Поддержка публикации ISA Server 2000 Exchange Server 2000/2003 с ретрансляторами SMTP. Часть 3. Создание простого ретранслятора анонимного входящего SMTP и ссылки на дополнительные ресурсы

Опубликовано: 14 Апреля, 2023

В части 1 этой серии из трех статей о SMTP-ретрансляторах мы говорили об определении и функциях SMTP-ретрансляторов и о том, как они используются для защиты серверов Exchange, защищенных брандмауэром ISA Server. Во второй части мы более подробно описали особенности и функции различных типов SMTP-ретрансляторов, используемых в производственных сетях. Обязательно ознакомьтесь с этими статьями, если у вас еще не было возможности сделать это.

В этой статье о создании простого анонимного входящего ретранслятора SMTP компьютер ретранслятора SMTP находится на машине между брандмауэром ISA Server и сервером Exchange. Итак, есть три компьютера, брандмауэр ISA Server, SMTP relay и Exchange Server. Важно отметить, что это не единственный способ настроить простую анонимную ретрансляцию входящего SMTP. На самом деле, вы можете найти информацию о том, как настроить брандмауэр ISA Server в качестве анонимного ретранслятора входящего SMTP, в комплекте развертывания ISA Server 2000 Exchange Server 2000/2003.

Наиболее распространенным типом SMTP-ретранслятора является анонимный входящий SMTP-ретранслятор. Этот тип ретрансляции SMTP используется для разрешения входящей почты SMTP на домены, находящиеся под вашим административным контролем. Анонимный ретранслятор входящей почты SMTP принимает почту для ваших доменов и отбрасывает почту с доменов, за которые вы не несете ответственности. Это предотвращает кражу спамерами вашего SMTP-сервера и полосы пропускания.

В этой статье мы рассмотрим следующие темы и процедуры:

  • Установите службу IIS SMTP
  • Настройте свойства службы SMTP IIS, чтобы предотвратить открытую ретрансляцию.
  • Создайте удаленный домен
  • Настройте удаленный домен для ретрансляции на ваш сервер Exchange.
  • Тестирование SMTP-сервера на открытую ретрансляцию

Давайте начнем!

Установите службу IIS SMTP

Из соображений безопасности IIS 6.0 по умолчанию не устанавливается на компьютер с Windows Server 2003. Служба IIS SMTP требуется на компьютере-ретрансляторе SMTP, поэтому ее необходимо установить, если она еще не установлена.

Выполните следующие шаги, чтобы установить компьютер ретрансляции SMTP IIS 6.0:

  1. Нажмите «Пуск», выберите «Панель управления» и нажмите «Установка и удаление программ». В окне «Установка и удаление программ» нажмите кнопку «Установка и удаление компонентов Windows». Вы увидите диалоговое окно установки Windows с просьбой подождать.
  1. В диалоговом окне «Компоненты Windows» нажмите на запись «Сервер приложений» (не ставьте галочку в его флажке!). Щелкните Подробности.

 

  1. В диалоговом окне Application Server щелкните запись Internet Information Services (IIS) (не ставьте галочку в ее поле!). Щелкните Подробности.

 

  1. В диалоговом окне Информационные службы Интернета (IIS) установите флажок Служба SMTP. Нажмите ОК.

 

  1. Нажмите OK в диалоговом окне Сервер приложений.

 

  1. Нажмите «Далее» в диалоговом окне «Компоненты Windows».

 

  1. По мере установки приложения появляется индикатор выполнения.

 

  1. Нажмите «Готово» на странице «Завершение работы мастера компонентов Windows ».

 

 

Настройка виртуального SMTP-сервера без проверки подлинности для анонимной входящей ретрансляции

 

Виртуальный SMTP-сервер создается при установке службы IIS SMTP. Первый виртуальный SMTP-сервер называется Виртуальный SMTP-сервер по умолчанию. На одном компьютере можно создать несколько виртуальных SMTP-серверов. Если вы создаете несколько виртуальных SMTP-серверов, вы можете связать разные IP-адреса с каждым виртуальным SMTP-сервером и по-разному настроить свойства аутентификации и ретрансляции для каждого сервера. Это позволяет создавать виртуальные SMTP-серверы с проверкой подлинности и без проверки подлинности на одном физическом компьютере.

В этой статье мы сосредоточимся на ретрансляторе аутентификации SMTP. Вы можете получить информацию о том, как настроить виртуальные SMTP-серверы с проверкой подлинности и без проверки подлинности на одной и той же машине, в нескольких статьях пакета развертывания ISA Server 2000 Exchange Server 2000/2003. Подробности смотрите в оглавлении.

Выполните следующие шаги, чтобы безопасно настроить виртуальный SMTP-сервер по умолчанию:

  1. Нажмите «Пуск» и выберите «Администрирование». Нажмите на запись диспетчера информационных служб Интернета (IIS).

 

  1. Щелкните правой кнопкой мыши запись «Виртуальный SMTP-сервер по умолчанию» на левой панели консоли. Щелкните команду «Свойства».

 

  1. В диалоговом окне Свойства виртуального SMTP-сервера по умолчанию щелкните вкладку Общие. Щелкните стрелку вниз для раскрывающегося списка IP-адресов и выберите IP-адрес, который вы хотите использовать для анонимного входящего SMTP-ретранслятора. Этот анонимный ретранслятор принимает почту для почтовых доменов, находящихся под вашим административным контролем, и отбрасывает всю остальную входящую почту. Интернет-серверы SMTP используют этот компьютер для отправки почты на сервер Exchange. Нажмите «Применить» после выбора IP-адреса.

 

  1. Нажмите на вкладку Сообщения. У вас есть следующие варианты:

Ограничить размер сообщения до (КБ)
Это то, что служба Microsoft SMTP будет объявлять в килобайтах как максимальный размер сообщения, который может принять этот виртуальный SMTP-сервер. Если почтовый клиент отправляет сообщение, превышающее лимит, клиент получит сообщение об ошибке. Если удаленный сервер поддерживает EHLO, он обнаружит объявленное значение максимального размера сообщения при подключении к виртуальному SMTP-серверу и даже не будет пытаться доставить сообщение, превышающее ограничение. Вместо этого он просто сообщит о недоставке отправителю сообщения. Удаленный сервер, не поддерживающий EHLO, попытается отправить сообщение, размер которого превышает ограничение, но все равно отправит отправителю отчет о недоставке, если сообщение не будет доставлено. По умолчанию 2048 КБ. Минимальное значение — 1 КБ. Чтобы не было ограничений, снимите флажок.

Ограничить размер сеанса до (КБ)
Это максимальный объем данных в килобайтах, принятый во время всего соединения. Это сумма всех сообщений, отправленных во время соединения (применяется только к телу сообщения). Введите значение больше, чем Ограничить размер сообщения до (КБ). Это максимальное значение следует устанавливать с осторожностью, поскольку подключающийся агент передачи сообщений (MTA), скорее всего, повторно отправит сообщение повторно. Размер по умолчанию — 10240 КБ. Это значение должно быть больше или равно значению, введенному для Ограничить размер сообщения до (КБ). Чтобы не было ограничений, снимите флажок.

Ограничить количество сообщений на соединение до
Когда флажок установлен, этот параметр позволяет ограничить количество сообщений, отправляемых в одном соединении. Значение по умолчанию — 20. Эта функция также позволяет повысить производительность системы за счет использования нескольких подключений для доставки сообщений в удаленный домен. Следовательно, по достижении установленного лимита автоматически открывается новое соединение, и передача продолжается до тех пор, пока не будут доставлены все сообщения. Чтобы отключить эту функцию и не иметь ограничений, снимите флажок.

Ограничить количество получателей на сообщение до
Этот параметр ограничивает максимальное количество получателей для одного сообщения. Значение по умолчанию — 100, что является минимальным требуемым числом, указанным в запросе комментариев (RFC) 821. Чтобы отключить эту функцию и не иметь ограничений, снимите флажок. Некоторые клиенты возвращают сообщения с отчетом о недоставке (NDR) после получения сообщения об ошибке, указывающего на превышение максимального числа получателей. В этом случае сервер, на котором запущена служба Microsoft SMTP, не возвращает сообщения с отчетом о недоставке. Он немедленно открывает новое соединение и обрабатывает оставшихся получателей. Например, если ограничение получателей установлено на 100 и передается сообщение со 105 получателями, первые 100 получателей доставляются в одном соединении после получения сообщения об ошибке. Затем открывается новое соединение, и сообщение обрабатывается для оставшихся пяти получателей.

Отправить копию отчета о недоставке по адресу
Когда сообщение невозможно доставить, оно возвращается отправителю с отчетом о недоставке (NDR). Вы можете указать, что копии отчета о недоставке отправляются в определенный почтовый ящик SMTP. Введите адрес электронной почты для почтового ящика.

Каталог нежелательной почты
Когда сообщение невозможно доставить, оно возвращается отправителю с отчетом о недоставке (NDR). Вы можете указать, что копии отчета о недоставке отправляются в место по вашему выбору.

Все отчеты о недоставке проходят тот же процесс доставки, что и другие сообщения, включая попытки повторной отправки сообщения. Если отчет о недоставке достиг предела повторных попыток и не может быть доставлен отправителю, копия сообщения помещается в каталог Badmail. Сообщения, помещенные в каталог Badmail, не могут быть доставлены или возвращены. Регулярно проверяйте каталог и согласовывайте сообщения, так как полный каталог может отрицательно сказаться на производительности службы Microsoft SMTP.

Если вы решите удерживать почту, оцениваемую средством проверки сообщений SMTP, вы можете рассмотреть возможность перемещения каталога Badmail. Если ваш сервер подвергается спам-атаке со стороны спамера, вы должны убедиться, что удерживаемая почта не заполняет раздел операционной системы.

Внесите изменения в конфигурацию и нажмите «Применить».

 

  1. Нажмите на вкладку Доставка. Обратите внимание на записи по умолчанию для интервалов повтора. Если ретранслятор SMTP не может связаться с сервером Exchange, он попытается повторно доставить почту на основе этих интервалов. Не то чтобы после третьей неудачной попытки ретранслятор SMTP продолжал пытаться доставлять почту каждые 240 минут. Возможно, вы захотите уменьшить это значение в том случае, если вам необходимо периодически отключать сервер Exchange для обслуживания.
  1. Нажмите на вкладку Доступ. На этой вкладке есть несколько вариантов. Нажмите кнопку Relay, расположенную в рамке Relay Restrictions (рис. 25).

 

  1. Настройка по умолчанию в Relay Restrictions не позволяет никаким машинам осуществлять ретрансляцию через этот виртуальный SMTP-ретранслятор, за исключением аутентифицированных пользователей (рис. 26). Это глобальная настройка для службы SMTP. Мы переопределим эту конфигурацию реле, настроив удаленный домен на этом SMTP-сервере позже.

Мы не хотим, чтобы кто-либо имел доступ к этой виртуальной машине через «открытую ретрансляцию», независимо от их способности пройти аутентификацию. Снимите галочку с пункта Разрешить ретрансляцию всем компьютерам, успешно прошедшим аутентификацию, независимо от приведенного выше списка. Удаление этого параметра запрещает этому виртуальному серверу выполнять ретрансляцию на любой почтовый домен , кроме тех почтовых доменов, для которых вы создаете записи удаленного домена.

Нажмите ОК.

 

Примечание:
Спамеры активизируют свои преступные действия, используя перебор и атаки по словарю против аутентифицирующего ретранслятора SMTP. Вы всегда должны снимать галочку с Разрешить ретрансляцию всем компьютерам, которые успешно прошли проверку подлинности, независимо от флажка в списке выше. Если вам требуется аутентифицирующий ретранслятор SMTP, вы также должны потребовать, чтобы аутентифицирующий клиент установил безопасную связь SSL со службой SMTP , прежде чем будет разрешена аутентификация. Спамеры не имеют доступа к вашему частному сертификату CA, и в большинстве случаев они даже не будут пытаться согласовать безопасную SSL-ссылку перед атакой методом грубой силы или атакой по словарю. Имейте в виду, что если фильтр SMTP ISA Server включен, ни один удаленный пользователь не сможет согласовать сеанс SSL со службой SMTP.

  1. Нажмите «Применить», а затем нажмите «ОК», чтобы закрыть диалоговое окно «Свойства виртуального SMTP-сервера по умолчанию».

 

Вы могли заметить, что мы не вносили никаких изменений в конфигурацию механизма аутентификации или характеристик ретрансляции этого виртуального SMTP-сервера. Причина в том, что настройка по умолчанию не ретранслирует почту, пока пользователь не пройдет аутентификацию. Это предотвращает захват вашей анонимной входящей SMTP-ретрансляции спамерами и позволяет пользователям ретранслировать сообщения, если они аутентифицируются. Вы создадите выделенный виртуальный SMTP-сервер, который будет действовать как безопасный и аутентифицирующий ретранслятор SMTP.

 

 

Создайте удаленный домен

 

Следующим шагом является настройка удаленных доменов. Вам необходимо создать удаленный домен для каждого домена, на который вы хотите принимать входящую почту. Например, если вы размещаете почтовые домены internal.net и domain.com на своем сервере Exchange Server, вам необходимо создать удаленные домены как для internal.net, так и для domain.com. В текущем примере мы создадим один удаленный домен для internal.net.

 

Выполните следующие шаги, чтобы создать удаленный домен, который разрешает анонимную ретрансляцию входящих сообщений:

  1. Откройте консоль диспетчера информационных служб Интернета (IIS) и разверните имя своего сервера. Разверните виртуальный SMTP-сервер по умолчанию и щелкните правой кнопкой мыши узел «Домены». Укажите на команду «Создать» и нажмите «Домен».

 

  1. На странице «Добро пожаловать в мастер создания нового SMTP-домена» (рис. 26) выберите параметр «Удаленный » и нажмите «Далее».

 

  1. На странице Имя домена введите имя своего почтового домена в текстовом поле Имя. Нажмите «Готово» (рис. 27).

 

 

Настройте удаленный домен для ретрансляции на сервер Exchange

 

Удаленный домен необходимо настроить для ретрансляции на компьютер с сервером Exchange. По умолчанию удаленный домен не ретранслирует SMTP-сообщения. Вы настраиваете удаленный домен для пересылки всей почты, отправленной в этот удаленный домен, на сервер Exchange.

Выполните следующие шаги, чтобы настроить удаленный домен для пересылки почты на сервер Exchange:

 

  1. Щелкните правой кнопкой мыши удаленный домен в правой панели консоли и выберите команду «Свойства».

 

  1. В диалоговом окне «Свойства» удаленного домена установите флажок «Разрешить ретрансляцию входящей почты в этот домен». Это позволяет виртуальному SMTP-серверу ретранслировать почту, адресованную этому удаленному домену. Помните, что этот виртуальный SMTP-сервер не ретранслирует почту и отбрасывает все входящие SMTP-сообщения, за исключением аутентифицируемых пользователей и почты, адресованной домену, для которого вы настроили удаленный почтовый домен.

Выберите параметр «Пересылать всю почту на смарт-хост» и введите полное доменное имя или IP-адрес сервера Exchange во внутренней сети. Если вы используете полное доменное имя, убедитесь, что этот компьютер ретрансляции SMTP может преобразовать это имя в IP-адрес виртуального SMTP-сервера Exchange Server. Если вы используете IP-адрес, убедитесь, что адрес заключен в квадратные скобки, как показано на рис.

Нажмите кнопку «Безопасность».

 

  1. По умолчанию этот виртуальный SMTP-сервер не отправляет учетные данные на сервер Exchange при ретрансляции почты, а служба SMTP сервера Exchange не требует учетных данных. У вас есть возможность настроить сервер Exchange так, чтобы он требовал проверки подлинности, прежде чем он примет соединение с ретрансляционным компьютером SMTP. Если вы настроили службу SMTP сервера Exchange на требование проверки подлинности, вы должны указать здесь действительные учетные данные. Учетная запись и пароль, которые вы вводите в этом диалоговом окне, должны совпадать с учетной записью, которую вы настраиваете на сервере Exchange.

В этом примере мы разрешаем анонимные подключения к службе SMTP сервера Exchange. Опция анонимного доступа выбрана по умолчанию, и мы оставим ее по умолчанию. Если вы вносите изменения в диалоговом окне «Безопасность исходящего трафика», нажмите «ОК». В противном случае нажмите Отмена.

 

  1. Закройте консоль информационных служб Интернета.

 

 

Протестируйте свой сервер для Open Relay

 

Если вы выполнили все процедуры, описанные в этой статье, и поняли, зачем вы их выполнили, то ваш сервер не будет выступать в роли открытого SMTP relay. Тем не менее, вы всегда должны тестировать свой SMTP-сервер, чтобы убедиться, что он не был неправильно настроен.

Есть несколько методов, которые вы можете использовать, чтобы проверить, является ли ваша машина открытым реле. Мне нравится пользоваться бесплатным сервисом, предоставляемым хорошими людьми из zoneedit.com.

Первый шаг — открыть их страницу по адресу http://www.zoneedit.com/smtp.html. Затем вы вводите следующую информацию на основе полей, найденных на веб-странице.

 

 

 

Введите имя хоста или IP-адрес почтового сервера:
Введите в это поле имя или IP-адрес вашего ретранслятора SMTP. При публикации ретрансляции SMTP с помощью брандмауэра ISA Server используйте IP-адрес на внешнем интерфейсе брандмауэра ISA Server, который используется правилом публикации SMTP-сервера, которое вы используете для публикации ретрансляции SMTP.

 

Введите От: адрес электронной почты:
Введите адрес электронной почты от кого-то из вашей организации. На самом деле не имеет значения, какой адрес электронной почты вы используете здесь, если этот адрес каким-то образом не заблокирован вашим сервером ретрансляции SMTP.

 

Введите Кому: адрес электронной почты:
Введите адрес электронной почты пользователя в почтовом домене, не находящемся под вашим административным контролем. В этом примере я ввел адрес [email protected]. Поскольку ретранслятор SMTP, который я тестирую, не является авторитетным для домена spam.net, он должен отклонять любые попытки ретрансляции пользователям в этом домене.

 

Кнопка «Начать тест»
Нажмите кнопку, чтобы начать тест!

Обратите внимание на вывод в нижней части рисунка выше. Ответ моего ретранслятора SMTP возвращается на тестовую машину: 550 5.7.1 Невозможно ретранслировать для [email protected] означает, что моя машина не настроена как открытая ретрансляция.

 

 

Для получения дополнительной информации об использовании ретрансляции SMTP для поддержки публикации ISA Server 2000 Exchange Server

 

В наборе для развертывания ISA Server 2000 Exchange Server 2000/2003 есть несколько статей, в которых содержится очень подробная информация о настройке различных ретрансляторов SMTP. Комплект содержит все, что вам нужно знать, включая пошаговые инструкции по развертыванию:

 

  • Безопасные SMTP-ретрансляторы
  • Аутентификация SMTP-ретрансляторов
  • Анонимные SMTP-ретрансляторы
  • Входящие SMTP-ретрансляторы
  • Исходящие SMTP-ретрансляторы
  • Фильтрация SMTP-ретрансляторов
  • Если вы используете брандмауэр ISA Server (а кто разрешит удаленный доступ к своему серверу Exchange без использования брандмауэра ISA Server?), то проверьте комплект развертывания ISA Server 2000 Exchange Server 2000/2003 на http://www.isaserver..org/новости/exchangekit.html

    Надеюсь, вам понравилась эта статья, и вы нашли в ней что-то, что вы можете применить к своей сети. Если у вас есть какие-либо вопросы по поводу того, что я обсуждал в этой статье, зайдите на http://forums.isaserver.org/ultimatebb.cgi?ubb=get_topic;f=6;t=002095 и разместите сообщение. Я буду проинформирован о вашем сообщении и отвечу на ваши вопросы как можно скорее. Спасибо! -Том