ISA2004防火牆利用內建的SMTP過濾器與SMTP郵件篩選器,在郵件進入到內部網絡前進行過濾,這樣可以分擔內部的垃圾郵件過濾設備和受保護的網絡中的Exchange服務器的郵件過濾任務。
試驗目的 : 通過使用ISA2004的郵件篩選來實現郵件中的附件篩選
在我試驗的環境中,我已經具備了下列條件:
1. DENVER是Exchange服務器、DNS服務器
2. 外網的Istanbul以安裝了SMTP與POP3
目 錄
1.在Florence安裝ISA2004之前先在機器上安裝IIS 6.0 SMTP服務
2.在Florence安裝ISA2004標準版
3.在Florence配置ISA防火牆的SMTP服務器
4.在Itanbul上配置郵件服務器
5.爲外網與內網利用OE(Outlook Express)配置賬號
6.配置denver上的DNS服務器
7.在ISA防火牆上創建服務器發佈規則來發布Denver的DNS服務與防火牆上的SMTP服務
8.配置完成後,來發送郵件測試外網郵局發送到內部郵件是否成功。
9.在ISA上設置SMTP篩選器,來限制郵件的發送,例來限制發送附件文件擴展名稱爲 .pif 的文件
1.在Florence安裝ISA2004之前先在機器上安裝IIS 6.0 SMTP服務
在開始 -- 設置 -- 控制面板-- 雙擊添加刪除程序 -- 選擇添加/刪除windows組件 -- 在windows組件嚮導 -- 選擇“應用程序服務器” --選擇“Internet信息服務(IIS)”--選擇“SMTP Service” 如下圖
2.在Florence安裝ISA2004標準版
在Florence上放入ISA2004的安裝光盤 在彈出安裝嚮導 選擇 “安裝ISA Server 2004 ”
在歡迎使用Microsoft ISA Server 2004 安裝嚮導 點擊下一步
在協議許可上 選擇“我接受協議” 點擊下一步
在用戶信息裏 輸入個人信息 點擊下一步
在安裝類型 選擇“自定義” 點擊下一步
在 自定義安裝 除了默認選擇的防火牆服務、高級日誌與ISA服務器管理外,點擊“消息篩選程序”然後選擇“這項功會被安裝到本地硬盤上”,然後點擊下一步
在內部網絡 點擊“添加”
出現如下圖 可以手工輸入IP地址範圍也可以選擇網卡,我這裏 點擊“選擇網卡”
在 選擇網卡 “選擇內網網卡” 在把“添加下列專用範圍:。。。。”勾選去掉 如下圖所示
如下圖所示 出來剛纔選擇的內網IP 點擊 “確定”
如下圖所示 在內部網絡 點擊下一步
在防火牆客戶端連接設置 不要勾選“允許運行早其版本的防火牆客戶端軟件的計算機連接” 點擊下一步
在 服務 選擇 下一步
如下圖所示 點擊“安裝”
在 安裝嚮導完成 點擊“完成” 如下圖
3.在Florence配置ISA防火牆的SMTP服務器
點擊開始--程序--管理工具--點擊Internet信息服務管理器 如下圖
在打開的Internet信息服務管理器,依次展開服務器,在展開默認SMTP虛擬服務器,右擊 默認SMTP虛擬服務器,點擊屬性 如下圖所示
在 默認SMTP 虛擬服務器 屬性 選擇“常規”標籤,從IP地址列表中選擇ISA防火牆的內部IP地址, 如下圖所示
在點擊“訪問”標籤 ,然後點擊“中繼”,設置爲“僅以下表除外”,點擊應用,然後點擊確定。 如下圖所示
在控制檯的左邊,右擊域節點,選擇新建,然後點擊域
在歡迎使用新建SMTP域嚮導 選擇“遠程” 然後點擊下一步 如下圖
如下圖 輸入內部郵件域的域名,我這是isatest.com 輸入完後 ,點擊 完成
如下圖 右擊 控制檯右邊的 isatest.com 選擇屬性
在“常規”標籤,勾選“允許將傳入郵件中繼到此域”,在路由域,勾選“見所有郵件轉發到中繼主機”,然後輸入內部郵件服務器或者垃圾郵件過濾設備的IP地址
4.在Itanbul上配置郵件服務器
如下圖 在Itanbul找到並打開的POP3服務
在打開的POP3服務控制檯 創建一個新域
如下圖所示 創建域名爲 163.com
在選擇 添加郵箱
在域中創建郵箱用戶名 如下圖所示
在開始--程序--管理工具--選擇“Internet信息服務管理器”
在IIS裏展開服務器,找到默認SMTP虛擬服務器,右擊選擇屬性
在‘常規’中選IP地址爲本機IP 如下圖
在“訪問”標籤, 點擊中繼設置爲 “僅以下表除外”,點擊確定
5.爲外網與內網利用OE(Outlook Express)配置賬號
爲外網配置OE
在開始--程序--找到OE(Outlook Express) 雙擊 如下圖
在彈出的嚮導 輸入顯示名 如下圖
填寫 電子郵箱地址 如下圖
填寫 接收郵件POP3服務器IP與發送郵件服務器的IP 如下圖所示
填寫 用戶名與密碼 如下圖 點擊下一步
點擊 完成 外網OE配置成功。
爲內網配置OE
在開始--程序--選擇OE 雙擊打開 如下圖
在彈出的嚮導 輸入顯示名 如下圖
輸入 電子郵件地址 如下圖
填寫 接收郵件的POP3與發送郵件服務器的IP地址 如下圖 選擇下一步
填寫 帳戶名與密碼 如下圖 選擇下一步
小測下 點擊“發送/接收” 結果 報錯誤說 無法連接 服務器 懷疑服務沒開
在找到服務管理這裏 想起來了 Exchange的POP3 服務默認是禁用的 啓用起來就好了
6.配置denver上的DNS服務器
DNS服務的提供方式有兩種:第一種則是DNS區域由ISP提供解析(如果是用ISP來提供域名解析,只需要在你的公共DNS區域中獎勵對應的A記錄與MX記錄。)
第二種是自己架設自己的DNS服務器,然後通過ISA防火牆來發布DNS服務(這個試驗就是用的這個方法)
在開始--程序--管理工具--選擇DNS 如下圖
先添加個主機記錄 如下圖 在控制檯右邊,點擊鼠標右鍵,選擇 新建主機
在新建主機 裏填寫記錄 如下圖 通常使用名爲mail ,輸入想在ISA防火牆的服務器發佈規則中使用的外部接口的IP地址 點擊完成
右擊右邊的空白處 然後選擇 新建郵件交換記錄(MX)
在 彈出的新建資源記錄 裏 在郵件服務器的完全合格的域名(FQDN)填寫剛創建好的主機A記錄 如下圖所示
7.在ISA防火牆上創建服務器發佈規則來發布Denver的DNS服務與防火牆上的SMTP服務
在ISA2004管理控制檯,展開服務器,然後點擊防火牆策略節點選擇新建---點擊服務器發佈規則 如下圖
在歡迎使用新建服務器發佈規則嚮導 填寫爲規則輸入個名字 如下圖
在 選擇服務器 讓輸入服務器IP地址 在此輸入內部DNS服務器IP地址 如下圖
在選擇的協議裏 選擇DNS服務器 點擊 下一步
在IP地址裏 勾選“外部”網絡 點擊下一步
在正在完成 服務器發佈規則 嚮導 點擊完成。
接下來在發佈SMTP服務器
在ISA Server 2004 管理控制檯,展開服務器 ,然後點擊防火牆策略右擊 選擇新建--點擊服務器發佈規則
在 歡迎使用新建服務器發佈規則嚮導 中爲規則輸入名稱 如下圖
如下圖 選擇服務器 在輸入服務器IP 輸入內部SMTP服務器IP地址 如下圖 也就是說內網IP地址
在選擇協議 裏 選擇 SMTP服務器 ,選擇 下一步
在 IP地址 ,勾選“外部”網絡 , 點擊下一步
在正在完成新建服務器發佈規則嚮導 點擊完成
如下圖所示 點擊 應用以保存修改和更新防火牆策略 (另外,還需建立訪問規則以允許ISA防火牆轉發郵件到對應的郵件服務器所放置的網絡。在系統規則中默認允許ISA防火牆轉發郵件到內部網絡,所以在本試驗不需要在建立額外的訪問規則)
8.配置完成後,來發送郵件測試外網郵局發送到內部郵件是否成功。
9.在ISA上設置SMTP篩選器,來限制郵件的發送,例來限制發送附件文件擴展名稱爲 .pif 的文件
在ISA2004管理控制檯,展開服務器,然後點擊插件節點 ,雙擊右邊面板中的SMTP過濾器 如下圖
在SMTP 過濾器屬性 裏有五個標籤,點擊附件標籤,選擇添加 如下圖
在郵件附件規則 選擇啓用次規則 在附件擴展名添加 .pif 文件 爲了演示郵件篩選器是如何工作的,在這裏選擇保持郵件選項 如下圖(目的允許ISA防火牆在服務器上保存郵件) 點擊確定。
在SMTP篩選器屬性 點擊確定。 如下圖
如下圖所示 點擊 應用以保存修改和更新防火牆策略
來測試下 在外網 用STTEST.163.COM給內網系統管理員發信 如下圖
內網管理員沒有收到信件 在看ISA服務器上的SMTP郵件篩選器的日誌 如下圖
現在的信件在哪,由於在SMTP篩選器上選擇的是保存信件所以可以在ISA服務器上的C:\Inetpub\mailroot\Badmail目錄找到它。(對於任何一個保持的郵件,在這個目錄裏都能看到3個文件:分別用BAD、BDP、與BDR文件,.BAD文件是郵件的實際內容;.BDP是無用信息的回集;.BDR文件顯示了郵件沒有被髮送的原因)
