如何解决ORF在ISA 2006环境下过滤失效的问题

钉子

今天有一位刚安装ORF 试用版的客户，通过QQ联系我，提到遇到一个问题：即使把某个外部邮件发件人的邮件地址加到Sender Blacklist里，这个发件人发的邮件还是被ORF通过（PASS）掉了，相关处理过程及方法分享如下：

一.现像：

ORF LOG Viewer有关这位外部邮件发件人的邮件地址放行的日志如下：

Version: 4.4 EVALUATION
Log Mode: Verbose
Server: s08604.bdc.com.cn
Source: SMTPSVC-1
Time: 2011-6-14 10:12:12
Class: Whitelist
Severity: Information
Actions: (not available)
Filtering Point: On Arrival
HELO/EHLO Domain: (not available)
Related IP Address: 172.16.88.16
Message ID: (not available)
Email Subject: 工作报表
Sender: qinghua1399@bdc.com
Recipient(s):
  * junhua.hu@abc.com
Message:
Email whitelisted (email from a trusted intermediate host or intranet).

二。分析过程：

1.通过上面的日志，我们分析出来，这封邮件的来源IP是172.16.88.16，使用过ORF的朋友都知道，为了减少误判，ORF对内部网络的IP，比如此例中的172的IP段发过来的邮件当成中可信的内部或局域网主机，通过白名单放行了。

2.但是172.16.88.16是什么IP呢？通过和客户沟通，原来172.16.88.16是他们一台ISA 2006防火墙，然后通过防火墙使用端口映射将外网IP的25端口映射到了内网的Exchange 服务器。也就是说，所有从第三方来的外部发往内部的邮件都被ISA 2006的防火墙修改了来源的IP，造成ORF认为这些邮件都是可信的，所以直拉放行了。

三。解决办法：

解决这个问题的方法是：修改ISA针对SMTP的防火墙策略，保持从外到内的邮件的来源IP。具体操作如下：

1.打开ISA服务器管理器


2.找到“防火墙”策略



3.SMTP服务




4.属性



5.切找到“到”选项卡，将“发布的服务器的请求”修改为“将请求显示为来自初始客户端”



6.最后保存应用规则。

备注：相关的问题也出现在其它防火墙，但设置方法各有不同。比如之前发布发过的关于FortiGate (飞塔)防火墙环境的问题，请看下帖：

http://www.5dmail.net/bbs/thread-181182-1-4.html

EC_MAC

学习了！