2011年5月2日 星期一

如何在 Exchange 伺服器中設定郵件的大小限制

郵件的大小限制取決於各種設定。設定可以跨使用者有所不同。您可以自訂 Exchange 2000 或 Exchange 2003 組織、 特定連接器、 特定的虛擬伺服器及個別使用者設定。

寄件者可能會收到未傳遞報告 (NDR) 如果自己的郵件會大於其大小限制類似下列範例的:


您的郵件無法送達部份或全部預定的收件者。

主旨: 測試
已傳送: 7/18/2002年下午 2: 40
無法傳送到下列收件者:
測試收件者上 7/18/2002年下午 2: 41
此訊息大小超過目前系統所設限制,或收件者的信箱已滿。 建立較短的郵件內文或移除附件,再一次嘗試傳送它。
<server.domain.com # 5.2.3 >

通用設定

此設定會決定 Exchange 2000 組織中郵件的最大大小 ; 訊息可以是傳入、 傳出,或內部。

如果要設定 [全域] 設定請依照下列步驟執行:
  1. 啟動 Exchange 系統管理員。要執行這項操作、 按一下 [開始]、 指向 [程式集]、 指向Microsoft Exchange,然後按一下 系統管理員 」
  2. 展開 [通用設定]。
  3. 郵件傳遞,] 上按一下滑鼠右鍵,然後按一下 [內容]。
  4. 按一下 [預設] 索引標籤來設定全域設定。

連接器設定

每個連接器的設定會控制使用者可透過連接器傳送的外寄郵件的大小上限。

如果要設定連接器設定,請依照下列步驟執行:
  1. 按一下 [開始],指向 [程式集]、 指向 Microsoft Exchange,然後再按一下 [系統管理員]。
  2. 展開 [系統管理群組,然後再展開 [Administrative Group Name,其中 Administrative Group Name 是您的系統管理群組的名稱。
  3. 展開 [路由群組,然後再展開 [Routing Group Name,其中 Routing Group Name 是路由群組的名稱。
  4. 展開 [連接線]、 您想要設定,在連接器上按一下滑鼠右鍵,然後再按 [內容
  5. 在 [允許大小,] 下的 [內容限制] 索引標籤上按一下以選取 [僅郵件小於 (KB)] 核取方塊,然後再鍵入您想要允許之大小 (以 KB 為單位)。

SMTP 虛擬伺服器設定值

此設定可決定允許通過虛擬伺服器的郵件的最大大小。虛擬伺服器會通告限制透過的方式將延伸簡易郵件傳送通訊協定 (ESMTP) SIZE 指令動詞命令 (RFC 1870)。

附註通訊協定的大小限制是用來拒絕郵件與其他電子郵件系統的界限上。這些限制可以有效地個別伺服器,應該不能用來作為方法來限制郵件大小中的 Exchange 企業伺服器群組。系統管理員可以設定通用設定來限制,並控制整個組織使用 Exchange 2000 或 Exchange 2003 的郵件大小限制郵件傳遞選項。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
326154  如果您在傳輸層級設定郵件大小限制將不會複寫 [OAB


若要進行簡易郵件傳送通訊協定 (SMTP) 虛擬伺服器設定,請依照下列步驟執行:
  1. 按一下 [開始],指向 [程式集]、 指向 Microsoft Exchange,然後再按一下 [系統管理員]。
  2. 展開 [系統管理群組,然後再展開 Your Administrative Group Name,其中 Your Administrative Group Name 是您的系統管理群組的名稱。
  3. 展開 [伺服器],然後再展開 Your Server Name,其中 Your Server Name 是您的伺服器名稱。
  4. 展開 [通訊協定,然後再展開 [SMTP] 節點。
  5. 以滑鼠右鍵按一下 SMTP Virtual Server Name,其中 SMTP Virtual Server Name 是您的 SMTP 虛擬伺服器的名稱,然後按一下 [內容]
  6. 按一下 [郵件] 索引標籤,設定您想要允許的最大大小。

使用者信箱的設定

此設定會決定訊息的使用者可以傳送或接收到他們的信箱的大小上限。藉由資訊儲存庫而不是由郵件分類程式] 方法強制執行使用者信箱設定。資訊儲存庫可防止一過大的郵件被傳送到傳輸],如果郵件大小超過使用者信箱最大郵件大小設定。

如果要設定個別使用者的信箱設定,請依照下列步驟執行:
  1. 啟動 Active Directory 使用者和電腦] 嵌入式管理單元,然後再找出您要設定使用者帳戶。
  2. 使用者的帳戶上按一下滑鼠右鍵,然後按一下 [內容]。
  3. 按一下 [Exchange 一般] 索引標籤,然後按一下 [傳遞限制 設定您想要允許的最大大小。
附註SMTP 傳送的訊息路由群組之間,並網際網路增加約百分之 30 如果它們包含二進位附件或其他的 8 位元資料大小。

Exchange Server 2003 設定Push Mail

Exchange Server 2003 設定篇
當企業有建置 Exchange Server 2003 ,就可以輕輕鬆鬆的設定伺服器端的 Push Mail 功能,此時只要先確定你的 Exchange Server 2003 已經是 Service Pack 2 的版本了,那設定 Push Mail 就沒有問題了。
如果要開放 Push Mail 的話,那防火牆需要怎麼樣的設定呢?我想這也是 IT 人員最想知道的一個部份,Push Mail 是透過 HTTP 或 HTTPS ,所以管理者應該就可以很放心了,只要開放 HTTP 或 HTTPS(建議) 就可以允許 Push Mail 的連線了。
P.S:如果只要使用 HTTP ,則需視 Mobile Device 的支援而定,不是每個 Mobile Device 都支援,不過 HTTPS 是皆可支援。
接下來,依照以下步驟,你就可以輕鬆的設定 Exchange Server 2003 上的 Push Mail 功能。
  1. 首先確定 Exchange Server 2003 Front-end 是否有安裝適當的憑證。如果有的話請直接跳到第 20 項開始進行設定。如果沒有安裝憑證,請先確認公司內部有適當的憑證中心或可申請外面的憑證授權機構,才可匯入憑證。
  2. 點選「開始 \ 所有程式 \ 網際網路資訊服務 (IIS) 管理員」,開啟「網際網路資訊服務 (IIS) 管理員」。展開「網際網路資訊服務 \ 本機電腦 \ 網站 \ 預設的網站」。
    圖 1
  3. 點選「預設的網站內容」。
    圖 2
  4. 在「預設的網站」內容中,點選「目錄安全設定」的頁次,再點選「伺服器憑證」,以要求網站的憑證。
    圖 3
  5. 在「歡迎使用網頁伺服器憑證精靈」的頁次中,按「下一步」。
    圖 4
  6. 在「伺服器憑證」的頁次中,選擇「建立新憑證」,按「下一步」。
    圖 5
  7. 在「延遲或立即要求」的頁次中,選擇「立即傳送要求到線上憑證授權」,按「下一步」。如果你的伺服器沒有加入網域,且使用的不是企業內部用的憑證時,則必需選擇第一點。
    圖 6
  8. 在「名稱及安全設定」的頁次中,在名稱的地方輸入你所方便辨視的名稱,例如「webmail」,其它保留預設值,按「下一步」。
    圖 7
  9. 在「公司資訊」的頁次中,在公司及單位分別輸入適當的資訊,按「下一步」。
    圖 8
  10. 在「您網站的一般名稱」的頁次中,在一般名稱輸入你網站的正確名稱,此名稱為開放給外面或內部的使用者連線所使用,範例中的一般名稱為「mail.exchange.com.tw」,此名稱也為 Push Mail 的 Mobile Device 所必需連線使用的名稱,如果此名稱無法透過讓 Mobile Device 所解析正確,則 Push Mail 的功能就無法正確執行。輸入完畢,按「下一步」。
    圖 9
  11. 在「地理資訊」的頁次中,輸入適當的資訊,按「下一步」。
    圖 10
  12. 在「SSL 連接埠」的頁次中,保留 SSL 連接埠的值「443」,除非有特別的作用,否則建議保留預設值,按「下一步」。
    圖 11
  13. 在「請選擇憑證授權單位」的頁次中,在憑證授權單位選擇你適當的憑證授權單位,按「下一步」。
    圖 12
  14. 在「憑證要求提交」的頁次中,確認其資訊是否正確,確定無誤後,按「下一步」。
    圖 13
  15. 在要求憑證的程序完成後,按「完成」。
    圖 14
  16. 在「目錄安全設定」的頁次中,點選「檢視憑證」的按鈕,會出現「憑證」的視窗,並檢查「發給:」的內容是否正確,如果正確則代表憑證要求是沒有問題的。
    圖 15
  17. 展開「網際網路資訊服務 \ 本機電腦 \ 網站 \ 預設的網站 \ Microsoft-Server-ActiveSync」,按右鍵選「內容」,在點選「編輯」,按「下一步」。
    圖 16
  18. 在「安全通訊」的頁次中,勾選「必須使用安全通道(SSL)及需要 128 位元加密」,就是強制要求用戶端連線時一定要使用 SSL 才可以連線,按「確定」來完成設定。
    圖 17
  19. 在「目錄安全設定」的頁次中,點選「驗證及存取控制」內的「編輯」,在「驗證方法」的頁次中,確認只有勾選「基本驗證(使用純文字傳送密碼)」,此設定為使用 SSL 所使用的驗證方法,按「確定」完成設定。
    圖 18
  20. 點選「開始 \ 所有程式 \ Microsoft Exchange \ 系統管理員」,開啟「Exchange 系統管理員」。
  21. 展開「通用設定 \ 行動電話服務」。在「行動電話服務」按右鍵,選擇「內容」。
    圖 19
  22. 在「行動電話服務」的內容中,看到「一般」頁次中的「Exchange ActiveSync」項目中的「透過 HTTP 啟用直接推入」的項目已經被勾選了,這樣就有代表伺服器端已經提供了 Push Mail 的功能了。此選項預設是勾選的。
    圖 20
  23. 如果管理者想針對使用者的行動裝置再加強其安全性,可以增加密碼設定的選項。在「行動電話服務」的內容中,點選「裝置安全性」。
    圖 21
  24. 在「裝置安全性設定」的頁面中,管理者可以勾選「強制裝置上的密碼」,此時底下有多種設定可以選擇,例如當使用者沒使用者行動裝置後的幾分鐘,就啟動密碼保護,這個部份就類似螢幕保護程式的概念,你可以選擇「停止活動時間(以分鐘表示)」,再輸入時間,預設是 5 分鐘。
    圖 22
  25. 如果你希望使用者輸入的密碼長度至少要有 6 個字元,就可以勾選「密碼最小長度(字元)」,再輸入字元為 6 個字元。
    圖 23
  26. 裝置安全性設定預設是針對所有的使用者的設定,如果有某些使用者是不想被此設定規範的時候,可以設定「例外狀況」來排除特定的使用者。
    圖 24
以上的設定為伺服器端的設定,確定憑證已經取得且伺服器端的設定都正確後,接下來就要看看 Mobile Device 上的設定了。


Push Mail 建置常見問答

看完了以上的設定,相信大家還有一些小疑問,所以在此也提供一些客戶們會提問的內容及解答給大家,讓大家更順利的使用 Push Mail。
伺服器端篇
  1. 使用 Push Mail 時,一定要使用 SSL 協定嗎?
    A. 建議大家使用,因為絕大部份的 Mobile Device 皆需要 SSL 的保護,才可以支援 Push Mail 喔。再加上以企業的角度來看,使用 SSL 保護當然才是第一優先,不致於讓所有的傳輸內容都是使用「明碼」而導致一些資訊安全的問題。
  2. Exchange Server 2003/2007 上的憑證,要安裝在什麼樣的角色上?
    A. 在 Exchange Server 2003 的環境中,安裝憑證的伺服器,主要是讓使用者第一時間連線上來的伺服器,換句話說,如果企業有 Front-end & Back-end 的架構時,就安裝在 Front-end 吧。那如果多台伺服器皆為 Exchange Server 2003 Back-end 架構時,就看要開放給哪些信箱使用 Push Mail,就在那一台安裝憑證囉!
    B. 在 Exchange Server 2007 的環境中,就需要在 Exchange Server 2007 Client Access 角色上面安裝憑證囉。
  3. Exchange Server 什麼樣的版本才可以支援 Push Mail?
    A. 只要是 Exchange Server 2003 且安裝 Service Pack 2 以上的版本,就可以支援 DirectPush(Push Mail) 的機制囉。
  4. Exchange Server 2003/2007 使用的憑證,有哪些類別?
    A. 一般企業使用憑證的方法有兩類。第一類是使用企業的內部憑證,這個部份 Windows Server 就有提供了,好處是可以自己控管且不需要額外的費用。第二類是跟外面的憑證授權單位申請憑證,這個部份好處是因為是公開發行的單位,所以使用者不需要額外下載或申請憑證即可使用,只是這個部份企業就需要負擔一些使用的費用。不管你是使用第一類或第二類,皆可支援 Push Mail 喔。
手機連線篇
  1. 使用 Windows Mobile 作業系統的手機,可以透過什麼樣的方式收到 mail?
    A. 只要手機可支援 GRPS 或 3G ,就可以透過這兩種方式的其中一種來使用 Push Mail。
  2. 怎麼樣設定才能讓 Windows Mobile 上網呢?
    A. 這個部份會依不同的電信業者及不同的手機而有不同的設定方式,建議大家可以撥打電信業者的服務電話,所有的電信業者他皆有提供各式手機的標準設定程序的文件,所以大家只要依照程序設定,相信就可以輕鬆的上網了,而且只要能夠上網,就可以享受到 Push Mail 所帶來的好處了。
手機設定篇
  1. 怎麼安裝憑證於手機上?
    A. 每一家的手機設定的方法皆不同,大部份的作法是透過 ActiveSync 中的檔案分享方式,就可以把憑證從本身的電腦傳輸到手機裡面囉。或者你可以請管理者把憑證放在網站上,當使用者的手機可以上網時,也可以透過此方式來取拿憑證,並且雙擊憑證就可以安裝起來囉。
  2. Windows Mobile 的作業系統版本要什麼樣的版本才有支援 Push Mail?
    A. 大家可以從「開始 \ 設定 \ 系統 \ 關於」這個地方來看的到手機作業系統的版本資訊,只要版本是 14847.2.0.0 以後的版本,就可以支援 Push Mail 的功能了。如果你的 Windows Mobile 5.0 並不是這個版本,那請你可以去尋問手機業者是否可以升級作業系統版本。
  3. 我想要設定上班時才使用 Push Mail,下班後就不使用了,該如何設定呢?
    A. 當然可以,大家可以自行設定自己手機上面的時間,只要在「開始 \ 程式集 \ ActiveSync \ 時程」裡面,設定自己的「離峰時間」,所謂的離峰時間即下班時間,所以你就只要設定離峰時間無,手動下載電子郵件,即可達到上班時立即收到 Mail,而下班時可以輕輕鬆鬆的下班,不用隨時要注意手機上是否有新的 Mail 囉。
  4. 當我手機沒有使用時,是否可以設定密碼保護?類似螢幕保護程式一樣呢?
    A. 可以的,這個部份需要由管理者先在 Exchange Server 2003 上面設定好「裝置安全性」裡面的密碼保護,此時在設定內的使用者將會被要求設定一組密碼,以及螢幕保護的時間,這樣一來就可以很順利的保護你的手機囉。
    B. 當你在 Exchange Server 2007 的環境中,可以在 Exchange ActiveSync 信箱原則中設定原完,並套用至使用者的信箱原則即可。
  5. 當我的手機掉了,而我又不想讓所有的電子郵件、行事曆、連絡人及工作都被撿到我手機的人進去看,除了密碼保護之外,還有什麼方法可以協助我呢?
    A. 在 Exchange Server 2003 有兩種方法可以提供當手機掉了時,透過遠端就會 Hard Reset 手機了,當執行了此動作之後,手機將還原為原廠的設定值了,所以一切的資料將會洗掉,如果只是要測試,建議先將重要的資料進行備份喔。第一種方法就是在 Exchange Server 2003 上面設定「裝置安全性」,裡面就有一個設定值讓你設定囉。第二種方法就是至 Microsoft 網站下載一個工具,此工具可以協助你將手機 Hard Reset 囉,相關的網址可以參考 http://www.microsoft.com/downloads/details.aspx?FamilyID=e6851d23-d145-4dbf-a2cc-e0b4c6301453&DisplayLang=en
    B. 在 Exchange Server 2007 中,可以開啟 Outlook Web Access,點選「選項\行動裝置」,就可以選擇「清除裝置中的所有資料」功能了。
綜合篇
  1. 當我使用 Push Mail 的機制時,什麼樣的信件會 Push 到我的手機呢?
    A. Push Mail 在設計上,會針對使用者的「收件夾」這個資料夾內的所有郵件進行 Push 的動作,因此建議企業們的反垃圾郵件機制要做好喔,以免會有一堆的郵件一直 Push 到你的手機上。
  2. 如果我的手機不能使用 Push Mail,我要怎麼解決呢?
    A. 建議從三方面著手。第一是檢查手機是否可以上網呢?這個部份只要使用者自行就可以判斷出來了,當手機可以上網時,第一個環節就可以排除了問題了。第二個是檢查當手機不能 Push Mail 時,能否自己手動同步呢?大部份問題都是連手動同步都有問題,才不能 Push Mail。此時就可以檢查自己的設定值,最大發生的問題是在「密碼」的部份,因為有可能你在 AD 上面的密碼已經更改了,但手機上的密碼忘了更改的狀況,就會造成驗證無法成功了。如果第二個問題已經解決,但仍然無法使用的話,第三步就是檢查伺服器端了,看看憑證是否過期啦,這個可能是常發生的喔,或者你防火牆不小心的改錯,而阻擋掉通往 Front-end Server 的路囉。
  3. 為何我的手機在收到 Mail 時,無法呈現 HTML 格式?
    A. 此功能必須搭配 Windows Mobile 6.0 才支援。
  4. Exchange Server 2003/2007 的 Push Mail 需要搭配特殊電信業者才能使用嗎?
    A. 不需要,此項功能為 Exchange Server 2003/2007 內建功能,可與搭配電信業者即可使用。
  5. 當我的 Client 想要使用 Exchange Server 2003/2007 Push Mail 功能,還需要另外付費嗎?
    A. 完全免費,此項功能是 Exchange Server 2003/2007 內建功能,你無需為你的 Direct Push mail 使用另外購買額外的授權費用,但你可能需要額外支付 Mobile Device 連線上網費用,實際費率請與您的電信服務業者洽詢。
  6. 請問是不是一定得使用 Microsoft 的 Windows Mobile 5.0 系統,才能夠使用 Exchange ActiveSync 與 Push Mail 的功能呢?還是也有其他廠牌的手機也可以使用這一些功能呢?
    A. 針對 Push Mail 功能,使用者的手機的確需要使用 Microsoft Windows Mobile 5.0 以上的 PDA Phone 或 Smart Phone 才可以,至於 Exchange ActiveSync 的信箱同步功能,則還可以使用下列其它協力廠商所提供的手機,不過必須注意只有特定型號與規格的手機才支援。
    • Nokia:Nokia 提供了 Mail for Exchange 功能在 E 系列的手機中,讓使用者可以經由無線網路或 GPRS 以及 3G 的網路,來進行電子郵件、聯絡人以及行事曆的資料同步。
    • Sony Ericsson:Sony Ericsson 提供了 Exchange ActiveSync 功能在一些較新式的智慧型手機中,如果需要 Push Mail 功能則可以進一步搭配協力廠商的程式來達到。
    • Palm:Palm 目前提供了兩種智慧型手機的規格,而 Windows Mobile 5.0 是其中一種,單純的 Exchange ActiveSync 功能只要 Treo 650 與 680 系列的就有支援了。

2011年4月29日 星期五

Windows DHCP Server MAC filter

Why filter MAC addresses
The idea of DHCP MAC filtering is that when a foreign system tries to connect to your network, they are not given an IP address unless their network card is on the list of allowed systems. In order for them to get on the network, they have to see a member of the IT department.
This protects a guest from accidentally spreading infections of spyware, viruses, or trojans not to mention it helps the IT department keep track of who and what goes on the network. [Please notice how I say accidentally because MAC spoofing would easily circumvent this security measure]
Install The Callout DLL
Overview:
·        Install the DLL
·        Create the necessary registry keys
·        Populate the list of allowed or denied MAC addresses
·        Restart the DHCP
Download and Install
1.    Download and install the files: Download
The MACFilterCallout.dll was installed to %SystemRoot%\system32 along with a file named SetupDHCPMacFilter.rtf.This includes very basic instructions.
2.    Run the MacFilterCallout.msi and go through the steps to install it. All this does is extract the two files to your %systemroot%\system32\ folder.
Create the registry keys:
Choose one of two ways:
Option 1: Manually create the following registry keys:
Key Name
Key Type
Description
CalloutDlls
REG_MULTI_SZ
The location of the MacFilterCallout.dll
CalloutEnabled
DWORD
0 = Disable MacFilterCallout
1 = Enable MacFilterCallout
CalloutErrorLogFile
REG_MULTI_SZ
Log path. If this registry key is not specified, callout dll will output errors %WINDIR%\System32\Log.txt
CalloutInfoLogFile
REG_MULTI_SZ
Info log path. If this key is not present, no information messages will be logged.
CalloutMACAddressListFile
REG_MULTI_SZ
This is the name and location of the MAC filtering list you're going to be creating next.
Option 2: Merge the keys that I've made for you: Download
Download the file above, extract the contents, and merge the registry file that I created for you.
Here are the values the .REG file contains. Make sure they match up to your environment.
Key Name
Value
CalloutDlls
C:\windows\system32\MacFilterCallout.dll
CalloutEnabled
1
CalloutErrorLogFile
C:\windows\system32\MacFilterCallout.log
CalloutInfoLogFile
C:\windows\system32\MacFilterCalloutInfo.log
CalloutMACAddressListFile
C:\windows\system32\MAClist.txt
NOTE: If you are not using C:\windows as your windows directory, you will have to edit the registry to fit your system.
Create the MAC list
As I showed above, the key CalloutMACAddressListFile points to a location where you need to create a specially formatted text file that contacts which MAC addresses to filter.You can only choose to allow a certain set of MAC's or DENY them. Here is the format of that file:
Note: You must include the { }'s around either the ALLOW or DENY action
Help Populating the MAC list
If you are going to use the ALLOW action you're most likely going to want to find all of the valid MAC addresses on the network. Here are some suggestions for ways you can do this:
·        Nmap + ARP- with the command nmap -PR 192.168.0.0/24 or whatever your network is, it will do an arp scan of the network. Then doing an "arp -a > arptable.txt" gives you tab delimited file perfect for opening as a spread sheet and extracting the list of MAC addresses you need to use
·        DHCP logs - use your existing DHCP server logs [usually under c:\windows\system32\dhcp\] to find all the MAC addresses in the last week.
·        Switch logs - if you have a good enough switch, it will keep track of which MAC addresses are using the devices.
Note: Obviously be careful how you create this list. If the CEO of the company has a laptop that you happened to forget to put onto the allow list, he may not be happy with your new security measure.
Want to know what the MSI Installer REALLY does?
One major pet peeve of mine is when you download a program and it installs without telling you what it did. That's how this MSI works. Here's what it does:
·        copies the dll to %system%/system32/
·        copies the rtf to %system%/system32/
·        registers BOTH the dll and the rtf as shared DLL's
·        adds some interesting registry keys like on named "CompleteMacLevel" that I don't know what it does. 
I know that may not help anything but it makes me feel a little better.
External Links