Tipy k nasazení Microsoft Exchange Online
Překotný přechod zákazníků pod křídla Microsoftu v Office 365 způsobil vrásky na čele nejednomu správci a ti pak často tápou v možnostech těchto cloudových služeb. Pojďme si to ukázat na nastavení Exchange Online a případně i na přístupu k obsahu poštovních schránek. Zaměřím se na budování služby od jejího začátku ve výchozím nastavení, tak aby došlo k co nejlepšímu využití možností. A dále aby byla služba co nejlépe zabezpečena, přestože se to nyní Microsoft snaží zákazníkovi usnadnit ve formě bezpečnějšího výchozího nastavení (tzv. Security Defaults).
Retence dat
Pokud patříte mezi zákazníky, kteří nevidí důvod k zálohování dat Office 365, tak jednoznačně doporučuji již před zakládáním či migrací poštovních schránek navýšit limit uchování odstraněných položek z poštovních schránek. Výchozí hodnota je 14 dní a lze navýšit až na 30 dní. Toto lze provést pouze z prostředí PowerShell. Pokud jste ho zatím ke konfiguraci nepotřebovali, tak od této chvíle nezbytnost pro konfiguraci možností, které z Exchange admin centra neuvidíte. Pro připojení se k Exchange Online využijte návodu v tomto článku - Connect to Exchange Online PowerShell. Všechny nové mailboxy se řídí nastavením mailbox plánů, které řídí vlastnosti poštovních schránek, při jejich vytváření. Dobu uchování smazaných položek v poštovní schránce změníme pro tyto plány takto:
Get-MailboxPlan | Set-MailboxPlan -RetainDeletedItemsFor 30.00:00:00
Mailbox plány můžete rovněž využít pro další nastavení vlastností mailboxů či přístupů k nim, například pro omezení přístupů pomocí IMAP a POP3 (dále můžeme ovládat mobilní přístup či vybrat OwaMailboxPolicy).
Get-CASMailboxPlan| set-CASMailboxPlan -ImapEnabled $false -PopEnabled $false
Pokud již máme v prostředí poštovní schránky, tak pro tyto změníme pomocí tohoto příkazu:
Get-Mailbox | Where-Object RetainDeletedItemsFor -eq "14.00:00:00"| Set-Mailbox -RetainDeletedItemsFor 30.00:00:00
Pokud potřebujete zajistit delší uchování dat při smazání, tak nezbude než využít zásady či popisky pro uchování informací, tato nastavení se provádí z admin centra Zabezpečení a dodržování předpisů Office 365. Nejdříve je nutné vytvořit samotný popisek a vybrat vhodné nastavení pro uchování informací
Poté je nutné popisek publikovat, a to můžeme na všechny podporované služby (Exchange Online, Microsoft 365 skupiny, dokumenty v Onedrive či SharePoint) nebo jen na konkrétní služby a účty.
Přeposílání zpráv
Samotné přeposílání zpráv dostálo v letošním roce změn a vaše případné zkušenosti z lokálních Exchange serverů již nebudou stačit. Celou problematiku zahrnuje článek All you need to know about automatic email forwarding in Exchange Online.
V prostředí Office 365 nechává Microsoft mnohé nastavení jinak než v případě lokálních Exchange serverů a například default vzdálená doména nemá přeposílání zpráv zakázáno. V novém tenantu však bude uplatněna zásada filtru odchozího spamu v antispamové ochraně, kde automatické nastavení povolí pouze interní přeposílání a pokud chceme přeposílání povolit, tak je vhodné definovat novou zásadu pro odchozí poštu a cílit ji jen na požadované poštovní schránky.
Celou situaci ohledně přeposílání komplikuje výchozí role uživatele (Default Role Assignment Policy), jež uživateli nechává v nabídce konfigurace Outlook Web App možnost nastavení přeposílání.
Pokud potřebujete nabídku nastavení přeposílání pro všechny uživatele či jen pro některé skrýt, tak řešení naleznete v článku Disable automatic forwarding in Office 365 and Exchange Server to prevent information leakage, kde je vhodné modifikovat Default Role Assignment Policy či vytvořit novou.
Pro vytvoření nové uživatelské role použijete tuto sadu PowerShell příkazů
- Vytvoření nové role
New-ManagementRole MyBaseOptions-DisableForwarding -Parent MyBaseOptions
- Vyjmují možnosti přeposílání
Set-ManagementRoleEntry MyBaseOptions-DisableForwarding\Set-Mailbox -RemoveParameter -Parameters DeliverToMailboxAndForward,ForwardingAddress,ForwardingSmtpAddress
- Vytvoření zásady
New-RoleAssignmentPolicy -Name DisabledForwardingRoleAssignmentPolicy -Roles MyBaseOptions-DisableForwarding,MyContactInformation,MyRetentionPolicies,MyMailSubscriptions,MyTextMessaging,MyVoiceMail,MyDistributionGroupMembership,MyDistributionGroups, MyProfileInformationAfter
- Nastavení zásady na všechny (můžete případně specifikovat) poštovní schránky
Get-Mailbox -ResultSize Unlimited | Set-Mailbox -RoleAssignmentPolicy DisabledForwardingRoleAssignmentPolicy
Set-Mailbox –Identity user@domena.cz -RoleAssignmentPolicy DisabledForwardingRoleAssignmentPolicy
DNS záznamy
Ověření domény pomocí TXT záznamu a nastavení dalších potřebných záznamů pro Exchange Online (Autodiscover, MX, SPF) je celkem jasné a nebudu se jimi zabývat. Pokud ovšem chcete využívat i dalších možností, které Exchange Online nabízí, tak doporučuji nastavit DKIM záznamy pro vaše domény. Nejprve si ověříte, zda je možnost používat DKIM nastavena
Get-DkimSigningConfig domena.cz
Pokud nastavená není, tak obdržíte chybu, že doména domena.cz nemůže být nalezena, v tomto případě je nutné konfiguraci vygenerovat.
New-DkimSigningConfig -DomainName domena.cz -KeySize 2048 -Enabled $false
Pokud konfiguraci vygenerujeme novou či již existovala, tak si dále zjistíme hodnoty CNAME záznamů, které musíme přidat do DNS.
Get-DkimSigningConfig domena.cz | fl Selector*CNAME, Selector*KeySize
KeySize je zde pro původní konfigurace, kde délka klíče může být pouze 1024, tuto konfiguraci je vhodné na 2x (následující rotace po 4 dnech) rotovat
Rotate-DkimSigningConfig -Identity domena.cz -KeySize 2048
Vlastní DNS záznamy nastavíte z výše uvedeného:
- Typ: CNAME
- Jméno: selector1._domainkey
- Hodnota: hodnota výstupu Selector1CNAME
- Typ: CNAME
- Jméno: selector2._domainkey
- Hodnota: hodnota výstupu Selector2CNAME
Pokud jsou již DNS záznamy viditelné, tak lze DKIM pro danou doménu zapnout, toto lze provést z těchto míst:
- Exchange Online PowerShell
Set-DkimSigningConfig -Identity domena.cz -Enabled $true
- Původní Centrum pro správu Exchange v sekci ochrana/DKIM, tato možnost však již nebude v blízké době dostupná.
Pokud máme nastavený DKIM a správně i SPF, tak můžeme pokračovat na nastavení DMARC. V tomto případě nebudu zabíhat do detailů a ukážeme si nastavení DMARC v případě Valimail monitoru, který Microsoft doporučuje ve svém článku Secure your journey to the cloud with free DMARC monitoring for Office 365.
Po registraci Valimail služeb, musíte ověřit vlastnictví domény zadáním valimail poštovní schránky k posílání agregovaných reportů. Záznam vypadá přibližně takto:
- Typ: TXT
- Jméno: _dmarc
- Hodnota: v=DMARC1; p=none; rua=mailto:dmarc_agg@vali.email
Pak již můžete ve Valimail monitoru sledovat odkud jsou vaše zprávy posílány (asi vás překvapí, jak málo jich je z Česka, ale vidíme primárně datacentra Office 365. Případně detaily doručených či nedoručených zpráv.
Sdílej v médiích