CommuniLink 聯通國際網絡

不可不知的 Exchange Server 隔離郵件管理策略

根據外來Email的內容來決定郵件接收、拒絕、刪除以及隔離的判斷，是由第三階段的內容篩選功能(Content Filter agent)來負責處理的，而它的依據則是SCL（Spam Confidence Level）的評分，您可以像如圖11所示一樣先下達Get-ContentFilterConfig | FL SCL*命令，來查看目前的系統設定值。從這個範例可以得知，目前僅有SCLRejectThreshold 的功能有啟用，而且是被設定為7分，也就是說如果根據Exchange傳輸服務的智慧篩選器(Intelligent Message Filter)，判定寄送進來的Email的SCL分數高達7分時，將會自動拒絕接收此郵件。

至於針對郵件的刪除(SCLDeleteThreshold)與隔離(SCLQuarantineThreshold)功能，儘管都有設定為9分，但這兩項功能並沒有啟用。因此接下來我們對這個預設值做一點調整，開始之前必須注意刪除閾值必須拒絕閾值，而拒絕閾值又必須大於隔離閾值，否則設定時將會出現錯誤訊息。

圖11 檢視SCL設定。

在如圖12所示的範例中，筆者下達了以下命令，來將刪除的SCL功能啟用並設定為9分，拒絕的分數為7分，而隔離的分數則修改為5分。最後再下達命令Get-ContentFilterConfig | FL SCL* 來查看是否已成功設定。

Set-ContentFilterConfig -SCLDeleteEnabled $true -SCLDeleteThreshold 9 -SCLRejectEnabled $true -SCLRejectThreshold 7 -SCLQuarantineEnabled $true -SCLQuarantineThreshold 5

圖12 調整SCL設定。

確認完成了隔離SCL功能的啟用與設定之後，還必須進一步設定隔離信箱的Email位址，否則遭隔離的Email將不知何去何從。請如圖13所示下達命令Set-ContentFilterConfig -QuarantineMailboxQuarantine@lab03.com來完成設定即可，其中Quarantine@lab03.com便是需要預先建立好的使用者信箱。想要查看目前隔離信箱的設定值，請下達Get-ContentFilterConfig | Format-List QuarantineMailbox來查詢。

圖13 隔離信箱設定。

對於已經進入到隔離信箱中的外來郵件，系統管理人員可以透過使用Outlook的[再寄一次]按鈕功能，來釋放已傳送至垃圾隔離信箱的郵件，以便重新傳送原始郵件收件人。以Outlook 2013來說，就可以在[郵件]檢視中，先在[收件匣]中找到您想要復原的郵件，接著在該郵件上點兩下將其開啟，然後在功能區的[動作]圖示選項中點選[重傳此郵件]。最後在郵件開啟時，點一下 [傳送]按鈕，即可將郵件重新傳送給原始收件者。

不過在許多實際操作現場情境時，有些IT管理員會開放隔離信箱的存取權限給一般使用者，以如圖14所示的範例而言，便是設定開放Quarantine信箱的完整存取給Linson這位使用者，若您只想要賦予他讀取的權限，只要將其中的-AccessRights參數值修改為ReadPermission即可。若想要查看目前Quarantine信箱，有賦予了哪些人員或群組權限，只要下達Get-MailboxPermission -Identity “Quarantine”命令即可得知。

Add-MailboxPermission -Identity “Quarantine” -User Linson -AccessRights FullAccess -InheritanceType All

圖14 新增隔離信箱權限。

前面我們曾提到關於拒絕郵件的分數(SCLRejectThreshold)功能，在系統預設的狀態下已經啟用，但問題是當寄件者收到退信時，其中的退信內容可否自訂而不要顯示系統預設的”Message rejected as spam by Content Filtering”訊息呢？答案是可以的。只要使用Set-ContentFilterConfig命令搭配-RejectionResponse參數來設定回應內容即可。如果想要查詢目前所設定的退信回應訊息，請下達命令Get-ContentFilterConfig | FL *Reject*。

 

如何以兩個 Synology 功能備份整間公司資料？

文章由讀者 Timothy 提供

謝謝 Synology 和 HKTIBLOG 舉辦是次測試，讓我可以測試各種雲端備份方案，在這個惡意加密病毒日益猖獗的時間，希望這測試也能幫助有需要保護公司資料，以免資料被損壞。

是次主要測試以下兩方面。

1. Btrfs 檔案系統：快照備份及遠端抄寫。
2. 雲端同步套件：Cloud Station Drive 、 Cloud Station Backup、Cloud Sync、Cloud Station ShareSync。

前期預備：

1. 謝謝 HKITBLOG 和 Synology 已預備了另一台遠端 Synology NAS DS716+(以下稱 NAS) 和 DSM 6.0。

2. 我取得 NAS 和 1TB 硬碟後，回家立刻把硬碟裝進 NAS 的硬碟1(1 點就是硬碟 1)，非常方便，一拔一插便可，基本上不用什麼工具協助。

3. NAS 連線和開機後，按說明書指示，在瀏覽器輸入 diskstation:5000，出現首次啟動的設定畫面。

4. 按設定 -> Synology 下載中心(下載 DSM6.0) -> 瀏覽(選擇下載回來的 .pat 檔案) -> 立即安裝。

5. 這時會有提示，硬碟 1 上所有資料將被刪除(請注意不要使用不應刪除資料的硬碟在硬碟 1)，由於是新硬碟，了解並繼續安裝。

6. 等待約 10 分鐘，完成安裝 100% 後，便是建立您的管理者帳號，這個帳號會在遠端抄寫和 Synology Cloud 各項服務的設定中經常使用，所以鼓勵使用密碼強度更強的密碼！

7. 另外，建議選與 Synology 分享 DiskStation 的網路位置，除了可用 find.synology.com 來連線外，更可在網上 Synology 帳戶(要在 https://account.synology.com/ 先註冊帳戶)內註冊新產品，以便網上查看 NAS 的實際情況。

8. 多按幾個下一步便完成 DSM 設定。

9. 登入 DSM 便看見 NAS 的首頁，基本像 Windows，常用的是左上的主選單，桌面上控制台，套件中心，而系統狀況，資源監控和訊息也有不少重要的資訊。

10. 我先在控制台更新 DSM 至最新版本。

11. 跟著先設定硬碟(套件中心要先設定硬碟才能使用)。
主選單 -> 儲存空間管理員 -> 儲存空間 -> 新增 -> 快速 -> 選擇硬碟 -> 格式化硬碟 -> 選擇 Btrfs(快照備份及遠端抄寫必需選 Btrfs)

12. 設定硬碟完成會有硬碟資料，最重要是檔案系統是用 Btrfs。

13. 前往套件中心，安裝 Snapshot Replication，Cloud Station Server，Cloud Sync 和 Cloud Station Share Sync。

14. 要使用遠端抄寫和 Cloud Station Share Sync，必先建立共用資料夾。
File Station -> 新增 -> 新增共用資料夾 -> 輸入名稱 -> 確認 -> 給與管理者帳號可讀寫權限 -> 確認。

(注：在進階選項內不要選 – 開啟快照瀏覽 [預設是不選，我因作測試才選擇可見]，以免惡意加密病毒有機會更改快照備份，DSM 6.0.1-7393 版本中，這個選項在快照->設定->進階內)

15. 設定 DDNS 外部存取，這是因為我沒有固定 IP，而這 DDNS 會經常在以後的設定內使用。
前往控制台 -> 外部存取 -> 新增 DDNS，我是用 synology.me。

16. 在 Synology 帳戶內可見 DDNS 主機名稱，表示設定成功。

17. 最後一個前期預備，就是確認可從互聯網進入 Snapshot Replication 和 Cloud Station 的連接埠。
前往控制台 -> 外部存取 -> 路由器配置 -> 測試 Snapshot Replication 和 Cloud Station 的連線，若是不能連線 -> 按設定路由器 -> 它會自動設置 UPnP 的路由器，十分方便之後再測試便可。
若不是使用 UPnP 的路由器，請在路由器設定連接埠 5566 和 6690 通訊埠轉發，確保可從互聯網進入 Snapshot Replication 和 Cloud Station 的連接埠。

詳文

http://edm.hkitblog.com/synology/03.html

以上資訊由www.hkitblog.com提供

 

輕易部署 Whitebox 方案！SDN 網絡架構詳解

圖 4_ SDN 網路圖表

如圖 4 所示其實是一個很簡單的 SDN 網路圖表，Edge-Core AS4610-30T 的左方有兩個埠口，上方是一個 Management Port 與公司現有網路連接，公司內部大多會有 DHCP 伺服器，籍此能夠取得 DHCP 派過來的網路位置，管理員便能使用 SSH 或 Telnet 作管理用途。而下方就是 Micro USB Console Port，一開始管理員一定需要直接插入 Micro USB 終端線，並經由 PuTTY 的 Serial 進行連線，進入後便能知道從 DHCP 取得的網路位置，從而利用 PuTTY 登入作管理用途。

Edge-Core AS4610-30T 交換器的 Port 1 連接著 Laptop01，其網路位置是 192.168.1.10，以及 Port 2 連接著Laptop 02，其網路位置是 192.168.1.20。因為 PicaOS 可給我們選擇使用傳統 Layer2/Layer3 或 OpenFlow 模式，當選擇了 OpenFlow 模式後，其 Port 1 與 Port 2 預設是不啟動的，而前方訊號燈也是不亮起來的，需籍由 OpenFlow 指令 ovs-vsctl add-br 建立橋接網路卡，然後使用 ovs-vsctl add-port 將 Port 1 與 Port 2 加入橋接網路卡之中，兩個 Ports 即時能夠啟動，但是Laptop01 與Laptop02 還是不能溝通的。

早前教了大家使用了 Floodlight SDN Controller，今次教大家安裝及使用 Ryu SDN Controller，筆者於 VMware Workstation 11 安裝 Ubuntu 14.04.4 TLS 來測試 Ryu SDN Controller，虛擬化資源分配為 vCPU 1 Core、vRAM 2GB 和 20 GB 硬碟，而其位置是位於現有網路之中擔任中央管理角色分配 Flow 規則給 Edge-Core AS4610-30T 交換器。這示範最終測試目的是於 Ryu SDN Controller 分配一條雙向 Flow 給 Edge-Core AS4610-30T，而這兩條 Flow 規則是關於經由 Port 1 傳送封包去 Port 2 及 Port 2 傳送封包去 Port 1，令Laptop01 與Laptop02 能夠互相溝通，籍此大家更能深入了解 Flow 規則能夠控制 Port 來傳送封包。

待續…

以上資訊由www.hkitblog.com提供

 

最終章！Edge 電子郵件收發測試輕鬆完成

在確認了EdgeSync與傳輸服務皆在正常執行中，便可以準備來測試一下Email的對外收發。不過在此之前建議您，可以先使用Telnet命令，來測試一下Edge Transport主機的SMTP連接埠是否可以正常連線。請依序完成在內部網路以及經由Internet網路的測試，只要下達Telnet 主機IP位址 25即可。若發現沒有Telnet命令工具可用，則您需要從測試的電腦上，如圖32所示加入[Telnet用戶端]功能的安裝。如果是Windows 10的電腦，則必須改從[控制台]的[程式和功能]中，點選[開啟或關閉Windows功能]來進行安裝。

圖32 安裝Telnet用戶端。

另外為了讓Internet的郵件，可以成功從Edge Transport主機來接收，並且傳遞到內部使用者信箱，您還必須修改現行DNS伺服器的MX記錄。如圖33所示範例，請在點選[瀏覽]按鈕後，改選取Edge Transport主機的A記錄。

圖33 DNS記錄修改。

太好了！接下來請立刻使用Outlook或OWA(新版稱為OOW)用戶端，來測試一下Email對外的發送。當Email發送之後，您就可以開啟Exchange工具箱(Exchange Toolbox)中的[佇列檢視器]，來查看Email對外的傳送情形。當您開啟內部信箱伺服器的[佇列檢視器]時，可能會看到下個躍點網域為您的Edge Transport主機，而傳遞類型會暫時出現[陰影備援]的訊息。

話說何謂陰影備援呢？其實陰影備援功能(Shadow redundancy)最早出現於Exchange Server 2010 之中，主要用途在於藉由備援郵件復本的機制，讓傳輸服務在確認所要傳遞的郵件，已送達傳送路徑中的下一個跳躍點(Hop)之後，才將暫存在傳輸資料庫的郵件進行刪除。如果下一個跳躍點的SMTP服務不支援陰影備援，則Exchange Server將會依據接收連接器(Receive connector)的間隔時間設定，來作為郵件備援複本的延遲認可之判斷。

當準備傳送至Internet的郵件(例如：msn.com)順利來到Edge Transport主機時，也同樣可以在它自己的[佇列檢視器]視窗中，如圖34所示檢視到正在連線狀態的訊息提示。

圖34 Internet郵件寄送測試。

總結

Exchange Server 2016是一個極具彈性的訊息協同平台，就以針對防垃圾郵件與防毒的需求來說，不僅可以直接使用內建的兩種安全篩選器功能，也可以關閉此兩種代理程式，來改採用第三方相容的防垃圾郵件與防毒軟體，這包括了檔案層級的防毒軟體。

進一步若想要減輕信箱伺服器運行的負載，還可以在DMZ網路中建置一部專屬的Edge Server 來負責處理垃圾郵件的篩選工作。若您希望能夠包含橫跨異地的Exchange Server主機，都能夠使用Microsoft自家檔案層級的防毒軟體，並且做到集中監視與提供報告分析的功能，那麼加入System Center Configuration Manager於總公司的網路之中，肯定是最佳的解決之道。

以上資訊由www.hkitblog.com提供

駭客帶動全球 IT 經濟！2016 全球資安開支將達 816 億美元

駭客攻擊雖然會令受害者經濟上出現損失，然而卻為資安廠商帶來了更多收入，難怪曾經有業界人士說過一個陰謀論：「很多駭客攻擊及病毒，其實都是由資安廠商製造出來的，目的就是增加資安設備的盈收」。

儘管以上說法未有實質證據，不過 2016 年全球資安開支仍高達 816 億美元！近日一份由 Gartner 公佈的報告便指出，2016 年全球資訊保安產品及服務開支將達 816 億美元，較去年上升 7.9%。

顧問及資訊科技外判服務是現時資訊保安的兩大支出項目。Gartner 預料直至 2020 年底，保安檢測、資訊科技外判服務及數據洩露防護（data loss prevention，DLP）增長將最高。

在亞太區，2016 年資訊保安產品及服務開支將達 179 億美元，較去年上升 8.9%，並在 2020 增至 256 億美元。大中華區的 2016 年資訊保安產品及服務開支將較去年上升 11.1% 至超過 33 億美元，並在 2020 達 56 億美元。

防禦性保安的增長將維持強勁，因不少資訊保安人員均傾向購入防禦性保安措施。與此同時，安全信息與事件管理（security information and event management，SIEM）與安全網頁閘道（secure web gateway，SWG）等解決方案，亦開始發展至支援「偵測及回應」模式（detect and response）。Gartner 預料至 2020 年，機構將集中於偵測及回應方案，令全球安全網頁閘道市場維持 5 至 10% 增長。

現時機構持續面對的僱員及人才短缺問題，將令更多資訊保安開支投向服務性項目。機構無力部署、管理和使用有效的技術和工具組合偵測威脅，並回復至原先的良好狀態，因此產生需求，令偵測及處理託管服務（managed detection and response, MDR）冒起。

面對針對性進階威脅及內部威脅，機構更束手無策。隨著越來越多新興 MDR 供應商瞄準中端市場，Gartner 預計這些服務將推動大小機構的資訊保安開支增長。

Gartner 全球資訊保安預測報告的其他預測如下：

直至 2018 年底，防火牆的平均售價將按年上升至少 2 至 3%

隨著市場對於頻寬的需求及裝置數目增加，雲端及其他服務供應商所提供的高端設備需求亦相應增加，推動市場發展。儘管供應商之間的競爭繼續為價格帶來壓力，但企業、服務供應商及網絡規模機構（web-scale organizations）正趨向使用規模更大及更昂貴的防火牆。因此，雲端服務供應商所採用的大型防火牆將繼續成為廠商的主要收入來源。

至 2018 年，將有 90% 機構使用最少一種綜合數據洩露防護（DLP）軟件，較現時 50% 為多

部分機構使用 DLP 軟件，以遵守條例、保護知識產權，以及確保數據透明並監測數據。機構亦使用新的解決方案改善現有的方案，新增範疇包括用戶身份及行為分析、影像分析、機器學習（machine learning）以及數據配對技術（data-matching techniques）。

至 2019 年底，公共雲端的採用將僅影響防火牆開支少於 10%，但影響將於 2019 年之後加大

儘管軟件即服務（Software as a Service，SaaS）的採用正在增加，但於未來三年，它對防火牆開支的影響不大。Gartner 於 2015 年進行的調查顯示，只有 16% 受訪的首席資訊總監視 SaaS 為支出首選。轉變需要時間，而在轉變過程中，雲端存取安全代理服務（cloud access security broker，CASB）會逐步轉型，覆蓋比軟件即服務更廣的範圍，為基建即服務（Infrastructure as a Service， IaaS）及平台即服務（Platform as a Service， PaaS）擔當相似的角色。防火牆供應商亦須於未來數年面對多項挑戰，其中重點為解決保安接層加密技術（secure sockets layer，SSL）被大規模破解的問題。

至 2019 年，一半中型及大型機構會為其網絡防火牆增添更廣泛、更先進的檢閱功能

隨著頻寬不斷加速，企業對於規模更大、表現更佳以及更昂貴防火牆的需求亦相應增加，並要求防火牆能夠整合其他功能，例如網頁過濾器及入侵防禦系統。部分企業亦為其防火牆升級，加入惡意軟件沙箱作業（malware sandboxing）等新的內容檢閱功能。

以上資訊由www.hkitblog.com提供