ящики нужно удалять», однако это не всегда лучший выход, по крайней мере в первые дни после увольнения. Конечно, в одних случаях правильнее всего сразу скрыть почтовые ящики, а в других лучше оставить их видимыми, но при этом блокировать поступление новых сообщений.
Есть много оснований для того, чтобы сохранять почтовые ящики уволившихся сотрудников. В них могут храниться важные сообщения и документы, удаление которых означало бы утрату назначенных цен либо предложений, связанных с реализуемыми проектами. Кроме того, эти ящики могут содержать еще не прочитанные важные сообщения. Если уволившийся сотрудник организовывал регулярные совещания, вполне вероятно, что связанные с их проведением ресурсы, такие как конференц-залы или оборудование, зарезервированы на определенное время. Нельзя ведь просто передавать другому служащему объекты Exchange, указывающие на время проведения совещаний и выделенные для этой цели ресурсы; тот, кто берет на себя функцию организации совещания, должен рассылать участникам новые приглашения. Кроме того, в большинстве организаций практикуется прямое резервирование или автоматическое календарное планирование ресурсов, поэтому, если новый организатор сохраняет намерение провести совещание в ранее назначенное время с использованием тех же ресурсов, он должен прежде всего отменить первоначально запланированное совещание. Если вы удалите почтовый ящик, то не сможете разослать извещения об отмене совещания. И еще одно соображение: когда сотрудник покидает компанию, необходимо сообщить контактировавшим с ним служащим других организаций о том, что этот человек здесь больше не работает, а его обязанности переданы другому сотруднику. Если этого не сделать, могут возникнуть проблемы в отно- шениях с клиентами или в сфере связей компании с общественными организациями. Наконец, решение руководителя относительно дальнейшей судьбы почтового ящика может оказать влияние на состояние системных ресурсов. Девять конфигураций и дополнительных средств Exchange могут помочь найти в процессе отключения почтовых ящиков оптимальное сочетание функциональных возможностей, уровня стабильности системы и объема привлекаемых ресурсов. Повидимому, никто не станет задействовать все эти настройки при закрытии почтового ящика. Скорее всего, сначала к каждому ящику будут применяться лишь некоторые из них, а другие в тех или иных сочетаниях будут использоваться позднее, когда возникнет необходимость постепенного вывода почтовых ящиков из эксплуатации.
1. Не удаляйте, а отключайте
Руководитель должен принять решение относительно того, как долго деактивированные почтовые ящики будут оставаться видимыми в сети. При этом решение будет определяться такими факторами, как версия системы Exchange и время, на протяжении которого другим сотрудникам будет требоваться доступ к содержимому почтового ящика, и в первую очередь — к календарям. Если в сети функционирует система Exchange 2000 Server или более поздней версии, нужно иметь в виду, что при удалении учетной записи Active Directory (AD) соответствующий почтовый ящик автоматически переводится в категорию кандидатов на удаление и помещается в хранилище Exchange Store на период времени, именуемый «окно восстановления почтового ящика» (mailbox recovery window). По умолчанию почтовый ящик находится в хранилище на протяжении 30 дней с момента удаления учетной записи AD, но пользователь может изменить этот интервал. Важно отметить, что, хотя почтовый ящик находится в хранилище, доступ к нему запрещен, и это обстоятельство необходимо учитывать при выработке стандартных процедур удаления учетных записей AD. Если доступ к почтовому ящику требуется другим сотрудникам, придется прибегнуть к помощи средства Mailbox Recovery Center для деактивации учетной записи AD вместо ее удаления. Пока окно восстановления почтового ящика остается открытым, сохраняется возможность реактивации учетной записи, что достигается за счет формирования связи между этой записью и новой учетной записью AD. Более подробная информация о формировании новых связей учетных записей содержится в двух подготовленных специалистами Microsoft статьях: «How to recover or to restore a single mailbox in Exchange Server 2003», размещенной по адресу http://support.microsoft.com/?kbid=823176, и «How to Recover or Restore a Single Mailbox in Exchange 2000 Server», опубликованной по адресу http://support.microsoft.com/?kbid=813337.
Этот процесс обеспечивает механизм безопасности или буфер на случай неизбежных запросов на доступ к почтовым ящикам, направляемых в последнюю минуту.
Администраторы организаций, эксплуатирующих системы Exchange 2000 и более поздних версий, могут восстанавливать почтовые ящики, ассоциируя их с новыми учетными записями AD, но тем не менее я рекомендую всем воздерживаться от немедленного удаления изначальных учетных записей AD. Корпорация Microsoft упростила процесс ассоциирования почтового ящика с новой учетной записью AD, но, как бы то ни было, даже сегодня проще сначала деактивировать существующую учетную запись, а позднее, когда в этом возникнет необходимость, удалить ее. Я предлагаю отключать учетную запись AD на 60 дней и по истечении этого периода удалять ее с использованием стандартного тридцатидневного окна восстановления почтового ящика. Такой подход обеспечивает легкий доступ к содержимому ящика в то время, когда организация выходит из ситуации, возникшей в результате увольнения сотрудника, но позволяет администратору в конечном итоге восстанавливать задействованные ресурсы. Если вам нужен простой механизм для своевременного выявления учетных записей, которые пора удалять, создайте в каталоге AD 12 организационных единиц (OU) — по одной для каждого месяца. При отключении той или иной учетной записи необходимо перемещать ее в организационную единицу, приходящуюся на тот месяц, когда запись нужно будет удалить. В последний день каждого месяца следует удалять все учетные записи и OU, приходящиеся на этот месяц. Так, если вы деактивируете учетную запись в марте и хотите сохранять ее в этом состоянии в течение 60 дней, перетащите ее в «майскую» организационную единицу. Затем в последний день мая удалите из этой единицы все учетные записи. Таким образом вы сможете, с одной стороны, во всеоружии встретить особые ситуации, когда почтовые ящики нужно сохранять в сети в течение периода времени, превышающего стандартное окно, а с другой — не допустите слишком долгого сохранения этих ящиков в числе прочих сетевых ресурсов.
В системах Exchange Server 5.5 удаление доменной учетной записи и соответствующего почтового ящика являются независимыми операциями. Когда удаляется доменная учетная запись, почтовый ящик сохраняет полную функциональность в хранилище Information Store (IS); для его удаления необходимо воспользоваться программой Exchange Server Administrator. Когда удаляется эта доменная учетная запись, первичная учетная запись почтового ящика перестает существовать. Но любая другая учетная запись, имеющая разрешение на обращение к почтовым ящикам, будет попрежнему иметь доступ к его содержимому. Кроме того, в системе Exchange 5.5 не предусмотрено окно восстановления, с помощью которого администратор мог бы реактивировать почтовый ящик после его удаления. Если администратор, удалив почтовый ящик Exchange 5.5, захочет восстановить его содержимое, ему придется восстанавливать содержимое всего хранилища IS на сервере восстановления. Обычно я рекомендую в средах Exchange 5.5 создавать окна восстановления продолжительностью 60 дней.
В моем арсенале есть еще один прием, с помощью которого я определяю, какие почтовые ящики Exchange 5.5 подлежат удалению. Эта процедура сложнее, чем метод с использованием организационных единиц AD, но она не требует больших затрат времени, ее можно даже автоматизировать. Создайте 12 свободных доменных учетных записей — по одной на месяц (их можно назвать DELEXCH-JAN, DELEXCHFEB и т. д.). Удалив первоначальную доменную учетную запись пользователя, замените главную учетную запись Windows NT данного почтового ящика незадействованной доменной учетной записью, представляющей месяц, в течение которого этот почтовый ящик планируется удалить. В конце каждого месяца можно экспортировать каталог учетной записи в файл .csv. Отыщите учетные записи, главной учетной записью NT которых является учетная запись DELEXCH с упоминанием названия соответствующего месяца, затем используйте импорт файла .csv для удаления этих почтовых ящиков.
2. Сделайте почтовый ящик недоступным для всеобщего обозрения и проанализируйте права доступа
Пользователям не всегда требуется непосредственный доступ к отключенному почтовому ящику. Если пользователи обходятся без такого доступа, стоит скрыть почтовый ящик. Тем самым вы создадите впечатление, что соответствующая учетная запись уже удалена, и пользователи не станут направлять для нее сообщения с использованием глобального списка адресов (Global Address List, GAL). Кроме того, когда почтовый ящик скрыт, пользователям, имеющим права доступа к этому ящику, открыть его труднее. К примеру, они уже не смогут использовать список адресов GAL или средства автоматического разрешения имен в Outlook для обнаружения и открытия этого почтового ящика простым нажатием кнопок File, Open и Other User?s Folder. Возможность обращения к скрытому почтовому ящику сохраняется, но для этого требуются специальные знания, которыми большинство пользователей не обладает. Для того чтобы открыть скрытый почтовый ящик, нужно ввести отличительное имя каталога данного ящика в формате /o=organization/ou=Administrative Group или в формате Site/cn=container/ cn=mailbox format. В статье Microsoft «XCLN: Mailing to Recipients Hidden from the Address Book», опубликованной по адресу http://support.microsoft.com/?kbid=142781, рассказывается о том, как отправлять сообщения электронной почты скрытому получателю; эти соображения применимы и к функции File, Open, Other User?s Folder.
Кроме того, следует проанализировать случаи делегирования прав и предоставления разрешений на доступ к папкам почтового ящика, чтобы определить, кто из пользователей все еще может иметь права доступа. Необходимо обратиться к принятым в организации правилам обеспечения безопасности и принять решение о том, следует ли отозвать эти разрешения. В одних организациях решение остается за начальником бывшего сотрудника; в других отзывают все разрешения и вновь предоставляют права доступа лишь тем служащим, у которых в этом возникает необходимость.
3. Отменяйте правила
Если бывший сотрудник установил какие-либо правила, деактивируйте их. Таким образом вы обезопасите себя от нежелательных последствий выполнения правил, которые, скажем, предполагают переадресацию сообщений за пределы организации. Нельзя исключать и такие ситуации, когда недовольный сотрудник, желая причинить организации вред, намеренно создает такое правило, которое пускает сообщение по замкнутому кругу или провоцирует лавину сообщений. Деактивируйте правила — и вы избавите себя от многих неприятностей.
4. Составьте текст сообщения об отсутствии
Функция Out of Office — это, наверное, лучший способ известить лиц, обращающихся к почтовому ящику, о том, что данный сотрудник уже не состоит в штате компании. В сообщении могут содержаться сведения о том, почему этот человек прекратил выполнение своих обязанностей, а также новая информация для контактов. Извещения Out of Office хороши и тем, что для каждого отправителя их нужно формулировать только один раз. Возможно, многие сочтут целесообразным составить стандартный текст для извещений Out of Office, рассылаемых после увольнения любого сотрудника. Если же вы не собираетесь составлять стандартное сообщение, поручите кому-нибудь просматривать сообщения Out of Office, которые сотрудники могли составить до того, как уволились из фирмы.
5. Измените адрес SMTP
Изменение SMTP-адреса сотрудника дает ряд преимуществ. Во-первых, если оставить SMTP-адрес неизменным, в почтовом ящике будут попрежнему накапливаться сообщения, и они будут занимать дисковое пространство. Во-вторых, организация должна иметь возможность отвечать на поступающие извне и имеющие отношение к бизнесу сообщения, но, если система Exchange не выпускает сообщения Out of Office в Internet, эти извещения так и не попадут в руки внешних отправителей. Ну а если почта успешно доставляется сотрудникам, но не прочитывается, у корреспондентов может сложиться впечатление, будто компания не заинтересована в контактах с ними. Если же изменить SMTP-адрес, внешние отправители, использующие его прежнюю версию, получат извещение о невозможности доставить сообщение по прежнему адресу. Разумеется, это не даст им информации о причинах, по которым данный адрес больше не используется, но, по крайней мере, они будут знать о том, что почтовый ящик более не принимает сообщений.
В отличие от предыдущих редакций в системе Exchange 2000 и в более поздних версиях, возможность удаления SMTP-адреса с целью блокировки доставки сообщений, поступающих из Internet, не предусмотрена, поскольку SMTP-адрес — это главный компонент маршрутизации сообщений. С другой стороны, Exchange и более поздние версии системы, как и предшествующие редакции, позволяют изменять SMTP-адрес, получивший статус основного. В результате назначения нового основного SMTP-адреса внутренняя маршрутизация сохраняется, но получение сообщений по старому адресу, по сути дела, блокируется. При изменении основного адреса нужно проследить за тем, чтобы был сброшен флажок Automatically update e-mail addresses based on recipient policy на странице свойств Email Addresses оснастки Active Directory Users and Computers консоли MMC (Microsoft Management Console). Если этот флажок не будет сброшен, служба Recipient Update Service (RUS) в конечном счете воссоздаст только что удаленный адрес.
6. Расформируйте списки рассылки
Если в системе недостаточно дискового пространства и вы не хотите, чтобы та или иная учетная запись принимала сообщения, нужно удалить эту запись из списка рассылки. Но если используются динамические списки рассылки, полностью прекратить доставку почты, возможно, будет непросто.
Для определения того, какие почтовые ящики могут получать сообщения, в динамических списках рассылки применяются запросы на базе протокола LDAP. Чтобы прекратить доставку сообщений в почтовый ящик, который обычно входит в состав динамического списка рассылки, следует сформулировать запрос LDAP таким образом, чтобы он не был обращен к деактивированным почтовым ящикам. Мне неизвестно, каким образом можно исключить ящики по такому признаку, как пребывание их учетных записей в каталоге AD в неактивном состоянии. Так что придется добавлять к деактивированной учетной записи флажок и модифицировать LDAP-запрос динамического списка рассылки таким образом, чтобы он возвращал информацию о состоянии этого переключателя. Скажем, если запрос динамического списка рассылки отбирает членов в соответствии со значением поля Department, придется добавить второе условие для исключения объектов из списка, как показано на экране 1. В этом примере объект исключается из динамического списка рассылки, когда в поле Notes учетной записи в каталоге AD добавляется DISUSER; в иных случаях объект включается в этот список. Вообще говоря, попытки заблокировать доставку с помощью динамических списков рассылки не оправдывают затраченных усилий (сказанное не относится к тем сетям, где активно используются динамические списки рассылки или где на адреса этих списков приходят объемные сообщения).
Экран 1 Создание динамического списка рассылки |
7. Заблокируйте все почтовые сообщения
Чтобы предотвратить поступление в почтовый ящик новых сообщений, нужно назначить в качестве альтернативного получателя пустой список рассылки. Указать адрес для пересылки с закладки Exchange General данной учетной записи можно с помощью оснастки Active Directory Users and Computers. В сетях Exchange 5.5 альтернативный адрес получателя можно указать на закладке Delivery Options. Нужно создать не содержащий членов список рассылки (NULL-DELIVERY на экране 2) и указать его с параметром Delivery Options. Этот альтернативный адрес получателя предотвращает поступление почты в почтовый ящик, так как агент Message Transfer Agent (MTA) отбрасывает сообщения, направляемые на адреса пустых списков рассылки.
Экран 2. Создание альтернативного адреса получателя |
Два других часто применяемых метода предполагают установление для данной учетной записи квот на получение сообщений и ограничений на доставку, чтобы агент MTA не мог доставлять сообщения в почтовый ящик в тех случаях, когда отправитель не имеет на то санкции. Для установления таких ограничений используются закладки Exchange оснастки Users and Computers службы Active Directory.
Когда обычный отправитель направляет в этот почтовый ящик свое сообщение, оно возвращается с извещением о невозможности доставки адресату, как показано на экране 3. Эти два способа позволяют экономить дисковое пространство и позволяют извещать отправителей о том, что сообщение не было доставлено, но они имеют ряд недостатков. Извещение о недоставке сообщения адресату не содержит указаний на то, почему учетная запись перестала принимать сообщения. Более того, поскольку эти приемы не предполагают направления сообщений в почтовый ящик, при их использовании невозможно применять извещения Out of Office.
Экран 3. Извещение о невозможности доставки |
8. Сохраняйте содержимое почтового ящика
В конечном итоге почтовый ящик из хранилища Exchange Store все-таки придется удалить. Но перед тем как это сделать, следует воспользоваться входящей в комплект Microsoft Exchange Server Resource Kit программой ExMerge и скопировать содержимое почтового ящика в файл .pst; таким образом, вы получите еще одно средство восстановления данных, если позднее возникнет необходимость обратиться к содержимому почтового ящика. Файл .pst может пригодиться и в том случае, если потребуется сохранить сообщения электронной почты в качестве официального документа.
9. Решите проблему доставки сообщений, поступающих по старому адресу
Когда почтовый ящик будет удален с сервера Exchange, объем трафика в каналах передачи сообщений может возрасти (такая ситуация может возникнуть и раньше, если удалить основной адрес SMTP). Подобное увеличение объема трафика происходит потому, что система должна генерировать и доставлять почтовое сообщение о невозможности доставки полученной почты в ответ на каждое сообщение, направляемое на старый адрес SMTP. Если используется Exchange Server 2003, следует настроить фильтры получателей; это простой способ блокировки сообщений, поступающих на старые адреса по каналам Internet.
В панели оснастки MMC Exchange System Manager (ESM) необходимо открыть окно Global Settings, Message Delivery. На вкладке Recipient Filtering требуется выставить флажок Filter recipients who are not in the directory. Для каждого виртуального сервера SMTP, который нужно настроить на получение входящей почты SMTP, следует щелкнуть на элементе Advanced вкладки General, а затем на элементе Edit, в результате чего будут отображены параметры IP Identification. После этого надо выбрать элемент Recipient Filtering. Щелкните на кнопке OK, затем отключите и вновь запустите виртуальный сервер SMTP. В следующий раз, когда кто-нибудь отправит электронное письмо по старому адресу, виртуальный сервер SMTP направит в службу AD запрос на проверку адреса. Если адрес обнаруживается, получатель принимается, если же поиски ни к чему не приводят, сообщение отбрасывается.
Экран 4. Сеанс связи по протоколу с отображением на экране отфильтрованных кодов отказа |
На экране 4 показан сеанс связи по протоколу SMTP с использованием средств фильтрации получателей. Как мы видим, сервер обнаружил адрес Jacob в каталоге AD и принял это сообщение с кодом ответа 250 2.1.5. Но сервер не обнаружил адресов George и Jonas и вернул различные коды ответов SMTP в соответствии с причинами, по которым сообщение было отвергнуто. Впрочем, фильтрация получателей не всегда безопасна. Злоумышленник может узнать, какие учетные записи содержатся в каталоге AD, воспользовавшись полученными в ходе атаки типа «подмена каталогов» кодами ответов.
Задачу можно решить еще двумя методами, не подвергая при этом сеть опасности атаки типа «подмена каталогов». Во-первых, можно указать индивидуальные адреса на странице свойств Recipient Filtering. Когда виртуальный сервер SMTP обрабатывает адрес получателя, он проверяет этот список и отвергает все подходящие адреса с кодом ответа 550 5.7.1, как показано на экране 4. Во-вторых, можно добавить старый адрес SMTP в качестве псевдонима для пустого списка доставки NULL-DELIVERY.
При обработке сообщения выясняется, что расширение списка не содержит ни одного члена, и агент MTA отбрасывает это сообщение. Но поскольку адрес воспринимается как действительный, отправитель получает код ответа, свидетельствующий о том, что адрес был принят и сообщение о невозможности доставки не генерируется. Так происходит и в сетях Exchange 5.5, не оснащенных средствами фильтрации получателей.
Но надо иметь в виду, что при использовании псевдонимов для пустых списков доставки NULL-DELIVERY число допустимых псевдонимов ограничено. В среде AD это число составляет порядка 800. Если в сети имеется множество старых адресов, то по достижении максимального значения придется создавать дополнительные пустые списки рассылки.
Я предпочитаю вариант со списками NULL-DELIVERY, поскольку в этом случае злоумышленники не имеют возможности собирать информацию о сетевой среде. Кроме того, если вы когда-нибудь захотите вновь задействовать старый адрес, при использовании метода фильтрации получателей могут возникнуть проблемы с доставкой, причину которых будет трудно установить. Допустим, если добавить к фильтруемым получателям адрес bill.smith@sgc.mil, а позднее в штат организации будет принят человек по имени Bill Smith и для него будет создана учетная запись bill.smith, служба RUS сгенерирует для этой учетной записи адрес bill.smith@sgc.mil. В соответствии с имеющимися настройками фильтра получателей на адрес этой учетной записи не будет поступать электронная почта из Internet, и, возможно, пройдет немало времени, прежде чем станет ясно, что все дело в фильтре получателей. Если добавить адрес bill.smith@sgc.mil в качестве псевдонима, RUS не сможет использовать его как новую учетную запись и вместо предложенного создаст для этой учетной записи адрес smith2@sgc.mil. Таким образом, при использовании этих приемов приходится тратить много сил на администрирование, так что методы фильтрации получателей и применения списков NULLDELIVERY в качестве псевдонимов целесообразно использовать лишь в сложных и крайних случаях.
Найти золотую середину
Когда служащий увольняется из компании, администратору приходится принимать в расчет множество соображений, связанных с его электронной почтой. С одной стороны, держать почтовый ящик на виду у всех небезопасно. С другой стороны, можно привести доводы и в пользу того, чтобы сохранить доступность ящика: это дает возможность обращаться к его содержимому, а также извещать корреспондентов бывшего сотрудника о том, что он ушел из компании.
Но при этом не хотелось бы, чтобы почтовый ящик потреблял дополнительные ресурсы, собирая все новые почтовые сообщения или «отфутболивая» большие объемы почты, которую невозможно доставить. Надеюсь, изложенные в статье идеи помогут решить все эти проблемы так, что коммерческие интересы организации не пострадают, а серверы Exchange будут функционировать без проблем.
Джозеф Ньюбауэр - Старший технический консультант компании HP, специализирующийся на проблемах Windows Microsoft Exchange Server. joseph.neubauer@hp.com