Microsoft Exchange Server — почтовый сервер и сервер календаря , разработанный корпорацией Microsoft . Работает исключительно на операционных системах Windows Server .
Первая версия называлась Exchange Server 4.0, чтобы позиционировать ее как преемника связанной с ней Microsoft Mail 3.5. Exchange изначально использовал службу каталогов X.400 , но позже перешел на Active Directory . До версии 5.0 она поставлялась в комплекте с почтовым клиентом под названием Microsoft Exchange Client . Это было прекращено в пользу Microsoft Outlook .
Exchange Server в первую очередь использует собственный протокол MAPI для связи с почтовыми клиентами , но впоследствии добавил поддержку POP3 , IMAP и EAS . Стандартный протокол SMTP используется для связи с другими почтовыми серверами Интернета.
Exchange Server лицензируется как локальное программное обеспечение и как программное обеспечение как услуга (SaaS). В локальной форме клиенты приобретают клиентские лицензии доступа (CAL); в качестве SaaS Microsoft взимает ежемесячную плату за обслуживание.
Microsoft продала ряд более простых почтовых продуктов ранее, но первый выпуск Exchange (Exchange Server 4.0 в апреле 1996 года [1] ) был совершенно новой клиент-серверной системой группового ПО на базе X.400 с единым хранилищем баз данных, которая также поддерживала службы каталогов X.500 . Каталог, используемый Exchange Server, в конечном итоге стал службой Active Directory от Microsoft , LDAP -совместимой службой каталогов, которая была интегрирована в Windows 2000 в качестве основы доменов Windows Server .
По состоянию на 2020 год было выпущено десять версий.
Текущая версия, Exchange Server 2019, [3] была выпущена в октябре 2018 года. В отличие от других продуктов Office Server 2019, таких как SharePoint и Skype для бизнеса, Exchange Server 2019 можно было развернуть только на Windows Server 2019, когда он был выпущен. Начиная с накопительного обновления 2022 H1 Exchange 2019 поддерживается на Windows Server 2022. [4] Одной из ключевых особенностей нового выпуска является то, что Exchange Server впервые можно развернуть на Windows Server Core. Кроме того, Microsoft отменила функцию единой системы обмена сообщениями Exchange, что означает, что локальным клиентам Skype для бизнеса придется использовать альтернативные решения для голосовой почты, такие как облачная голосовая почта Azure.
Exchange Server Enterprise Edition поддерживает кластеризацию до 4 узлов при использовании Windows 2000 Server и до 8 узлов с Windows Server 2003. Exchange Server 2003 также представил кластеризацию «активный-активный», но только для кластеров с двумя узлами. В этой настройке оба сервера в кластере могут быть активными одновременно. Это противоположно более распространенному режиму «активный-пассивный» Exchange, в котором серверы отработки отказа в любом узле кластера не могут использоваться вообще, пока их соответствующие домашние серверы активны. Они должны ждать, неактивные, пока домашние серверы в узле не выйдут из строя. Последующие проблемы с производительностью режима «активный-активный» привели к тому, что Microsoft рекомендовала больше не использовать его. [5] Фактически, поддержка кластеризации в режиме «активный-активный» была прекращена в Exchange Server 2007.
Кластеризация Exchange (активный-активный или активно-пассивный режим) подвергалась критике из-за ее требования к серверам в узлах кластера совместно использовать одни и те же данные. Кластеризация в Exchange Server обеспечивает избыточность для Exchange Server как приложения , но не для данных Exchange . [6] В этом сценарии данные можно рассматривать как единую точку отказа , несмотря на описание Microsoft этой настройки как модели «ничего общего». [7] Однако этот пробел был заполнен независимыми поставщиками программного обеспечения и производителями хранилищ с помощью решений «устойчивости сайта», таких как геокластеризация и асинхронная репликация данных. [8] Exchange Server 2007 вводит новую терминологию кластера и конфигурации, которые устраняют недостатки предыдущей «модели общих данных». [9]
Exchange Server 2007 обеспечивает встроенную поддержку асинхронной репликации, смоделированной на основе SQL Server " Log shipping " [10] в кластерах CCR (Cluster Continuous Replication), которые построены на кластерах MSCS MNS (Microsoft Cluster Service — Majority Node Set), которым не требуется общее хранилище. Этот тип кластера может быть недорогим и развертываться в одном или "растягиваться" на два центра обработки данных для защиты от сбоев на уровне всего сайта, таких как стихийные бедствия. Ограничением кластеров CCR является возможность иметь только два узла и третий узел, известный как "избирательный узел" или файловый ресурс-свидетель, который предотвращает сценарии "split brain" [11] , обычно размещаемый как файловый ресурс на транспортном сервере-концентраторе. Второй тип кластера — это традиционная кластеризация, которая была доступна в предыдущих версиях, и теперь называется SCC (Single Copy Cluster). В Exchange Server 2007 развертывание кластеров CCR и SCC было упрощено и улучшено; весь процесс установки кластера происходит во время установки Exchange Server. LCR или локальная непрерывная репликация была названа «кластером бедняка». Она разработана для обеспечения репликации данных на альтернативный диск, подключенный к той же системе, и призвана обеспечить защиту от сбоев локального хранилища. Она не защищает от случая, когда сам сервер выходит из строя.
В ноябре 2007 года Microsoft выпустила SP1 для Exchange Server 2007. Этот пакет обновления включает дополнительную функцию высокой доступности, называемую SCR (Standby Continuous Replication). В отличие от CCR, которая требует, чтобы оба сервера принадлежали кластеру Windows, обычно находящемуся в одном центре обработки данных, SCR может реплицировать данные на некластеризованный сервер, расположенный в отдельном центре обработки данных.
С Exchange Server 2010 компания Microsoft представила концепцию группы доступности баз данных (DAG). Группа DAG содержит серверы почтовых ящиков, которые становятся членами группы DAG. Как только сервер почтовых ящиков становится членом группы DAG, базы данных почтовых ящиков на этом сервере можно копировать на других членов группы DAG. Когда сервер почтовых ящиков добавляется в группу DAG, на сервере устанавливается роль отказоустойчивой кластеризации Windows и создаются все необходимые ресурсы кластеризации.
Как и продукты Windows Server, Exchange Server требует клиентских лицензий на доступ , которые отличаются от лицензий Windows CAL. Корпоративные лицензионные соглашения, такие как Enterprise Agreement или EA, включают лицензии Exchange Server CAL. Они также входят в состав Core CAL. Как и Windows Server и другие серверные продукты Microsoft, есть возможность использовать пользовательские лицензии CAL или лицензии Device CAL. Лицензии Device CAL назначаются устройствам (рабочая станция, ноутбук или КПК), которые могут использоваться одним или несколькими пользователями. [12] Пользовательские лицензии CAL назначаются пользователям, позволяя им получать доступ к Exchange с любого устройства. Пользовательские и клиентские лицензии Device CAL имеют одинаковую цену, однако они не могут использоваться взаимозаменяемо.
Для поставщиков услуг, желающих разместить Microsoft Exchange, доступно лицензионное соглашение поставщика услуг (SPLA), по которому Microsoft получает ежемесячную плату за обслуживание вместо традиционных клиентских лицензий. Доступны два типа клиентских лицензий Exchange: Exchange CAL Standard и Exchange CAL Enterprise. Enterprise CAL — это дополнительная лицензия к стандартной клиентской лицензии.
Microsoft Exchange Server использует фирменный протокол удаленного вызова процедур (RPC), называемый MAPI/RPC , [13] который был разработан для использования Microsoft Outlook . Клиенты, способные использовать фирменные функции Exchange Server, включают Evolution , [14] Hiri и Microsoft Outlook. Thunderbird может получить доступ к серверу Exchange через плагин Owl. [15]
Exchange Web Services (EWS), альтернатива протоколу MAPI, — это документированный протокол на основе SOAP , представленный в Exchange Server 2007. Exchange Web Services используется последней версией Microsoft Entourage для Mac и Microsoft Outlook для Mac — с момента выпуска Mac OS X Snow Leopard компьютеры Mac под управлением OS X включают некоторую поддержку этой технологии через приложение Apple Mail.
Доступ к электронной почте, размещенной на сервере Exchange, также возможен с использованием протоколов POP3 и IMAP4 с использованием таких клиентов, как Windows Live Mail , Mozilla Thunderbird и Lotus Notes . Эти протоколы должны быть включены на сервере. Доступ к почтовым ящикам сервера Exchange также возможен через веб-браузер с использованием Outlook Web App (OWA). В Exchange Server 2003 также была представлена версия OWA для мобильных устройств , называемая Outlook Mobile Access (OMA).
Microsoft Exchange Server до версии 5.0 поставлялся в комплекте с Microsoft Exchange Client в качестве почтового клиента. После версии 5.0 его заменил Microsoft Outlook, входящий в состав Microsoft Office 97 и более поздних версий. [16] Когда был выпущен Outlook 97, Exchange Client 5.0 все еще находился в разработке и позже был выпущен как часть Exchange Server 5.0, в первую очередь потому, что Outlook был доступен только для Windows. Позже, в Exchange Server 5.5, Exchange Client был удален, и Outlook стал единственным клиентом Exchange. Как часть Exchange Server 5.5, Outlook был выпущен для других платформ.
Оригинальный клиент Windows 95 "Inbox" также использовал MAPI и назывался "Microsoft Exchange". Урезанная версия клиента Exchange, не поддерживающая Exchange Server, была выпущена как Windows Messaging , чтобы избежать путаницы; она была включена в Windows 95 OSR2 , Windows 98 и Windows NT 4. Она была прекращена из-за перехода на такие стандарты электронной почты, как SMTP, IMAP и POP3, каждый из которых Outlook Express поддерживает лучше, чем Windows Messaging.
Поддержка Exchange ActiveSync (EAS) была добавлена в Microsoft Exchange Server 2003. Она позволяет совместимым устройствам, таким как устройства Windows Mobile или смартфоны, безопасно синхронизировать почту, контакты и другие данные напрямую с сервером Exchange и стала популярным стандартом мобильного доступа для предприятий благодаря поддержке таких компаний, как Nokia и Apple Inc. [17], а также функциям безопасности и соответствия устройств.
Поддержка push-уведомлений электронной почты была добавлена в Exchange Server 2003 Service Pack 2 и поддерживается Windows Phone 7, [18] телефонами iPhone и Android , [19] но, что примечательно, не поддерживается собственным приложением Apple Mail на macOS .
Политики Exchange ActiveSync позволяют администраторам контролировать, какие устройства могут подключаться к организации, удаленно деактивировать функции и удаленно стирать данные с утерянных или украденных устройств. [20]
Сложность управления Exchange Server, а именно запуск одного или нескольких серверов Exchange, а также серверов синхронизации Active Directory, делает его привлекательным для организаций для приобретения в качестве размещаемой службы.
Это было возможно благодаря ряду поставщиков [21] на протяжении более 10 лет, но по состоянию на июнь 2018 года многие поставщики рекламировали эту услугу как «облачные вычисления» или «программное обеспечение как услуга». Хостинг Exchange позволяет Microsoft Exchange Server работать в Интернете, также называемом облаком, и управляться «поставщиком размещенного Exchange Server» вместо того, чтобы создавать и развертывать систему внутри компании.
Exchange Online — это Exchange Server, предоставляемый как облачный сервис, размещенный самой Microsoft. Он построен на тех же технологиях, что и локальный Exchange Server, и предлагает по сути те же услуги, что и сторонние поставщики, размещающие экземпляры Exchange Server. [22]
Клиенты также могут выбрать сочетание локальных и онлайн-вариантов в гибридном развертывании. [23] Гибридные реализации популярны среди организаций, которые не уверены в необходимости или срочности полного перехода на Exchange Online, а также позволяют выполнять поэтапную миграцию электронной почты .
Гибридные инструменты могут охватывать основной стек серверов Microsoft Exchange, Lync , SharePoint, Windows и Active Directory, а также использовать данные реплик для создания отчетов об опыте пользователей в облаке. [ необходима цитата ]
Exchange Online впервые был предоставлен в качестве размещенной службы в выделенных клиентских средах в 2005 году для избранных пилотных клиентов. [24] Microsoft запустила многопользовательскую версию Exchange Online как часть Business Productivity Online Standard Suite в ноябре 2008 года. [25] В июне 2011 года в рамках коммерческого выпуска Microsoft Office 365 Exchange Online был обновлен с использованием возможностей Exchange Server 2010.
Exchange Server 2010 разрабатывался одновременно как серверный продукт и как сервис Exchange Online.
В феврале 2020 года была обнаружена и использована уязвимость ASP.NET , которая использовала настройки по умолчанию, позволяющие злоумышленникам запускать произвольный код с системными привилегиями, требуя только подключения к серверу, а также входа в любую учетную запись пользователя, что можно сделать с помощью подстановки учетных данных . [26] [27]
Эксплойт опирался на все версии Microsoft Exchange, использующие один и тот же статический ключ проверки для расшифровки, шифрования и проверки «View State» по умолчанию во всех установках программного обеспечения и всех его версиях, где View State используется для временного сохранения изменений на отдельной странице, поскольку информация отправляется на сервер. Таким образом, используемый по умолчанию ключ проверки является общедоступным, и поэтому при его использовании ключ проверки может использоваться для расшифровки и ложной проверки измененного View State, содержащего команды, добавленные злоумышленником. [26] [27]
При входе в систему как любой пользователь загружается любая страница .ASPX , и, запрашивая как идентификатор сеанса входа пользователя, так и правильное состояние просмотра напрямую с сервера, это правильное состояние просмотра может быть десериализовано и затем изменено, чтобы также включить произвольный код , а затем быть ложно проверено злоумышленником. Это измененное состояние просмотра затем сериализуется и передается обратно на сервер в запросе GET вместе с идентификатором сеанса, чтобы показать, что оно от вошедшего в систему пользователя; при законном использовании состояние просмотра всегда должно возвращаться в запросе POST , а не в запросе GET. Эта комбинация заставляет сервер расшифровывать и запускать этот добавленный код со своими собственными привилегиями, что позволяет полностью скомпрометировать сервер, поскольку, следовательно, может быть запущена любая команда. [26] [27]
В июле 2020 года компания Positive Technologies опубликовала исследование, объясняющее, как хакеры могут атаковать Microsoft Exchange Server, не используя какие-либо уязвимости. [28] Оно было включено в десятку лучших методов веб-хакерства 2020 года по версии PortSwigger Ltd. [29]
В 2021 году в Microsoft Exchange Server были обнаружены критические эксплойты нулевого дня . [30] Тысячи организаций пострадали от хакеров, использующих эти методы для кражи информации и установки вредоносного кода. [31] Microsoft сообщила, что эти уязвимости существовали около 10 лет, [32] но были использованы только с января 2021 года. Атака затронула системы электронной почты примерно 250 000 клиентов по всему миру, включая государственные и местные органы власти, политические аналитические центры, академические учреждения, исследователей инфекционных заболеваний и такие предприятия, как юридические фирмы и подрядчики по обороне. [33]
В отдельном инциденте, продолжающаяся кампания по подбору паролей с середины 2019 года по настоящее время (июль 2021 года) [ требуется обновление ] , приписываемая британскими и американскими ( АНБ , ФБР , CISA ) агентствами безопасности ГРУ , использует/использовала общеизвестные уязвимости Exchange, а также уже полученные учетные данные и другие методы для проникновения в сети и кражи данных. [34] [35]
В сентябре 2023 года Microsoft была уведомлена о том, что Microsoft Exchange уязвима для удаленного выполнения кода , включая атаки кражи данных. Microsoft пока не исправила эти проблемы. [36]