Sunday, July 22nd, 2018

Конфигурирование брандмауэра ISA в качестве выходного фильтрующего SMTP релея (Outbound Filtering SMTP Relay)

Published on Февраль 6, 2009 by   ·   Комментариев нет

В моей статье Конфигурирование брандмауэра ISA в качестве входного фильтрующего SMTP релея я обсудил процедуры, которые Вы можете использовать для того, чтобы сделать брандмауэр ISA (ISA Server 2004) входным фильтрующим SMTP релеем, что поможет разгрузить часть мощностей, занимающихся фильтрацией спама. В этой статье, основываясь на конфигурации принятой в прошлой статье, мы покажем как конфигурировать брандмауэр ISA в качестве выходного фильтрующего SMTP переключателя (outbound filtering SMTP relay).

Выигрыш от фильтрования входящей электронной почты очевиден; каждая сеть, хостящая свои собственные SMTP сервисы, постоянно подвергается нападениям спамеров и писателей почтовых вирусов, которые посылают злонамеренные входящие SMTP сообщения. Однако Вы можете получить пользу также и от фильтрования исходящих почтовых соединений. Например, если один или больше из Ваших пользователей заражены вирусом электронной почты, они могут отсылать сообщения с предопределённым прикреплённым именем или типом файлов. Т.е. в теле сообщения или в теме могут содержаться ключевые слова. Вы можете блокировать этим сообщениям возможность проследования через Вашу сеть, конфигурируя брандмауэр ISA так, чтобы он фильтровал исходящие SMTP сообщения. Это не только предохраняет сеть от распространения злонамеренных деяний, но также уменьшает общую загрузку полосы пропускания на Ваших связующих звеньях Internet.

Мы будем основываться на конфигурации, принятой в прошлой статье. Мы обсудим следующие процедуры, необходимые для завершения конфигурации, чтобы сделать брандмауэр ISA входным и выходным SMTP фильтрующим релеем:

  • Конфигурирование Exchange сервера для использования брандмауэра ISA в качестве его smart-хоста
  • Конфигурирование SMTP серверного правила публикации, чтобы «прослушивать» (listen) на внутреннем интерфейсе брандмауэра ISA
  • Конфигурирование SMTP сервиса на брандмауэре ISA, чтобы позволить осуществлять выходное переключение из Exchange (или любого другого почтового) SMTP сервиса
  • Конфигурирование системной политики на брандмауэре ISA, чтобы разрешить выходной SMTP из локальной хост-сети(Local Host Network)
  • Подтверждение того, что сообщение электронной почты было отфильтровано
  • Проверка заголовков электронной почты в сообщении, отосланном через SMTP переключатель, которому был разрешён выход во вне

Конфигурирование Exchange сервера для использования брандмауэра ISA в качестве его Smart-хоста

Smart-хостом является машина, которая берёт на себя обязательство по анализу имени и проведению SMTP сообщений для другого SMTP сервера. В этом примере создания выходного SMTP релея для Exchange сервера из брандмауэра ISA, SMTP сервис брандмауэра ISA будет действовать в качестве smart-хоста для Exchange сервера. Затем преобразование доменного имени электронной почты и проведение SMTP сообщений для передачи к соответствующему SMTP серверу становится обязанностью SMTP сервиса брандмауэра ISA.

Выполните следующие действия на Exchange сервере, чтобы сконфигурировать его для использования SMTP сервиса брандмауэра ISA в качестве smart-хоста:

  1. На Exchange сервере откройте System Manager.
  2. В консоли Exchange System Manager раскройте узел Servers и затем раскройте имя сервера. Раскройте узел Protocols и затем раскройте узел SMTP.
  3. Кликните правой кнопкой мыши на Default SMTP Virtual Server(виртуальный сервер SMTP по умолчанию) и кликните Properties(свойства).
  4. В диалоговом окне Default SMTP Virtual Server Properties кликните на вкладке Delivery(доставка).
  5. На вкладке Delivery кликните кнопку Advanced.
  6. В диалоговом окне Advanced Delivery введите IP адрес «слушателя»(listener), который SMTP сервис использует, чтобы «прослушивать»(listen) SMTP соединения. В этом примере SMTP сервис брандмауэра ISA «прослушивает» соединения 10.0.0.1 на его интерфейсе внутренней сети, так что мы вводим это значение в текстовое поле. Убедитесь, что значение заключено в прямые скобки, поэтому в текстовом поле это выглядит как [10.0.0.1]. Кликните OK.

    Правило брандмауэр разрешить smtp

  7. Кликните Apply и затем кликните OK в текстовом поле Default SMTP Virtual Server.
  8. Перезапустите SMTP сервис на Exchange сервере.

Конфигурирование SMTP серверного правила публикации, чтобы «прослушивать» на внутреннем интерфейсе брандмауэра ISA

В прошлой статье мы сконфигурировали SMTP серверное правило публикации, чтобы «прослушивать» входящую почту на внешнем интерфейсе брандмауэра ISA и пропускать её к внутреннему IP адресу брандмауэра ISA(на котором SMTP сервис сконфигурирован для «прослушивания»). Мы можем сконфигурировать SMTP серверное правило публикации, чтобы также «прослушивать» почту, прибывающую на внутренний интерфейс брандмауэра ISA. Хорошей вещью в новом брандмауэре ISA является то, что нам не нужно создавать новое серверное правило публикации; мы можем реконфигурировать имеющееся серверное правило публикации, чтобы принимать исходяшие из корпоративной сети сообщения.

Выполните следующие действия, чтобы сконфигурировать SMTP серверное правило публикации для приёма SMTP сообщений, прибывающих на внутренний интерфейс брандмауэра ISA:

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 раскройте имя сервера и затем кликните на узел Firewall Policy(политика брандмауэра). В узле Firewall policy двойной клик на серверном правиле публикации SMTP Relay(SMTP переключателя), который Вы создали, чтобы разрешить входное SMTP переключение.
  2. В диалоговом окне SMTP Relay Properties(свойства SMTP переключателя) кликните на вкладке Networks. На вкладке Networks установите флажок на Internal (внутренняя). Кликните Apply и затем кликните OK.

    Правило брандмауэр разрешить smtp

Конфигурирование SMTP сервиса на брандмауэре ISA, чтобы разрешить выходное переключение из Exchange (или любого другого почтового) SMTP сервиса

Следующем шагом является конфигурирование SMTP сервиса на брандмауэре ISA, чтобы принимать выходящие сообщения для переключения на любой домен электронной почты. Это делает SMTP сервис на брандмауэре ISA «открытым релеем(open relay)». Это напоминает «открытый релей», потому что машина способна переключать на любой почтовый домен. Однако мы можем сделать этот открытый переключатель более избирательным, позволив только машине-серверу Exchange в корпоративной сети переключать через SMTP сервис брандмауэра ISA.

Учтите, что характеристики переключателя для входящих и исходящих сообщений весьма различны. Сервис SMTP на брандмауэре ISA сконфигурирован так, чтобы позволять входное переключение от всех SMTP серверов к определённому домену или доменам, которые мы хостим. Почта, прибывающая для любого другого домена, отклоняется. В противоположность этому, мы разрешим Exchange серверу переключать почту на все почтовые домены. Только Exchange серверу будет позволено выходное переключение на все почтовые домены; никакой другой хост не будет в состоянии переключать через брандмауэр ISA(за исключением почты, предназначенной для почтовых доменов, которые мы хостим).

Выполните следующие действия для конфигурирования SMTP сервиса на брандмауэре ISA, чтобы разрешить Exchange серверу переключать выходящие сообщения на все почтовые домены:

  1. На ISA firewall-устройстве откройте консоль менеджера Internet Information Services (IIS) Manager из меню Administrative Tools.
  2. В консоли Internet Information Services (IIS) Manager раскройте имя сервера и кликните Default SMTP Virtual Server(виртуальный сервер SMTP по умолчанию). Кликните правой кнопкой на узле Default SMTP Virtual Server в левой части консоли и кликните Properties(свойства).
  3. В диалоговом окне Default SMTP Virtual Server Properties кликните вкладку Access(доступ).
  4. На вкладке Access кликните кнопку Relay в фрейме Relay restrictions(ограничения переключателя).
  5. В диалоговом окне Relay Restrictions подтвердите, что опция Only the list below(только список ниже) выбрана. Кликните кнопку Add.
  6. В диалоговом окне Computer выберите опцию Single computer(единичный компьютер) и введите IP адрес Exchange сервера в корпоративной сети. В этом примере Exchange сервер имеет IP адрес 10.0.0.2, так что мы вводим это в текстовое поле. Кликните OK.

    Правило брандмауэр разрешить smtp

  7. В диалоговом окне Relay Restrictions мы теперь видим IP адрес Exchange сервера в списке Computers. Обратите внимание, что мы не выбираем опцию Allow all computers which successfully authenticate to relay, regardless of the list above(позволить всем компьютерам, успешно прошедшим проверку подлинности, переключать, независимо от списка выше). Это помешает спамерам подтверждать подлинность с SMTP сервисом на брандмауэре ISA и использовать удостоверенный компьютер как подтверждающий подлинность SMTP переключатель. Мы могли бы включить эту опцию и сконфигурировать очень сложный пароль для учётной записи, которую Exchange сервер мог бы использовать, чтобы удостоверять отсылку выходящей почты. Проблема с такой конфигурацией заключается в том, что мы предпочли бы сделать брандмауэр ISA членом домена Active Directory, чтобы иметь преимущества превосходного уровня безопасности, который Вы получаете в этом случае. Если брандмауэр ISA является членом домена, спамеры могут использовать в своих интересах относительно слабый набор паролей, которые пользователи устанавливают для себя. Т.к. мы не контролируем пользовательские пароли в домене, мы не позволяем заверенным пользователям переключать через брандмауэр ISA. Кликните OK.

    Правило брандмауэр разрешить smtp

  8. Кликните Apply и затем кликните OK в диалоговом окне Default SMTP Virtual Server Properties.
  9. Перезапустите сервис IIS SMTP.

Конфигурирование системной политики на брандмауэре ISA, чтобы разрешить исходящий SMTP трафик из локальной хост-сети

По умолчанию на брандмауэре ISA разрешено отправление SMTP сообщений на SMTP сервера во внутренней сети. Это позволяет брандмауэру ISA посылать SMTP сообщения в ответ на предупреждения(Alerts). Затем мы должны сконфигурировать системную политику брандмауэра ISA для разрешения исходящих сообщений из локальной хост-сети брандмауэра во внешнюю сеть по умолчанию. Это нужно для того, чтобы поддержать исходящие SMTP сообщения, которые могут быть посланы в любое местоположение за пределами внутренней сети по умолчанию.

Выполните следующие действия, чтобы сконфигурировать системную политику(System Policy):

  1. В консоли управления Microsoft Internet Security and Acceleration Server 2004 раскройте имя сервера и затем кликните узел Firewall Policy(политика брандмауэра).
  2. На узле Firewall Policy кликните вкладку Tasks в панели задач(Task Pane). На вкладке Tasks кликните ссылку Show System Policy Rules(показать правила системной политики).
  3. В списке правил системной политики кликните правой кнопкой мыши на правиле Allow SMTP from ISA Server to trusted server(разрешить SMTP от ISA сервера к доверяемому серверу) и кликните Edit System Policy.
  4. В System Policy Editor подтвердите, что красная стрелка указывает на SMTP и кликните вкладку To. На вкладке To кликните кнопку Add.
  5. В диалоговом окне Add Network Entities(добавить сетевые объекты) кликните папку Networks и сделайте двойной щелчок на элементе External. Кликните Close.
  6. Вкладка To должна теперь отображать и External(внешнюю) и Internal(внутреннюю) сети. Кликните OK.

    Правило брандмауэр разрешить smtp

  7. Кликните Apply, чтобы сохранить изменения и обновить политику брандмауэра.
  8. Кликните OK в диалоговом окне Apply New Configuration(применить новую конфигурацию).

Подтверждение, что сообщение электронной почты было отфильтровано

Теперь давайте протестируем конфигурацию фильтрования. В примере, который мы сконфигурировали в прошлой статье, мы настроили SMTP Message Screener(экранировщик сообщений) на блокировку сообщений, содержащих прикрепления с файловым расширением .pif. Из Outlook MAPI клиента (обратите внимание, что мы делаем это из Outlook MAPI клиента, поскольку SMTP сервис Exchange сервера не сконфигурирован, чтобы переключать почту от хостов внутренней сети, подключённых к нему через SMTP) мы пошлём сообщение с опасным вложением.

К сообщению прикреплён файл с расширением .pif. После посылки сообщения мы можем проверить папку \Inetpub\mailroot\Badmail на брандмауэре ISA и увидеть, что там находятся три файла, связанных с отфильтрованным сообщением. Мы прошли подробности об этих файлах в прошлой статье. Это подтверждает, что сообщение было не пропущено, а отфильтровано SMTP экранировщиком сообщений брандмауэра ISA.

Smtp сервера на iis релей

Мы можем просмотреть файл регистрации SMTP фильтра и увидеть элемент для этого сообщения. Элемент файла регистрации сообщает подробности о том, почему сообщение было блокировано.

Smtp сервера на iis релей

Проверка заголовков электронной почты в сообщении, отосланном через SMTP релей, которому был разрешён выход вовне

Теперь давайте протестируем конфигурацию для отсылки вовне легитимных сообщений электронной почты. Посылаем почтовое сообщение из Outlook MAPI клиента, который подключен к Exchange серверу.

В этом примере я послал тестовое сообщение на мою hotmail-учётную запись. Значимые заголовки электронной почты показаны ниже.

Received: from ISALOCAL ([24.1.226.66]) by mc9-f6.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824); Sun, 26 Dec 2004 08:13:14 -0800
Received: from EXCHANGE2003BE.msfirewall.org ([10.0.0.2]) by ISALOCAL with Microsoft SMTPSVC(6.0.3790.0); Sun, 26 Dec 2004 10:13:18 -0600
Received: from EXCHANGE2003BE ([10.0.0.2]) by EXCHANGE2003BE.msfirewall.org with Microsoft SMTPSVC(6.0.3790.0); Sun, 26 Dec 2004 10:13:11 -0600
X-Message-Info: JGTYoYF78jG+oarT45PqEpoyA3I3W9mg
X-MSMail-Priority: Normal
Return-Path: tshinder@msfirewall.org
X-OriginalArrivalTime: 26 Dec 2004 16:13:11.0865 (UTC) FILETIME=[CBEB8290:01C4EB65]

Мы видим в показах сообщений, что последняя пересылка, уходящая через нашу сеть- от SMTP сервиса брандмауэра ISA. Здесь показывается имя SMTP сервиса брандмауэра ISA и IP адрес на публичном интерфейсе NAT устройства перед брандмауэром ISA.

Резюме

В этой статье мы прошли концепции и процедуры, требующиеся для того, чтобы сделать брандмауэр ISA выходным SMTP фильтрующим релеем. Мы основывались на процедурах, которые мы выполнили в моей прошлой статье Configuring the ISA Firewall as an Inbound Filtering SMTP Relay(конфигурирование брандмауэра ISA в качестве входного фильтрующего SMTP релея), чтобы сделать брандмауэр ISA и входным и выходным SMTP фильтрующим релеем.

Источник www.isaserver.org








Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]