты системы безопасности Windows). Однако менять пароль с помощью Web-интерфейса достаточно просто.

Сначала следует активизировать SSL на сервере Web. Затем необходимо внести несколько изменений в конфигурацию IIS 5.0. В статье Microsoft «XWEB: How to Change OWA Passwords Through IIS» (http://support.microsoft.com/support/ kb/articles/q267/5/96.asp) эти изменения описаны достаточно подробно. Вообще, данная процедура выглядит следующим образом: на сервере Web создается новый виртуальный каталог для файлов каталога system32inetsrviisad-mpwd, которые идут с IIS 5.0. Затем нужно задействовать сценарий adsutil (из каталога inetpubadminscripts) для изменения значения флага метабазы, который означает, что используется смена пароля на основе Web-интерфейса. Если OWA 2000 применяется на кластере, необходимо выполнить другую процедуру. Она подробно описана в статье Microsoft «XWEB: How to Enable the Change Password Function in Exchange 2000 OWA Clustering» по адресу: http://support.microsoft.com/support/ kb/articles/q277/9/08.asp.

Многоязычность

В OWA 2000 имеется одна весьма полезная, но мало кому известная возможность: IIS позволяет задействовать интерфейс на любом языке. Во время установки OWA 2000 копируются файлы поддержки для многих языков. Во время путешествия можно оказаться в стране, языка которой не знаешь, а для просмотра почты подключить ноутбук к локальной сети нельзя. В такой ситуации достаточно найти компьютер с IE, запустить IE и перейти в меню Tools на Internet Options. Далее на закладке General следует щелкнуть Languages для вызова диалогового окна Language Preference, выбрать желаемый язык и переместить его в верхнюю строку списка. Завершив работу с почтой, необходимо удалить выбранное значение для языка из списка или перенести его на прежнее место.

Установка пакета обновлений SP1

Exchange 2000 Service Pack 1 (SP1) включает в себя несколько полезных функций OWA 2000, в том числе возможность восстановления удаленных элементов. Открыв в OWA 2000 страницу Options в секции Deleted Items, можно восстановить то, что ранее было удалено. Кроме того, SP1 добавляет поддержку 13 новых языков.

SP1 исправляет две ошибки: невозможность добавить присоединенный файл к элементам общих папок и использование в OWA 2000 NetBIOS-имени сервера вместо его полного имени Fully Qualified Domain Name (FQDN). Вторая ошибка вызывала проблемы с доступом к общим папкам для удаленных пользователей, если почтовые серверы сети были объединены по топологии Front-endBack-end. Для нормальной работы OWA 2000 сначала необходимо установить SP1 на серверы Front-end, а затем на серверы Back-end.

Сбросим вес

Не каждый пользователь захочет расстаться с ноутбуком, но те, кто оценит по достоинству изменения в OWA 2000, не прогадают. А применение простых настроек конфигурации и обучение пользователей приемам работы помогут задействовать Exchange с большей степенью безопасности и дополнительной функциональностью.