Сценарий ретрансляции почты с использованием GFI Mail Essentials 6 для шлюзов SMTP

Сценарий ретрансляции почты с использованием GFI Mail Essentials 6 для шлюзов

Часть 1: Дизайн и обоснование

Томас Шиндер, доктор медицины

Мы уже рассматривали тему публикации SMTP-сервера и ретрансляции почты здесь, в разделе Shinder, но я подумал, что было бы неплохо поделиться с вами недавним решением для ретрансляции SMTP и фильтрации спама, которое мы недавно разработали для клиента. Вы можете использовать этот пример в качестве основы для своего собственного решения Exchange Server и изменять его по своему усмотрению.

У клиента был Т1-связь с Интернетом, и он хотел разместить свои собственные интернет-службы, включая свой собственный сервер Exchange, который будет получать почту для его домена. Мы решили собрать двойную конфигурацию DMZ ISA Server, как показано на рисунке ниже:

Мы решили разместить два сервера ретрансляции почты IIS SMTP в сегменте DMZ. Преимущество размещения нескольких серверов ретрансляции почты заключается в том, что вы можете отключить один или несколько из них, а оставшиеся серверы смогут обрабатывать всю входящую почту для домена. Запись MX была создана для каждого почтового ретранслятора SMTP, при этом ретранслятор 1 имел более высокий приоритет, чем ретранслятор 2.

Клиент был очень заинтересован в минимизации количества спама, поступающего в его сеть. Этот парень страстно ненавидел спам и был готов сделать все возможное, чтобы свести его к абсолютному минимуму. Имея это в виду, мы решили настроить третий почтовый ретранслятор SMTP во внутренней сети. Мы установили на этот сервер программу GFI Mail Essentials для SMTP Gateways 6. У нас не было ничего, кроме отличных результатов с фильтром спама Mail Essentials, и мы рады порекомендовать это решение клиенту.

Сервер Exchange 2000 располагался в том же сегменте внутренней сети, что и сервер ретрансляции почты SMTP, выполнявший фильтрацию спама. Сервер Exchange получил почту для корпоративного домена с сервера ретрансляции почты SMTP, фильтрующего спам. Все клиенты внутренней сети подключены к серверу Exchange 2000 с помощью клиента MAPI Microsoft Outlook 2000. Ни одна клиентская система во внутренней сети не использовала POP3 или SMTP для доступа к внешним сетевым серверам. Внутренний ISA-сервер заблокировал исходящий доступ к протоколам POP и SMTP для всех клиентов; только серверу ретрансляции почты SMTP, фильтрующему спам, был разрешен входящий и исходящий доступ к SMTP.

Почему мы сделали это таким образом

Вот объяснение того, почему мы поступили именно так:

Два сервера Mail Relay в сегменте DMZ

Мы решили разместить серверы ретрансляции почты в сегменте DMZ. Я считаю, что ни один интернет-хост не должен иметь прямого доступа к какому-либо клиенту внутренней сети, если это вообще возможно. В этом случае SMTP-серверы в Интернете должны были иметь прямой доступ к серверам ретрансляции почты SMTP, чтобы отправлять почту на почтовый домен клиента. Поскольку хосты в Интернете должны иметь прямое взаимодействие с серверами ретрансляции почты SMTP, мы решили не допускать их во внутреннюю сеть и поместить в сегмент DMZ.

Любой сервер в сегменте DMZ следует считать хостом-бастионом, и ожидается, что хост-бастион в какой-то момент будет скомпрометирован. Вопрос когда, а не если. Поскольку мы ожидаем, что эти серверы будут скомпрометированы, важно обеспечить отказоустойчивость, чтобы входящая почта могла продолжать поступать. Установка второго почтового сервера позволяет доставлять почту, если один из серверов становится недоступным. Обратите внимание, что эти серверы были усилены до такой степени, что они практически непригодны для чего-либо, кроме ретрансляции почты SMTP. По сути, единственный способ взломать эти серверы — это скомпрометировать службу SMTP. На внешнем ISA-сервере был включен фильтр SMTP, чтобы предотвратить переполнение буфера SMTP.

SMTP-серверы DMZ, которые мы настроили для приема почты только для почтового домена клиента. Мы сделали это, настроив удаленный домен на SMTP-серверах IIS, а затем настроив удаленные домены для ретрансляции почты на внутренний почтовый сервер ретрансляции SMTP с фильтрацией спама. Внутренний ISA-сервер был настроен с одним правилом публикации SMTP-сервера, а набор клиентских адресов был настроен так, чтобы только SMTP-серверы DMZ могли использовать правило публикации SMTP-сервера на внутреннем ISA-сервере.

Выделенный сервер ретрансляции почты для фильтрации спама

Возможно, вы спросите себя, почему мы решили добавить в этот микс третий почтовый ретранслятор. В конце концов, вы можете установить GFI Mail Essentials на Exchange 2000. Этот клиент получает относительно большой объем почты, и требования к обработке для фильтрации спама будут значительными.

Сервер Exchange 2000 уже будет работать на пределе своих возможностей. Добавление накладных расходов на фильтрацию спама поставило бы сервер Exchange 2000 на первое место, и пользователи заметили бы резкое снижение производительности сервера Exchange, если бы мы поместили основные функции GFI Mail на сервер Exchange. Я также предпочитаю не добавлять программное обеспечение на серверы Exchange, если в этом нет крайней необходимости. Нам повезло, что клиент был более чем счастлив взять на себя дополнительные затраты на оборудование и программное обеспечение, чтобы внедрить отдельный сервер для фильтрации спама.

Сервер ретрансляции SMTP для фильтрации спама был настроен с использованием удаленного домена, совпадающего с именем почтового домена клиента. Затем удаленный домен был настроен для ретрансляции почты для этого удаленного домена на сервер Exchange. Сервер Exchange был конечным звеном для входящих SMTP-сообщений.

Как насчет удаленного доступа?

Мы подняли вопрос о том, что пользователям нужен удаленный доступ к их корпоративной почтовой учетной записи. Характер бизнеса этого клиента не поддавался большому количеству поездок сотрудников или работе из дома. Однако наш анализ ситуации таков, что одновременно может быть абсолютно максимум 10 пользователей, которым требуется удаленный доступ к своей почте. Варианты, которые мы рассматриваем для удаленного доступа, включают:

Нам не нужно было беспокоиться о публикации SMTP-сервиса, потому что пользовательский интернет-провайдер мог обрабатывать исходящий SMTP.

Мы решили использовать публикацию Exchange RPC, чтобы разрешить клиентским клиентам Outlook входящий доступ к серверу Exchange. Да! Вы можете использовать публикацию Exchange RPC в среде DMZ ISA Server. Клиенты Outlook были настроены для защиты подключения для передачи данных. Это очень безопасный вариант, и я настоятельно рекомендую публикацию Exchange RPC, если вы хотите разрешить внешним клиентам Outlook MAPI доступ к внутреннему серверу Exchange.

Другим вариантом, которому мы уделили серьезное внимание, был безопасный IMAP. Ссылка Secure IMAP использует TLS (SSL 3.1) для защиты соединения между клиентом IMAP и сервером Exchange. Для этого необходимо настроить сервер Exchange с сертификатом и чтобы клиент доверял сертификату, установленному на сервере Exchange. На самом деле клиенту не нужно доверять сертификату на сервере Exchange, но вы получите информационное сообщение о том, что сертификат отсутствует в доверенном хранилище. Если вы проигнорируете сообщение, клиент успешно использует безопасный IMAP для подключения к серверу Exchange.

Как проходит почта

Давайте еще раз взглянем на график и проследим путь входящей и исходящей электронной почты.

Шаг 1:

ISA Server получает почту с SMTP-сервера в Интернете. Два правила публикации SMTP-сервера настроены на внешнем ISA-сервере, которые указывают либо на ретранслятор 1, либо на ретранслятор 2. Записи MX настраиваются на полномочном DNS-сервере для почтового домена, а предпочтительный и дополнительный SMTP-серверы настраиваются на основе значений предпочтений в записях MX. Фильтр SMTP на внешнем ISA-сервере включен для защиты от атак переполнения буфера SMTP на ретрансляторе 1 и ретрансляторе 2.

Мы настроили средство проверки сообщений SMTP как на ретрансляторе 1, так и на ретрансляторе 2. Вы можете спросить себя, зачем нам устанавливать Message Screener на ретрансляторы DMZ, когда у нас есть основные функции GFI Mail на ретрансляторе фильтрации спама во внутренней сети? Причина этого в том, что средство проверки сообщений позволяет отфильтровывать сообщения на основе адресов пользователей, а эта функция недоступна в GFI Mail Essentials. Mail Essentials позволяет отфильтровывать почту от целых доменов, но не от определенного адреса внутри почтового домена.

Шаг 2:

Реле 1Реле 2Реле 1Реле 2Реле 3Реле 1Реле 2Реле 1Реле 2Реле 3Реле 3

Шаг 3:

Сервер ретрансляции почты SMTP, фильтрующий спам, Relay 3 принимает почту от ретрансляторов почты DMZ. Ретрансляция 3 настроена с удаленным доменом для домена электронной почты клиента, и вся почта, принятая удаленным доменом, ретранслируется на сервер Exchange. Конечно, спам-фильтр пережевывает и отбрасывает спам, поэтому на сервер Exchange попадает только законная почта.

Шаг 4:

Пользователи внутренней сети используют клиент MAPI Outlook 2000 для подключения к серверу Exchange. Сервер Exchange обрабатывает почту, пересылаемую между пользователями во внутренней сети, внутри себя. Сервер Exchange должен пересылать почту, предназначенную для внешнего почтового домена. Мы настроили сервер Exchange для использования сервера ретрансляции SMTP с фильтрацией спама Relay 3 в качестве промежуточного узла. Виртуальный SMTP-сервер по умолчанию на ретрансляторе 3 был настроен на разрешение ретрансляции в любой домен только с сервера Exchange.

Эта конфигурация позволяла проверять вирусы и содержимое как исходящей, так и входящей почты. Это хороший трюк, который вы можете использовать, чтобы пользователи вашей внутренней сети не превратили ваши почтовые серверы в проводник для поведения, подобного пользователям AOL. Одни и те же ключевые слова используются как для входящего, так и для исходящего доступа.

Шаг 5:

Мы настроили Relay 3 для использования почтового сервера интернет-провайдера в качестве смарт-хоста. Это перенесло разрешение имени почтового домена DNS с ретранслятора 3 на почтовый сервер интернет-провайдера. Обычно это работает хорошо, потому что DNS-кеш интернет-провайдера намного больше, чем DNS-кеш частной сети.

Вывод

Эта конфигурация с несколькими реле хорошо подошла заказчику. Самым трудоемким аспектом настройки была установка соответствующих фильтров ключевых слов на компьютере Mail Essentials. Не существует универсального списка ключевых слов! В каждой отрасли есть свой язык, который может считаться спамом в другой отрасли. Около двух недель ушло на то, чтобы составить хороший список ключевых слов, чтобы спам уничтожался, а законная почта пропускалась. Сотрудник службы безопасности компании отвечал за просмотр спама и определение того, были ли отмечены ложные срабатывания. Все сотрудники были проинформированы о том, что сотрудник службы безопасности может просмотреть их входящую или исходящую почту, если сообщение будет поймано спам-фильтром. Затем сотрудники должны были подписать объявление, чтобы подтвердить, что они прочитали его и согласны с политикой.

Во второй и заключительной части этой статьи я рассмотрю особенности конфигурации на каждом из серверов. Детали конфигурации не так уж сложны, но если вы еще не делали ничего подобного раньше, вам будет полезно посмотреть, какие именно шаги мы предприняли, чтобы заставить эту работу работать.

Если у вас есть какие-либо вопросы или комментарии к этой статье, пишите! Отправьте сообщение с заголовком этой статьи в строке темы на адрес [email protected], и мы посмотрим, что мы можем сделать, чтобы исправить ситуацию. Спасибо! -Том.