Finally the help of IT is here

Blog de soluciones informaticas.

Proteger Exchange de envíos masivos desde el interior de la organización

Escrito por Xavier Xaus Nadal on Noviembre 18th, 2011

Save pagePDF pageEmail pagePrint page

Para proteger el sistema Exchange de envíos masivos no aprobados se propone implementar un cambio en cada usuario de la organización para así limitar el número de destinatarios en un correo.

El campo de Active Directory que vamos a usar es msExchRecipLimit el cual limita el número de destinatarios cuando un usuario envía un correo.

Escenario actual:

Cualquier usuario de la organización puede coger un listado de usuarios y enviarles un mail sin ninguna limitación de destinatarios provocando una posible caída en el servicio de correo.

Futuro Escenario:

Exchange dispone de un límite global para todos los usuarios. (Este límite se va a configurar en “100” destinatarios, excepto usuarios VIPs o previamente definidos).

Implementación:

1.- Comunicar cambio al equipo de dirección y tras su aprobación a los técnicos de soporte para que estén al caso.

 

2.- Crear script para implementar los 100 destinatarios a todos los usuarios de la organización sin excepción: Leeros el cómo instalar las herramientas Quest Active Roles desde el siguiente artículo que os introducirá también en algunos comandos útiles en PowerShell desde el siguiente enlace: http://www.megacrack.es/2011/01/15/consultar-todos-los-servidores-en-ldap-a-travs-de-powershell/

Realizar ejecución de un script en PowerShell como el siguiente:

 

$users = gc c:\allusers.txt

Foreach ($usuario in $users)

{

try

{

Set-QADUser $usuario -includedProperties msExchRecipLimit -ObjectAttributes @{msExchRecipLimit="100"}

}

catch

{

Write-Error $_

}

}

 

Donde c:\allusers.txt es la lista de todos los usuarios de vuestra organización que previamente deberemos haber creado.

Este listado de usuarios se puede conseguir a través del siguiente comando:

 

get-qaduser –sizelimit 0 -memberof "Usuarios del dominio" | select logonName |Export-Csv -Path c:\allusers.txt

 

La ejecución del script anterior realizará una modificación de cada usuario de la organización poniendo un límite de 100 destinatarios.

 

3.- Modificar y guardar con otro nombre el script anterior para implementar a la lista previamente proporcionada de personas a las que no le queremos poner límite, VIPs, … la exención del límite en los destinatarios. (Sin límite).

 

$users = gc c:\vipusers.txt

Foreach ($usuario in $users)

{

try

{

Set-QADUser $usuario -includedProperties msExchRecipLimit -ObjectAttributes @{msExchRecipLimit=""}

}

catch

{

Write-Error $_

}

}

 

Donde c:\vipusers.txt es la lista de usuarios VIPs y usuarios sin límite previamente proporcionada.

La ejecución del script anterior realizará una modificación del límite de destinatarios a “Sin límite”.

 

4.- Queda definir un procedimiento para que cada nueva creación de un usuario se le configure el límite de destinatarios en 100 si es un usuario normal o sin límite si es un usuario VIP o especial.

Opcional:

1.- Realizar un script que chequee mensualmente la correcta implementación de estos límites para asegurar así la salud de nuestro servicio de correo.

 

2.- Crear 2 o más grupos en Active Directory con el nombre por ejemplo EXCHLIMIT100 y EXCHLIMIT9999, mediante una tarea diaria comprobar si un usuario es miembro del grupo EXCHLIMIT9999, en el caso que no lo sea añadirle el grupo EXCHLIMIT100 y ejecutar el primer scritp del artículo con el listado de miembros de este grupo.

Espero que os sea útil.

Hasta pronto.

Related Posts Plugin for WordPress, Blogger...
Etiquetas: , , , ,


Leave a Reply

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>