過濾進入郵件的好處是顯而易見的,同樣的,你可以對出站的郵件進行過濾。例如,如果一個或者多個你內部網絡中的用戶中了郵件病毒,病毒使用預定的附件名字、附件類型或者關鍵字發送大量的垃圾郵件,此時你就可以通過配置ISA防火墻過濾出站郵件來阻止病毒的郵件傳送。這樣不僅僅阻止病毒的擴散,同樣也減少了Internet帶寬的消耗。 在默認SMTP虛擬服務器屬性對話框,點擊應用再點擊確定; 注意:這兒有有個問題。因為ISA防火墻上的SMTP服務已經綁定了內部網絡接口的IP地址,所以應該這里ISA是不能綁定在內部網絡上進行偵聽的。我已經給Tom提出了此疑問,在Tom回復后,我再修改此文章。 在中繼限制對話框,我們現在可以看到Exchange服務器的IP地址顯示在計算機列表中。注意我們沒有選擇允許所有通過驗證的計算機,而不管上面的列表,這樣可以阻止垃圾郵件制造者使用通過驗證后使用ISA防火墻上的SMTP服務來發送郵件。點擊確定; 在默認SMTP虛擬服務器屬性對話框,點擊應用再點擊確定; 點擊應用以保存修改和更新防火墻策略; 我們可以檢查SMTP郵件篩選器日志文件,然后可以看到過濾郵件的日志,它提供了郵件為什么被過濾的詳細說明。
我們的試驗網絡拓樸結構和“配置ISA防火墻作為進入的SMTP中繼過濾”一文一致,在本文中,我們將討論以下步驟來配置ISA防火墻作為進站和出站的SMTP中繼過濾:
配置Exchange服務器使用ISA防火墻作為它的前端主機(Smart Host);
建立SMTP服務器發布規則,偵聽ISA防火墻的內部接口;
配置ISA防火墻上的SMTP服務,為內部的郵件服務器(Exchange或其他任何郵件服務)提供出站中繼;
配置ISA防火墻的系統策略,允許本地主機網絡的所有出站SMTP訪問;
確認對出站郵件進行了過濾;
檢查通過ISA防火墻的SMTP中繼發送的郵件的郵件頭;
前端主機(Smart Host)是為另外一臺SMTP服務器提供名字解析服務和SMTP郵件轉發功能的計算機。對于將ISA防火墻作為出站中繼代理的Exchange服務器來說,ISA防火墻就是Exchange服務器的的前端主機。ISA防火墻上的SMTP服務解析郵件域名,然后轉發郵件到對應的SMTP服務器上。
在Exchange服務器上執行以下步驟來配置它使用ISA防火墻上的SMTP服務作為它的前端主機:
在Exchange服務器上,打開系統管理器;
在Exchange系統管理器管理控制臺,展開服務器節點下的服務器名,再展開協議節點下的SMTP節點;
右擊默認SMTP虛擬服務器,然后點擊屬性;
在默認SMTP虛擬服務器屬性對話框,點擊發送標簽;
在發送標簽,點擊高級按鈕;
在高級發送對話框,輸入偵聽SMTP連接請求的SMTP服務的IP地址,在此例中,ISA防火墻上的SMTP服務在內部網絡接口的IP地址 10.0.0.1上偵聽連接請求,所以我們輸入它;在輸入的時候,需要使用方括號“[]”來包含輸入的IP地址,所以我們輸入[10.0.0.1],點擊確定;
在Exchange服務器上重啟SMTP服務。
建立SMTP服務器發布規則,偵聽ISA防火墻的內部接口
在“配置ISA防火墻作為進入的SMTP中繼過濾”一文中,我們建立了SMTP服務器發布規則來在ISA防火墻的外部接口偵聽進入的SMTP請求,然后轉發到在ISA防火墻的內部網卡的IP地址上偵聽的SMTP服務上。我們同樣可以建立SMTP服務器發布規則來偵聽到達ISA防火墻的內部網卡的SMTP 請求。不過非常方便的是我們可以直接修改現存的SMTP服務器發布規則,而不需要新建一條SMTP服務器發布規則。
執行以下步驟來配置SMTP服務器發布規則,以在ISA防火墻的內部網絡接口上接收進入的SMTP請求:
在ISA Server 2004的管理控制臺,展開服務器名,然后點擊防火墻策略,右擊右邊面板中的允許進入SMTP中繼的SMTP Relay規則;
在SMTP Relay屬性對話框,點擊網絡標簽。在網絡標簽,勾選內部網絡,點擊應用,然后點擊確定;
接下來是配置ISA防火墻上的SMTP服務,讓它為所有域名的出站郵件提供中繼服務,這樣將使ISA防火墻上的SMTP服務成為一個“開放中繼”。不過,我們可以更嚴格的限制“開放中繼”,只允許內部網絡中的Exchange服務器通過它來進行中繼。
注意,進站和出站郵件的中繼特性是完全不同的。ISA防火墻上的SMTP服務配置為允許所有SMTP服務器發送郵件到我們指定的域名,進入的到達其他域的郵件將會被拒絕。與之相對的是,我們將允許中繼Exchange服務器的郵件到任何域。只有Exchange服務器才會被允許中繼郵件到所有域,其他任何主機都不允許,除非是到達我們自己域的郵件。
在ISA防火墻上執行以下步驟來允許中繼Exchange服務器的郵件到所有郵件域:
在ISA防火墻計算機上,打開管理工具中的Internet信息管理器管理控制臺;
在Internet信息管理器管理控制臺,展開服務器名,然后右擊默認SMTP虛擬服務器,點擊屬性;
在默認SMTP虛擬服務器屬性對話框,點擊訪問標簽;
在訪問標簽,點擊中繼限制框架中的中繼按鈕;
在中繼限制對話框,確定只選擇了只有下面的列表,點擊添加按鈕;
在計算機對話框,選擇單一計算機,然后在下面的IP地址中輸入內部網絡中Exchange服務器的IP地址,在此例中是10.0.0.2,輸入后點擊確定;
重啟IIS的SMTP服務;
配置ISA防火墻的系統策略,允許本地主機網絡的所有出站SMTP訪問
ISA防火墻的默認系統策略允許ISA防火墻訪問默認內部網絡中的SMTP服務器,這樣便于ISA防火墻發出警告郵件。為了讓出站的郵件發送到外部網絡,我們需要修改ISA防火墻的系統策略來允許ISA防火墻訪問外部網絡的SMTP服務。
執行以下步驟以配置系統策略:
在ISA Server 2004的管理控制臺,展開服務器名,然后防火墻策略;
在防火墻策略節點,點擊任務面板的任務標簽。在任務標簽,點擊顯示系統策略規則鏈接;
在系統策略列表,右擊Allow SMTP from ISA Server to trusted server規則,然后點擊編輯系統策略;
在系統策略編輯器,確定紅色箭頭指向了SMTP,然后點擊到標簽,點擊添加按鈕;
在添加網絡實體對話框,點擊網絡目錄,雙擊外部,然后點擊關閉。
此時到標簽中顯示出了外部和內部網絡,點擊確定。
確認對出站郵件進行了過濾
現在我們來測試郵件過濾的配置。在“配置ISA防火墻作為進入的SMTP中繼過濾”一文中我們已經配置了SMTP郵件篩選器阻止附件包含.pif文件的郵件。因為我們的 Exchange服務器沒有允許客戶使用SMTP連接,我們使用Outlook MAPI客戶來發送一個包含.pif文件附件的郵件。
在發送此郵件以后,我們可以在ISA防火墻的%systemdrive%\Inetpub\mailroot\Badmail目錄中發現三個文件,它們就是被SMTP篩選器過濾掉的郵件,我們已經在“配置ISA防火墻作為進入的SMTP中繼過濾”一文中進行了說明。
現在我們通過發送正常的郵件來測試我們的配置,我們仍然通過連接到Exchange服務器的Outlook MAPI客戶來發送郵件。
在這個例子中我發送一封測試郵件到我的hotmail郵箱中,郵件頭如下所示:
Received: from ISALOCAL ([24.1.226.66]) by mc9-f6.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824); Sun, 26 Dec 2004 08:13:14 -0800
Received: from EXCHANGE2003BE.msfirewall.org ([10.0.0.2]) by ISALOCAL with Microsoft SMTPSVC(6.0.3790.0); Sun, 26 Dec 2004 10:13:18 -0600
Received: from EXCHANGE2003BE ([10.0.0.2]) by EXCHANGE2003BE.msfirewall.org with Microsoft SMTPSVC(6.0.3790.0); Sun, 26 Dec 2004 10:13:11 -0600
X-Message-Info: JGTYoYF78jG+oarT45PqEpoyA3I3W9mg
X-MSMail-Priority: Normal
Return-Path: tshinder@msfirewall.org
X-OriginalArrivalTime: 26 Dec 2004 16:13:11.0865 (UTC) FILETIME=[CBEB8290:01C4EB65]
我們可以看到郵件頭部顯示了郵件離開我們的網絡時,最后一個節點是ISA防火墻的SMTP服務。郵件通過ISA防火墻上的SMTP中繼服務進行轉發,然后通過ISA防火墻的外部接口到達hotmail的郵件服務器。
