Category Archives: Exchange 2003

Como prevenir que los usuarios usen la OAB de Outlook en Cached Mode

En ciertas oportunidades, como se discutió en Administrando la descarga de OAB en Outlook 2003 y 2007, necesitaremos que los usuarios no consulten la OAB (Offline Address Book) del cache local de Outlook y, en cambio, utilicen los Domain Controllers en manera online.

De esta manera, no tendremos el problema que algunos clientes de Outlook no encuentren a los usuarios creados recientemente.

En Administrando la descarga de OAB en Outlook 2003 y 2007 podemos configurar através de una GPO (Group Policy) qué comportamiento tendrán los clientes Outlook ante la descarga de la OAB. Pero el problema es que aún así, el usuario puede descargar la Address Book manualmente y Outlook nunca la actualizaría con lo cuál estamos en un escenario peor que antes :).

NOTA: Una vez que Outlook haya descargado una copia Offline de la OAB, le dará prioridad a ésta, esté actualizada o no. Siempre usará la copia local. Es por eso que antes de ejecutar este procedimiento es necesario eliminar los archivos con extensión .oab que se encuentren en el perfil de los usuarios.

 

Estos scripts (en formato VBS), para Outlook 2003 y Outlook 2007 crean unas claves en la registry para que la OAB nunca sea descargada y evitan que se descargue manualmente, grisando la opción en el menú "Enviar/Recibir" del Outlook.

Para Outlook 2003:

const HKEY_CURRENT_USER = &H80000001
strComputer = "."
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
strKeyPath = "SOFTWARE\Policies\Microsoft\Exchange\Exchange Provider"
strKeyValue = "Limit SRS Incremental Download"
strKeyValue1 = "Limit Manual OAB Download"
strKeyValue2 = "Limit SRS Full OAB Download"
strKeyValue3 = "Allow SRS Full OAB Download"
oReg.CreateKey HKEY_CURRENT_USER,strKeyPath
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strKeyValue,0
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strKeyValue1,0
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strKeyValue2,0
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strKeyValue3,0

strKeyPath1 = "SOFTWARE\Policies\Microsoft\Office\11.0\Outlook\DisabledCmdBarItemsList"
strValueName1 = "TCID1"
strValue1 = "5658"
oReg.CreateKey HKEY_CURRENT_USER,strKeyPath1
oReg.SetStringValue HKEY_CURRENT_USER,strKeyPath1,strValueName1,strValue1

Para Outlook 2007:

const HKEY_CURRENT_USER = &H80000001
strComputer = "."
Set oReg=GetObject("winmgmts:{impersonationLevel=impersonate}!\\" &_
strComputer & "\root\default:StdRegProv")
strKeyPath = "SOFTWARE\Policies\Microsoft\Exchange\Exchange Provider"
strKeyValue = "Limit SRS Incremental Download"
strKeyValue1 = "Limit Manual OAB Download"
strKeyValue2 = "Limit SRS Full OAB Download"
strKeyValue3 = "Allow SRS Full OAB Download"
oReg.CreateKey HKEY_CURRENT_USER,strKeyPath
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strKeyValue,0
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strKeyValue1,0
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strKeyValue2,0
oReg.SetDWORDValue HKEY_CURRENT_USER,strKeyPath,strKeyValue3,0

strKeyPath1 = "SOFTWARE\Policies\Microsoft\Office\12.0\Outlook\DisabledCmdBarItemsList"
strValueName1 = "TCID1"
strValue1 = "5658"
oReg.CreateKey HKEY_CURRENT_USER,strKeyPath1
oReg.SetStringValue HKEY_CURRENT_USER,strKeyPath1,strValueName1,strValue1

 

Además, hacerles saber que este método es mejor que el mencionado en Administrando la descarga de OAB en Outlook 2003 y 2007.

 

Pablo Vernocchi
Microsoft Exchange MVP
MCSE + M / MCSE + Sec
https://mvp.support.microsoft.com/profile/Pablo

Las colas de SMTP están llenas con mensajes a postmaster@…

En anteriores entradas, hemos recorrido muchas configuraciones que tenemos para evitar el SPAM, desde verificar las opciones de relay hasta qué configuraciones debemos modificar para que nuestros mensajes lleguen a Hotmail o Yahoo!

Ahora veremos otro gran problema. Tenemos el relay cerrado de nuestro smtp, pero igual la cola de mensajes SMTP se llena con mensajes a postmaster@dominioremoto.com. Estos mensajes son NDR (non delivery reports) de intentos de relay desde nuestro servidor. Y lo que dicen internamente es unable to relay for xxx@dominio.com.

Por default Exchange 2003 recibe el mensaje completo, y no lo rechaza en la conexión SMTP. Una vez que recibe el mensaje, lo pone en una cola para la búsqueda del destinatario en Active Directory. Este comportamiento puede ser modificado, evitando el consumo de ancho de banda, ya que el rechazo del mensaje se produce en la conversación SMTP.

Para ello:

Abrir el Exchange System Manager, expandir Global Settings e ingresar a las propiedades de Message Delivery

capture_11042007_115037

Ir a la solapa Recipient Filtering y seleccionar "Filter recipients who are not in Active Directory"

capture_11042007_115056

Saldrá una advertencia que tendremos que aceptar, básicamente lo que informa es que los cambios realizados no tendrán efecto si no habilitamos este filtro en el SMTP Virtual Server:

capture_11042007_115058

Como siguente paso tendremos que habilitar este filtro en el SMTP Virtual Server. Para eso extendemos Servers –> Protocols –> SMTP e ingresamos a las propiedades del SMTP Virtual Server:

capture_11042007_115109

En la solapa General, hacemos clic en Advanced:

capture_11042007_115118

Edit:

capture_11042007_115121

Y seleccionamos el filtro que modificamos.

capture_11042007_115128

 

Este procedimiento deberá repetirse para cada filtro que configuremos. Podemos hacer todas las configuraciones que querramos en Global Settings que si no lo aplicamos en el SMTP Virtual Server nunca tendrán efecto.

Saludos,
Pablo D. Vernocchi
Microsoft Exchange MVP
MCSE + M / MCSE + Sec
https://mvp.support.microsoft.com/profile/Pablo

Administrando la descarga de OAB en Outlook 2003 y 2007

Es muy frecuente que cuando creemos una cuenta o grupo en Exchange no la veamos inmediatamente en el Outlook. Esto es debido a dos cosas:

  • Los clientes Outlook 2003 y 2007 usando cached mode descargan la OAB una vez al día.
  • El servidor Exchange tiene un schedule para armar la OAB y ponerla a disponibilidad del Outlook.

 

El primer escenario es el más frecuente. Ante este inconveniente Microsoft ha publicado un artículo técnico que puede ser leído en http://support.microsoft.com/kb/823580/en-us

El gran problema es que requiere modificar las claves en registry. ¿Cómo podemos lograr eso si tenemos muchos equipos? (O pocos y somos vagos 🙂 )… la solución es por Group Policy.

Office 2003 y Office 2007 tienen un set de Group Policies para descargar desde el sitio de descargas de Microsoft, pero ninguna de ellas toca este tipo de configuración.

Teniendo en cuenta todo esto, decidí armar un template de GPO y colgarlo del sitio para que puedan descargarlo y utilizarlo.

El archivo en cuestion es un ADM y pueden descargarlo desde http://www.eseutil.net/img/Outlook_OAB.zip

Para importarlo en Active Directory pueden usar el siguiente artículo: http://support.microsoft.com/kb/816662/en-us

 

Pablo Vernocchi
Microsoft Exchange MVP
MCSE + M / MCSE + Sec
https://mvp.support.microsoft.com/profile/Pablo

Problemas de envío de correos a Hotmail o Yahoo en Exchange Server

Hace ya algún tiempo que es frecuente la pregunta en foros sobre problemas de envío de correos a servidores como Hotmail con un simpático mensaje de devolución:

There was a SMTP communication problem with the recipient’s email server. Please contact your system administrator.

<servidor.dominio.com #5.5.0 smtp;550 Your e-mail was rejected for policy
reasons on this gateway. Reasons for rejection may be related to content with
spam-like characteristics or IP/domain reputation problems. If you are not an
e-mail/network admin please contact your E-mail/Internet Service Provider for
help. For e-mail delivery information, please go to
http://postmaster.live.com>

ó

The originator does not have permission to submit message
dns;Sendingdomain.com Failed 5.7.1 SMTP;550
5.7.1 Your IP address x.x.x.x appears to be dynamically assigned. Please smarthost your mail through your ISP’s mail server. If your IP is static or for more information, please contact us at bypass address@microsoft.com.

Posibles causas y soluciones

La más frecuente es que el registro inverso de nuestra dirección ip pública no haya sido creado por nuestro ISP, y se nos haya configurado por defecto uno genérico del tipo: 140-237-235-201.fibertel.com.ar (en mi caso, siendo Fibertel mi ISP).

Si yo quisiese mandar un correo a Hotmail con un servidor instalado en esta conexión a Internet, muy probablemente falle. Más información en: Microsoft.com now blocks incoming SMTP mail from servers that use dynamic IP addresses

Método de diagnóstico: ejecutar el comando nslookup direccion_ip y ver el resultado:

C:\Users\pvernocchi>nslookup 201.235.237.140
Server:  nsx4.fibertel.com.ar
Address:  200.49.156.4:53

Name:    140-237-235-201.fibertel.com.ar
Address:  201.235.237.140

Solución: Llamar a mi ISP y pedirle que genere el registro inverso. Cuando quede solucionado debería verse:

C:\Users\pvernocchi>nslookup 65.54.244.8
Server:  nsx4.fibertel.com.ar
Address:  200.49.156.4:53

Name:    bay0-mc1-f.bay0.hotmail.com
Address:  65.54.244.8

Noten que en el nombre del host aparece el dominio (Hotmail) y no el nombre del ISP, como en mi caso.

Conexiones con IP Fija: El método anterior de detección de registros inversos fue creado para evitar los correos de conexiones hogareñas que generalmente eran SPAM. Si tenemos una conexión de este tipo, no vamos a poder generar un registro inverso personalizado así que no nos quedará más alternativa que enviar el correo a través del SMTP de nuestro ISP. Para detalles pueden ver el artículo siguiente:

Configuring Exchange 2000 to Use a Smart Host IP Address

How to Configure Exchange Server 2003 to Use a Smart Host IP Address

 

Otra posible causa es que nuestra dirección IP pública se encuentre en una blacklist. Para ello alcanza con ingresarla en http://member.dnsstuff.com/pages/tools.php en el campo “SPAM Database Lookup”:

dnsstuff

 

Si la dirección IP existiese en alguna de las bases de datos de “Blacklists” deberíamos entrar a la URL para hacer el trámite online para ser des-listados.

Registros SPF: Siempre es bueno contar con ellos. Son registros txt que declaran las direcciones IP autorizadas a enviar correos de nuestro dominio. Existe un sitio web con un asistente e instrucciones muy sencillas para agregarlos: http://www.openspf.org

Estas son algunas de las causas más frecuentes, espero que les resuelva el inconveniente,

Saludos,
Pablo D. Vernocchi
Microsoft Exchange MVP
MCSE + M / MCSE + Sec
https://mvp.support.microsoft.com/profile/Pablo

Como acceder a archivos PST desde el OWA

Outlook Web Access es la interfaz web (webmail) de Exchange Server. Durante el correr del tiempo hemos apreciado como se fue enriqueciendo de funciones y tornando en la alternativa ideal para los usuarios remotos que no cuentan con una PC para acceder desde el cliente Outlook.

El único problema surge cuando en nuestro escenario trabajamos con cuotas de casillas y los usuarios empiezan a crear archivos de carpetas personales (PST) en discos locales. Una vez que movieron el correo del buzón a su carpeta personal, ya no está disponible a través de OWA.

Pero eso ya no pasará mas! Existe una herramienta desarrollada por Everywhere Networks denominada PSTWay que nos permite acceder a archivos PST desde el navegador, extendiendo la interfaz de OWA. Existe una extensa lista de preguntas frecuentes sobre las recomendaciones de instalación que pueden encontrar en el siguiente vínculo: http://www.everywherenetworks.com/owa-pstway-faq.php. Lo más importante a saber en este momento es que el producto debe ser instalado únicamente en el Front End y, si nuestra estructura tiene más de uno, en cada uno de ellos. No es necesario instalar nada en los servidores de Back End.

Una vez finalizada la instalación debemos iniciar la consola FileWay para realizar algunas configuraciones sencillas.

Primero debemos habilitar el usuario para poder utilizar el sistema, el proceso es simple. Debemos seleccionar la opción “Edit User List” y agregar usuarios o grupos de Active Directory:

capture_09062007_012737

 

capture_09062007_012743

Una vez que tenemos los usuarios habilitados, debemos configurar los servidores o equipos de la red a los que el grupo o usuario tendrán acceso. Para ello debemos configurar una nueva “Virtual Machine”:

capture_09062007_012749

Si ya tenemos alguna configurada, podremos seleccionarla de la lista:

capture_09062007_012827

De lo contrario, tendremos que crear una nueva:

capture_09062007_012837

 

Una vez que la máquina exista en la configuración de FileWay, debemos configurar el recurso compartido en el cual estarán los archivos PST:

capture_09062007_012845

capture_09062007_012855 

 

NOTA: Anteriormente mencioné que los archivos PST no están soportados en red (Archivos PST no estan soportados en Red) es por eso que esta herramienta nos permite configurar los equipos de los usuarios para poder acceder a los recursos compartidos. Además esta configuración se puede realizar usuario por usuario, evitando la posibilidad que un usuario acceda al PST de otro si tuviera permisos NTFS sobre el archivo.

—————————————

Primer parte configurada, accedemos al OWA e ingresamos a las opciones. El primer cambio que notaremos es que al iniciar nos pide contraseña:

capture_09062007_011446

Una vez que la ingresamos, se mostrará el nuevo menú de la aplicación donde podremos agregar los PSTs que queremos consultar desde el OWA:

capture_09062007_011504

La utilización de la herramienta es muy sencilla. Simplemente hacemos clic en “Browse” y seleccionamos de los equipos disponibles (aquellos que configuramos anteriormente como “Virtual Servers”) hasta encontrar el PST:

capture_09062007_012507

Y una vez que lo tengamos, el path UNC aparecerá. Con hacer clic en “Add” alcanza para que nuestro Outlook Web Access empiece a trabajar con el archivo de carpetas personales.

capture_09062007_012521

 

 

Espero que les ayude,
Pablo D. Vernocchi
Microsoft Exchange MVP
MCSE + M / MCSE + Sec
https://mvp.support.microsoft.com/profile/Pablo

Verificando opciones de Relay en Exchange 2000 y 2003

Hace unos días me tocó atender un incidente de Exchange relacionado a problemas de autenticación en el SMTP por ende, problemas de SPAM.

No es muy difícil entender el comportamiento de SMTP y como restringirlo para no convertirlo en un Open Relay.

Ante la duda, lo primero que tenemos que hacer es testear desde fuera de la LAN si es o no. Para eso existe una aplicación Web proporcionada por Abuse.net (entre otros tantos) que la pueden encontrar en http://www.abuse.net/relay.html. El único dato que hay que ingresar es la dirección IP o el nombre público de nuestro SMTP. Esta aplicación hace una serie de pruebas (unas 17 aproximadamente).

 

NOTA: Para los administradores de Exchange 2000. La prueba 8 de este test da positiva. Pero no es de alarmarse, porque en realidad ese mensaje es rechazado luego por Exchange cuando hace las consultas a Active Directory.

 

Si el test da OK, entonces no tenemos nada para preocuparnos, todo funciona como debiera. Si no diese OK, tendríamos que hacer algunas verificaciones en las configuraciones:

Como primer punto, verificar las opciones de autenticación del protocolo SMTP. Para ello abrimos la consola de Administración de Exchange, expandimos servers –> protocols –> SMTP –> y entramos a las propiedades del SMTP Virtual Server

Una vez dentro, vamos a la solapa “Access”, y entramos en Autenticación:

Quiero mostrar esta configuración porque es clásica pregunta:

SI, Tiene que tener ANONYMOUS ACCESS. ¿Porqué es esto? Porque los SMTP externos que intenten enviar correos hacia nuestro dominio no usan autenticación. Sería utópico. Tendríamos que estar repartiendo nuestra contraseña a miles de millones de SMTPs en el mundo 🙂

 

Volviendo al tema del Relay, tenemos que entrar al botón “Relay” y corroborar que las configuraciones sean las siguientes:

Con esta configuración estamos permitiendo que sólo los equipos en la lista (vacía por default) puedan hacer relay a nuestro servidor, sin autenticación. Y además es importante que el tilde “Allow all computers…” esté marcado.

—————————-

Si nuestro servidor tiene un conector SMTP, con address space ” * ” (asterisco), entonces tendríamos que verificar en las propiedades:

Que NO esté marcada la opción “Allow messages to be relayed to this domains”, de lo contrario estaríamos permitiendo el relay hacia TODOS los dominios.

—————————-

 

Una vez finalizadas las configuraciones, podríamos reiniciar el servicio de SMTP para que se apliquen los cambios y volver a correr el test de http://www.abuse.net/relay.html

 

Espero que les haya servidor,
Vernocchi Pablo

Exclaimer, mucho mas que disclaimers

En reiteradas oportunidades recomendamos utilizar herramientas de terceros para agregar firmas corporativas (disclaimers) a los correos salientes, ya que Exchange 2003 y anteriores no soportan (de manera sencilla) esas configuraciones.

Una de estas herramientas se llama Exclaimer . A primera vista podemos decir que cumple con los requerimientos, pero indagando un poco más, tiene muchas opciones y funciones bastante interesantes.

Veamos un poco de qué se trata:

Apenas terminamos la instalación, nos ofrece completar un asistente de configuracion:

 

 

 

 

 

 

 

 

Todos los reportes de Exclaimer serán enviados a la casilla del administrador, un mailbox que nosotros definiremos manualmente:

 

Ahora empezamos con esas funciones que no pensaba que el software traía :). Journaling de correos. Todo el correo que pase por este servidor será almacenado. Quizá esta opción no sea demasiado específica, así que por el momento la habilitaremos y veremos que pasa en la siguiente pantalla:

Exacto! Ahora si podemos hacer más filtrado. Con las opciones nativas de Exchange 2003 o almacenamos todo, o no almacenamos nada. Si esto fuese muy poco específico, al finalizar el asistente podremos crear reglas para achicar un poco el espectro.

Tendremos que elegir una casilla donde todo el correo se almacenará:

 

Ya con la función de Journal vale la pena… Además le agregamos un antispam:

Con sus distintos niveles de deployment:

 

Además un antivirus:

Y debemos configurar cómo nos conectamos a Internet, para que pueda descargar las definiciones de Virus y Spam:

Hará una breve prueba de conexión, haciendo un query DNS:

—————-

Hasta acá vemos un producto que hace mucho, pero mucho. Vayamos al core, al principal: Disclaimers:

Habilitamos los disclaimers y veamos que opciones nos aparecen:

Con Exchange usando event sinks sólo podemos hacer que las firmas corporativas se “impriman” en los mensajes que pasan por un Servidor Virtual SMTP determinado. Es decir, los correos internos estarán excentos de esa estampa. Con esto solucionamos eso. Podemos indicar a qué tipo de mensaje le adjuntamos la firma corporativa, además de poder configurar un texto diferente para cada una de ellas y una ubicación distinta dentro del cuerpo del mensaje:

Y por último, la pantalla de finalización del Wizard:

—————-

Una vez finalizado este breve asistente, empezaremos con la configuración de la lista blanca del Antispam:

—————-

No sólo todo este combo de utilidades tiene este pequeño software que apenas pesa 10 MB, sino que además tiene funcionas de “AutoResponder”, y un conjunto de reglas para los filtrados que es espectacular.

Les dejo algunas capturas más para que se familiaricen con la interfaz:

Interfaz incial:

Antispam:

Antivirus:

 

Saludos,
Vernocchi Pablo

Webcast: Implementación de certificados digitales para el envío de correo seguro

Gente,

El día lunes 9 de Abril estaré dando un webcast sobre Seguridad en mensajería, junto a Carlos Dinapoli, también MVP de Exchange.

Es un evento online que comienza a las 18,30 horas como parte de las mejoras que estamos haciendo a capa8 (www.capa8.com).

Les dejo el link a los interesados:

http://www.microsoft.com/conosur/technet/realityit/detallesesiones.aspx#47

Saludos,
Vernocchi, Pablo

Cómo habilitar el cambio de contraseña en OWA

En esta oportunidad, mostraremos como habilitar el cambio de contraseñas en Outlook Web Access (OWA).

Esta funcionalidad es especialmente apreciada cuando queremos implementar caducidad de contraseñas y tenemos usuarios remotos que únicamente usan OWA. Así podremos evitar tildar la opción para que la contraseña nunca caduque o tener que resetarle la contraseña cada x cantidad de días.

Algunas consideraciones previas: Esta feature sólo está disponible si usamos SSL. En escenarios con Front End, SSL tiene que estar habilitado en esos servidores, y en escenarios con un sólo servidor, simplemente en éste. Por otro lado, cabe aclarar que el cambio de password es una feature de IIS y no de Exchange.

Manos a la obra
Como primer paso tenemos que habilitar IIS para que pueda cambiar las contraseñas. Para ello tendremos que utlizar el script ADSutil.vbs.
Abrimos una consola cmd, vamos a C:\inetpub\Adminscript y escribimos:

adsutil.vbs set w3svc/passwordchangeflags 0

Este valor 0 no es arbitrario:

* 0 Requiere que la password sea cambiada bajo ssl
* 1 Habilita el cambio de contraseñas bajo puertos inseguros
* 2 Deshabilita los cambios de contraseña

Si es la primera vez que ejecutamos un script desde la línea de comandos, puede salir una advertencia diciendo que no se puede ejecutar WScript y si preferimos asociarlo con CScript, a lo que responderemos que sí.

Ahora lo que tenemos que hacer es generar un Directorio Virtual en IIS. Para ello abrimos la consola de administracion de IIS, expandimos websites y sobre el Default Website hacemos clic con el botón secundario del mouse –> New –> Virtual Directory

En el Alias, ingresamos IISADMPWD:

En el Path seleccionamos Browse:

Y seleccionamos el directorio que se encuentra en c:\windows\system32\inetsrv\iisadmpwd

Nos aseguramos que se puedan correr los scripts:

Casi terminando la configuración de este directorio virtual, le daremos seguridad, seleccionando únicamente Autenticación básica:

Por último, configuraremos este directorio virtual para que requiera SSL:

—————————–

Para poder habilitar el cambio de contraseñas desde el OWA, tendremos que hacer un cambio en la registry para que aparezca el botón, o usar OWA Admin. En esta oportunidad y para facilitar las cosas, usamos OWAAdmin que puede ser descargado desde: http://www.microsoft.com/downloads/details.aspx?familyid=4bbe7065-a04e-43ca-8220-859212411e10&displaylang=en

—————————–

Al iniciar sesión en el OWA e ingresar a las propiedades, encontramos la posibilidad de cambiar la contraseña:

Y la ventana de confirmación será mostrada:

Espero que les haya servido.

Saludos,
Vernocchi, Pablo

Links recomendados para recuperación de desastres Exchange 2003

Lo prometido es deuda. En la conferencia del jueves pasado quedé en postear los links con referencia a las operaciones de recuperación de desastres de Exchange 2003. Acá van:

Microsoft Exchange Server 2003 Disaster Recovery Operations Guide – Español

Exchange Server 2003 Mailbox Recovery

Using Microsoft Exchange Server 2003 Recovery Storage Groups

Exchange Server 2003 SP1 Recover Mailbox Data Feature

XADM: ESEUTIL Command Line Parameters

Transaction Logs, The Lifeblood of Exchange

Exchange 2003 Backup and Restore with NTBACKUP

Understanding the Exchange Information Store

Saludos,
Vernocchi, Pablo