使用ISA Server 2004 SMTP筛选器和Message Screener
本页内容
简介
情景
解决方案
简介
Microsoft Internet Security and Acceleration (ISA) Server 2004 包含两个组件,用于帮助阻止邮件中继、病毒侵入以及网络上不必要的附件:简单邮件传输协议 (SMTP) 筛选器和 Message Screener。Message Screener 为一款 ISA Server 的可选组件,可与 ISA Server 和 ISA Server Management 分开安装。
SMTP 筛选器
ISA Server 可截获到达 ISA Server 计算机端口 25 上的所有 SMTP 流量。只有在规则允许的情况下,ISA Server 计算机上的 SMTP 筛选器才接收、检查并传递流量。
SMTP 筛选器 检验 Internet SMTP 服务器和客户端发送的 SMTP 命令。该应用程序层筛选器可截获 SMTP 命令并检查它们是否大于其应有的长度。大于 SMTP 筛选器中配置的界限的 SMTP 命令被认为是对 SMTP 服务器的攻击,同时 SMTP 筛选器可阻止这些命令。
每个 SMTP 命令均有与其相关的最大长度。该长度代表每个命令被允许的字节数量。如果攻击者发送超过每个命令被允许的字节数量的命令时,ISA Server 将中断连接并阻止攻击者与公司邮件服务器通信。
当客户端使用规定的但是被禁用的命令时,筛选器将关闭该连接。当客户端使用 SMTP 筛选器无法识别的命令时,将不筛选该消息。
RFC 视 AUTH 命令为 MAIL FROM 命令的一部分。因此,SMTP 筛选器只在 MAIL FROM 命令超出 MAIL FROM 和 AUTH 命令(启用 AUTH 时)规定的长度时才阻止它们。例如,如果规定 MAIL FROM 和 AUTH 命令的最大长度分别为 266 字节和 1024 字节,那么只有在 MAIL FROM 命令超过 1290 字节时才阻止消息。
注意: 建议不要将 TURN 命令添加到 SMTP 筛选器,因为 SMTP 筛选器目前不支持筛选该命令。
SMTP 筛选器可与 Message Screener 结合使用,以提供更深层的内容检查。SMTP 筛选器筛选所有到达符合 SMTP 协议上某条服务器发布规则的 ISA Server 计算机的 SMTP 流量。
Message Screener
Message Screener 与 SMTP 筛选器一同工作,以截获所有到达 ISA Server 计算机的 TCP 端口 25 上的 SMTP 流量。Message Screener 设计用于筛选垃圾邮件。用户使用 Message Screener 可基于关键字或附件来筛选电子邮件,或阻止来自特定发件人和域的电子邮件。Message Screener 必须安装在运行 Internet 信息服务 (IIS) 6.0 或 IIS 5.0 的 SMTP 服务器上。可以在内部网络中安装 Message Screener,但是建议将 Exchange 服务器安装在外围网络中或 ISA Server 计算机上。之所以建议将 Message Screener 安装在外围网络中是因为这可提供 Internet 和邮件服务器间的一种额外保护层。
当使用 Message Screener 时,用户将会发布 Message Screener 来接收电子邮件,而不是发布 Exchange 服务器或其他邮件服务器。因此,必须配置邮件服务器以便接收来自 Message Screener 计算机的邮件。
重要
不推荐同时使用 Exchange Server 2003 和 Message Screener,因为 Message Screener 将干扰 Exchange 服务器连接和收件人筛选功能的正常运行。
SMTP 筛选器可与 Exchange Server 2003 结合使用
Message Screener 可基于以下条件筛选传入邮件:
• | MAIL FROM SMTP 命令中发送的值,用于筛选发件人和域名。 |
• | 每个附件的内容性质标题字段。该字段通常包含附加文件名和扩展名。Message Screener 可按扩展名、名称或大小筛选附件。 |
• | 邮件主题、文本/无格式或文本/html 内容类型的正文。 |
可将 Message Screener 配置为保存电子邮件以供日后检查,或将邮件转发给安全管理员帐户供进一步检查和分析。
例如,设想存在一个发送包含特定关键字的电子邮件的普通病毒。可配置 Message Screener 在收到带有该关键字的电子邮件时采用以下三种操作之一:
• | 删除邮件 |
• | 保存邮件 |
• | 转发邮件 |
记录已阻止的邮件
Message Screener 允许通过或阻止的邮件在本地被记录到运行 Message Screener 的计算机的文件中。该文件默认位于 %ProgramFiles%\Microsoft ISA Server\ISALogs。
注意: 也可以在应用程序层检查出站邮件。组织可能想要阻止传出的病毒和蠕虫,以便保护其他与 Internet 连接的网络。此外,出站邮件检查还阻止用户发送附件文档和含有公司私有数据的其他文件。
情景
以下部分提供了必须配置 SMTP 筛选器和 Message Screener 的情景。
SMTP 筛选器情景
可配置 SMTP 筛选器以满足这些示例情景:
• | 想要调整 SMTP 筛选器允许的 SMTP 命令的最大长度。 |
• | 遇到一个如果超过最大命令长度而易于受到攻击的新 SMTP 命令。 |
Message Screener 情景
可配置 Message Screener 以满足这些示例情景:
• | 想要阻止包含特定字符的电子邮件,因为该字符关联带有病毒的电子邮件。 |
• | 想要阻止包含被认为是病毒传染源的特定附件或附件类型。 |
• | 想要阻止作为垃圾邮件源的特定域。 |
• | 想要阻止特定的传出邮件。如果在外围网络中安装 Message Screener,那么可以配置 Message Screener 来阻止特定的传出邮件。在“使用 Message Screener 筛选传出的电子邮件”中对这种配置有所描述。 |
解决方案
这些解决方案将描述如何配置 SMTP 筛选器和 Message Screener,以应对以上情景。
SMTP 筛选器演练
本演练将描述如何配置 SMTP 筛选器以筛选 SMTP 命令。
SMPT 筛选器演练过程 1:配置 SMTP 筛选器缓冲溢出阈值
本步骤将描述了如何编辑安装 SMTP 筛选器时附带的 SMTP 命令的预定义列表。不可以从预定义列表中删除 SMTP 命令,但可以禁用某个命令以便筛选器不考虑该命令的长度,或编辑每个命令的最大长度,从而调节超出该阈值筛选器将不接受 SMTP 命令的界限。还可以添加简单的 SMTP 命令,SMTP 筛选器演练过程 2 中对此有描述:添加 SMTP 命令。
要想配置 SMTP 筛选器缓冲溢出阈值:
1. | 在“ISA Server 管理”控制台树中,单击“配置”,然后单击“加载项”。 |
2. | 在详细信息窗格中、“应用程序筛选器”选项卡上,双击“SMTP 筛选器”。
|
3. | 在“SMTP 命令”选项卡上,单击适用的命令然后单击“编辑”。
|
4. | 在“SMTP 命令规则”对话框、“最大长度”中,键入这些命令命令行的最大长度(字节)。注意可通过清除“启用 SMTP 命令”复选框来禁用该命令。 |
5. | 单击“确定”关闭“SMTP 命令规则”对话框。 |
6. | 单击“确定”关闭“SMTP 筛选器属性”页面。 |
SMPT 筛选器演练过程 2:添加 SMTP 命令
本步骤将描述如何添加一个 SMTP 筛选器将筛选的简单 SMTP 命令。简单 SMTP 命令为获得单一响应的单一命令。不支持其他 SMTP 命令类型。
要想添加 SMTP 命令:
1. | 在“ISA Server 管理”控制台树中,单击“配置”,然后单击“加载项”。 |
2. | 在详细信息窗格中、“应用程序筛选器”选项卡上,双击“SMTP 筛选器”。 |
3. | 在“SMTP 命令”选项卡上,单击“添加”。 |
4. | 在“SMTP 命令规则”对话框、“命令名称”中,键入命令的名称。 |
5. | 在“最大长度”中,键入该命令行的最大长度(字节)。 |
6. | 单击“确定”关闭“SMTP 命令规则”对话框。 |
7. | 单击“确定”关闭“SMTP 筛选器属性”页面。 |
SMPT 筛选器演练过程 3:记录已阻止的电子邮件
如果某个 SMTP 命令因为违反 SMTP 筛选器的某一条件而被阻止,只有在启用 SMTP 筛选器事件警报时才会记录被阻止的邮件。请遵循以下步骤启用该警报:
1. | 在“ISA Server 管理”控制台树中,单击“监视”。 |
2. | 在详细信息窗格中,选择“警报”选项卡。 |
3. | 在任务窗格的“任务”选项卡上,单击“配置警报定义”打开“警报属性”页面。
|
4. | 在“警报定义”选项卡上,双击 SMTP 筛选器事件(或选择“SMTP 筛选器事件”并单击“编辑”),打开“SMTP 筛选器事件属性”页面。
|
5. | 在“事件”选项卡上,可以设置警报操作阈值,在“操作”选项卡上可配置触发警报时采取的操作。更多信息请参见“警报阈值和操作”部分。
|
6. | 单击“确定”关闭属性页面。 |
警报阈值和操作
阈值决定何时执行警报操作:
• | 发布警报前每秒发生的事件次数(也称为事件频率阈值)。 |
• | 发布警报前事件发生的次数。 |
• | 再次发布警报前等待的时间。 |
在某个警报条件满足时可设置以下操作中的一个或多个:
• | 发送电子邮件。 |
• | 运行具体操作。 |
• | 在 Windows 事件日志中记录事件。 |
• | 中止或启动 Microsoft 防火墙服务或 Scheduled Content Download(预定内容下载)服务。 |
可配置执行应用程序时使用哪些凭据。使用本地安全策略来配置用户特权。
Message Screener 演练
本演练假定用户将在与包含邮件服务器的网络有规定的路由关系的外围网络中安装 Message Screener。需要完成以下步骤以使用 Message Screener:
1. | 安装 Message Screener。 |
2. | 在 Message Screener 计算机上配置 SMTP 中继。 |
3. | 在 ISA Server 计算机上创建 SMTP 发布规则,发布 Message Screener 计算机到 SMTP 协议上的外部网络 (Internet)。 |
4. | 创建访问规则。应当有一条允许 Message Screener 计算机使用 MS 防火墙控制协议访问本地主机网络(ISA Server 计算机)的规则。该规则允许 Message Screener 传递其凭据到 ISA Server 计算机并了解 ISA Server 的配置变化。还应当有一条允许外围网络中的 Message Screener 访问内部邮件服务器的规则。(如果将 Message Screener 安装在与邮件服务器所在的相同网络中,将不需要该规则)。 |
5. | 使用 SMTPCred.exe 配置 Message Screener 计算机上的凭据。如果 Message Screener 被安装在 ISA Server 计算机上,则忽略该步骤。 |
6. | 确保 Message Screener 计算机能够访问 DNS 服务器,以便其能够按名称定位其必须转发电子邮件到的公司邮件服务器。 |
7. | 配置 Message Screener 以阻止特定类型的邮件。 |
8. | 配置邮件服务器以接收来自 Message Screener 计算机的邮件。 注意: 如果在外围网络中安装 Message Screener,还可以配置 Message Screener 以阻止特定的传出邮件。在“使用 Message Screener 筛选传出的电子邮件”中对这种配置有所描述。 |
Message Screener 演练过程 1:安装 Message Screener
必须将 Message Screener 安装在运行 Internet 信息服务 (IIS) 6.0 或 IIS 5.0 的 SMTP 服务器上。该服务器不一定非得是 ISA Server 计算机。可以在内部网络或外围网络中的某台服务器上安装 Message Screener。如果在内部网络上安装 Message Screener,可以将其安装在 Exchange 服务器上,或将其安装在不同的 SMTP 服务器上。
注意:如果在外围网络中安装 Message Screener,则必须创建访问规则以允许 Message Screener、ISA Server 计算机上的 SMTP 筛选器以及内部网络中邮件服务器间的通信。
请遵循以下步骤来安装 Message Screener:
1. | 插入 ISA Server 2004 光盘。安装程序对话框应会自动弹出。如果安装程序对话框没有出现,从光盘的根目录运行 ISAAutorun.exe。 |
2. | 单击“安装 ISA Server 2004”。 |
3. | 在“欢迎”页上,单击“下一步”。 |
4. | 阅读“许可协议”页上的许可协议条款。如果同意这些条款,选择“我接受许可协议中的条款”,单击“下一步”。 |
5. | 在“客户信息”页上,提供请求的信息并单击“下一步”。 |
6. | 在“安装类型”页上,选择“自定义”。可单击“更改”将 Message Screener 安装在默认位置以外的位置上。单击“下一步”。 |
7. | 在“自定义安装”页面上,单击“防火墙服务”旁边的图标,选择“该功能将不可用”。对“ISA Server 管理”执行相同操作。这些是 ISA Server 2004 的核心服务和工具。用户应将它们安装在 ISA Server 计算机上而非运行 IIS(将承载 Message Screener)的服务器上。
|
8. | 单击“Message Screener”旁的图标,选择“该功能将被安装到本地硬盘上”。
|
9. | 在“准备安装程序”页面上,单击“安装”。 |
10. | 在“安装向导已完成”页面上,单击“完成”。 |
Message Screener 演练过程 2:在 Message Screener 计算机上配置 SMTP 中继
如果在 Exchange 服务器以外的任何计算机上安装 Message Screener,则必须配置 SMTP 服务器以把邮件中继到 Exchange 服务器。如果在 Exchange 服务器上安装了 Message Screener,则忽略该步骤。
如果 ISA Server 计算机和 Exchange 服务器位于同一网络上,或者如果 Exchange 服务器与安装了 ISA Server 计算机的网络存在路由关系,Message Screener 应当直接把邮件中继到 Exchange 服务器的 IP 地址(该过程的步骤 8)。
如果 Exchange 服务器与安装了 ISA Server 计算机的网络存在网络地址转换 (NAT) 关系,则 Message Screener 应当把邮件中继到 ISA Server 计算机。在这种情况下,必须将 Exchange 服务器发布到 Message Screener 所在的网络(通过该网络上的侦听器)。必须配置 Message Screener 以将邮件中继到该侦听器的 IP 地址。
该过程在 Message Screener 计算机上执行:
1. | 打开 Internet 服务管理器。单击“开始”,指向“所有程序”,指向“管理工具”,然后选择“Internet 信息服务 (IIS)”。 |
2. | 展开本地计算机节点。展开“默认 SMTP 虚拟服务器”,右键单击“域”,选择“新建”并单击“域”打开“新建 SMTP 域向导”。 |
3. | 在“欢迎”页面上,确认选中了默认域类型——“远程”,然后单击“下一步”。 |
4. | 在“域名”页面上,指定 SMTP 服务器的域名,例如“internal.fabrikam.com”,然后单击“完成”。 |
5. | 在 Internet 信息服务 (IIS) 管理器中,单击“域”。右键单击刚刚创建的新的远程域,选择“属性”。 |
6. | 单击“常规”选项卡。 |
7. | 在“选择远程域的适当设置”中,单击选择“允许将传入邮件中继到该域”复选框,以允许 SMTP 服务器充当邮件中继。 |
8. | 在“远程”域下,单击“将所有邮件转发到智能主机”,然后键入内部网络公司邮件服务器的 IP 地址或完全合格的域名 (FQDN)。如果使用 IP 地址,确保用中括号 "[]" 括上该 IP 地址。例如,[157.54.25.14]。 |
9. | 单击“确定”。 |
10. | 中止并启动 SMTP 虚拟服务器。要想中止并启动 SMTP 虚拟服务器,右键单击“默认 SMTP 虚拟服务器”,然后单击“中止”。在虚拟服务器中止后,再次右键单击“默认 SMTP 虚拟服务器”,然后单击“启动”。 |
情景
以下部分提供了必须配置 SMTP 筛选器和 Message Screener 的情景。
SMTP 筛选器情景
可配置 SMTP 筛选器以满足这些示例情景:
• | 想要调整 SMTP 筛选器允许的 SMTP 命令的最大长度。 |
• | 遇到一个如果超过最大命令长度而易于受到攻击的新 SMTP 命令。 |
Message Screener 情景
可配置 Message Screener 以满足这些示例情景:
• | 想要阻止包含特定字符的电子邮件,因为该字符关联带有病毒的电子邮件。 |
• | 想要阻止包含被认为是病毒传染源的特定附件或附件类型。 |
• | 想要阻止作为垃圾邮件源的特定域。 |
• | 想要阻止特定的传出邮件。如果在外围网络中安装 Message Screener,那么可以配置 Message Screener 来阻止特定的传出邮件。在“使用 Message Screener 筛选传出的电子邮件”中对这种配置有所描述。 |
解决方案
这些解决方案将描述如何配置 SMTP 筛选器和 Message Screener,以应对以上情景。
SMTP 筛选器演练
本演练将描述如何配置 SMTP 筛选器以筛选 SMTP 命令。
SMPT 筛选器演练过程 1:配置 SMTP 筛选器缓冲溢出阈值
本步骤将描述了如何编辑安装 SMTP 筛选器时附带的 SMTP 命令的预定义列表。不可以从预定义列表中删除 SMTP 命令,但可以禁用某个命令以便筛选器不考虑该命令的长度,或编辑每个命令的最大长度,从而调节超出该阈值筛选器将不接受 SMTP 命令的界限。还可以添加简单的 SMTP 命令,SMTP 筛选器演练过程 2 中对此有描述:添加 SMTP 命令。
要想配置 SMTP 筛选器缓冲溢出阈值:
1. | 在“ISA Server 管理”控制台树中,单击“配置”,然后单击“加载项”。 |
2. | 在详细信息窗格中、“应用程序筛选器”选项卡上,双击“SMTP 筛选器”。
|
3. | 在“SMTP 命令”选项卡上,单击适用的命令然后单击“编辑”。
|
4. | 在“SMTP 命令规则”对话框、“最大长度”中,键入这些命令命令行的最大长度(字节)。注意可通过清除“启用 SMTP 命令”复选框来禁用该命令。 |
5. | 单击“确定”关闭“SMTP 命令规则”对话框。 |
6. | 单击“确定”关闭“SMTP 筛选器属性”页面。 |
SMPT 筛选器演练过程 2:添加 SMTP 命令
本步骤将描述如何添加一个 SMTP 筛选器将筛选的简单 SMTP 命令。简单 SMTP 命令为获得单一响应的单一命令。不支持其他 SMTP 命令类型。
要想添加 SMTP 命令:
1. | 在“ISA Server 管理”控制台树中,单击“配置”,然后单击“加载项”。 |
2. | 在详细信息窗格中、“应用程序筛选器”选项卡上,双击“SMTP 筛选器”。 |
3. | 在“SMTP 命令”选项卡上,单击“添加”。 |
4. | 在“SMTP 命令规则”对话框、“命令名称”中,键入命令的名称。 |
5. | 在“最大长度”中,键入该命令行的最大长度(字节)。 |
6. | 单击“确定”关闭“SMTP 命令规则”对话框。 |
7. | 单击“确定”关闭“SMTP 筛选器属性”页面。 |
SMPT 筛选器演练过程 3:记录已阻止的电子邮件
如果某个 SMTP 命令因为违反 SMTP 筛选器的某一条件而被阻止,只有在启用 SMTP 筛选器事件警报时才会记录被阻止的邮件。请遵循以下步骤启用该警报:
1. | 在“ISA Server 管理”控制台树中,单击“监视”。 |
2. | 在详细信息窗格中,选择“警报”选项卡。 |
3. | 在任务窗格的“任务”选项卡上,单击“配置警报定义”打开“警报属性”页面。
|
4. | 在“警报定义”选项卡上,双击 SMTP 筛选器事件(或选择“SMTP 筛选器事件”并单击“编辑”),打开“SMTP 筛选器事件属性”页面。
|
5. | 在“事件”选项卡上,可以设置警报操作阈值,在“操作”选项卡上可配置触发警报时采取的操作。更多信息请参见“警报阈值和操作”部分。
|
6. | 单击“确定”关闭属性页面。 |
警报阈值和操作
阈值决定何时执行警报操作:
• | 发布警报前每秒发生的事件次数(也称为事件频率阈值)。 |
• | 发布警报前事件发生的次数。 |
• | 再次发布警报前等待的时间。 |
在某个警报条件满足时可设置以下操作中的一个或多个:
• | 发送电子邮件。 |
• | 运行具体操作。 |
• | 在 Windows 事件日志中记录事件。 |
• | 中止或启动 Microsoft 防火墙服务或 Scheduled Content Download(预定内容下载)服务。 |
可配置执行应用程序时使用哪些凭据。使用本地安全策略来配置用户特权。
|
Message Screener 演练过程 3:发布 SMTP 服务器
本过程将通过 ISA Server 服务器发布 Message Screener SMTP 服务器。请在 ISA Server 计算机上遵循这些步骤来发布 SMTP 服务器:
1. | 在“ISA Server 管理”的控制台树中,单击“防火墙策略”。 |
2. | 在任务窗格的“任务”选项卡上,单击“发布邮件服务器”。 |
3. | 在“欢迎”页上,指定规则的名称,例如“Publish Message Screener SMTP Server”,然后单击“下一步”。 |
4. | 在“选择访问类型”页面上,选择“服务器间通信:SMTP”、“NNTP”,然后单击“下一步”。 |
5. | 在“选择服务”页上,选择“SMTP”,然后单击“下一步”。 |
6. | 在“选择服务器”页上,指定 SMTP 服务器的 IP 地址,然后单击“下一步”。 |
7. | 在“IP 地址”页面上,选择 ISA Server 将在其上侦听 SMTP 服务器请求的网络。因为 SMTP 服务器将要接收来自 Internet 的电子邮件,所以通常选择“外部”。单击“下一步”。 |
8. | 在摘要页面上,浏览规则配置以确保正确配置了规则,单击“完成”。 |
9. | 在 ISA Server 详细信息窗格中,单击“应用”以应用所做的更改。 |
Message Screener 演练过程 4:创建访问规则。
Message Screener 需要与 ISA Server 计算机和邮件服务器(如果在不同于 Message Screener 计算机所在的网络上)间通信的访问规则。请遵循以下步骤来创建所需规则。
创建 Message Screener 到本地主机的访问规则
Message Screener 计算机需要使用 MS 防火墙控制协议访问本地主机网络(ISA Server 计算机)。该规则允许 Message Screener 传递其凭据到 ISA Server 计算机。
要想创建该访问规则:
1. | 在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略”。 |
2. | 在任务窗格的“任务”选项卡上,选择“创建新访问规则”启动“新建访问规则向导”。 |
3. | 在向导的“欢迎”页上,输入访问规则的名称,例如“Message Screener 到本地主机”,然后单击“下一步”。 |
4. | 在“规则操作”页上,选择“允许”,然后单击“下一步”。 |
5. | 在“协议”页面的“该规则应用于”中,选择“选择的协议”,然后使用“添加”按钮打开“添加协议”对话框。 |
6. | 在“添加协议”对话框中,展开“所有协议”,选择“MS 防火墙控制”。单击“添加”,然后单击“关闭”以关闭“添加协议”对话框。在“协议”页上,单击“下一步”。 |
7. | 在“访问规则源”页面上,单击“添加”打开“添加网络实体”对话框,展开“网络”,选择包含 Message Screener 计算机的外围网络,单击“添加”,然后单击“关闭”。在“访问规则源”页面上,单击“下一步”。 |
8. | 在“访问规则目标”页面上,单击“添加”打开“添加网络实体”对话框,展开“网络”,选择“本地主机”网络(ISA Server 计算机),单击“添加”,然后单击“关闭”。在“访问规则目标”页面上,单击“下一步” 注意: 如果想要限制到外围网络中 Message Screener 计算机的访问规则源,可创建一个包含 Message Screener 计算机的计算机集,并从“访问规则源”页面上的“添加网络实体”对话框选择它。 |
9. | 在“用户集”页面上,保留默认用户集“所有用户”不动,然后单击“下一步”。 |
10. | 检查向导摘要页面上的信息,然后单击“完成”。 |
11. | 在“防火墙策略”详细信息窗格中,单击“应用”以应用新的访问规则。可能需要花些时间来应用该规则。请记住访问规则是有顺序的,因此如果在顺序中的该允许规则前面存在一条 SMTP 访问请求的拒绝规则,则将拒绝访问。 |
创建出站 SMTP 流量访问规则
如果在外围网络上安装 Message Screener,并且该外围网络与内部网络存在路由关系,则必须创建一个允许外围网络和内部网络间出站 SMTP 流量的访问规则。如果公司的 DNS 服务器位于内部网络中,则该访问规则还将允许 Message Screener 计算机访问公司的 DNS 服务器。
注意: 如果内部网络与外围网络存在 NAT 关系,则必须使用邮件服务器发布规则将邮件服务器发布到外围网络,或者最起码发布到 Message Screener 计算机。附录 A 中描述了发布内部邮件服务器的相关内容:在 NAT 情景中发布邮件服务器。
要想创建该访问规则:
1. | 在 Microsoft ISA Server 管理控制台树中,选择“防火墙策略” |
2. | 在任务窗格的“任务”选项卡上,选择“创建新访问规则”启动“新建访问规则向导”。 |
3. | 在向导的“欢迎”页上,输入访问规则的名称,例如“Outbound SMTP - Message Screener to Exchange”,然后单击“下一步”。 |
4. | 在“规则操作”页面上,选择“允许”,然后单击“下一步”。 |
5. | 在“协议”页面的“该规则应用于”中,选择“选择的协议”,然后使用“添加”按钮打开“添加协议”对话框。 |
6. | 在“添加协议”对话框中,展开“邮件”,选择“SMTP”。单击“添加”,然后单击“关闭”以关闭“添加协议”对话框。在“协议”页面上,单击“下一步”。 |
7. | 在“访问规则源”页面上,单击“添加”打开“添加网络实体”对话框,展开“网络”,选择“内部”,单击“添加”,然后单击“关闭”。在“访问规则源”页面上,单击“下一步”。 |
8. | 在“访问规则目标”页面上,单击“添加”打开“添加网络实体”对话框,展开“网络”,选择“外部”网络(代表 Internet),单击“添加”,然后单击“关闭”。在“访问规则目标”页面上,单击“下一步”。 注意: 如果想要限制到外围网络中 Message Screener 计算机的访问规则源,以及到 Exchange 服务器(或前端 Exchange 服务器)或其他邮件服务器的目标,可创建两个计算机集(分别对应这两类计算机),并从“访问规则源”和“访问规则目标”页面上的“添加网络实体”对话框中选择它们。请记住 Message Screener 计算机还将需要访问公司的 DNS 服务器,所以将 DNS 服务器包括在带有邮件服务器的计算机集中,或创建网络间的常规访问规则。 |
9. | 在“用户集”页上,保留默认用户集“所有用户”不动,然后单击“下一步”。 |
10. | 检查向导摘要页面上的信息,然后单击“完成”。 |
11. | 在“防火墙策略”详细信息窗格中,单击“应用”以应用新的访问规则。可能需要花些时间来应用该规则。请记住访问规则是有顺序的,因此如果在顺序中的该允许规则前面存在一条 SMTP 访问请求的拒绝规则,则将拒绝访问。 |
启用 MS 防火墙控制协议上的访问
Message Screener 要求访问 MS 防火墙控制协议上的 ISA Server 计算机。已经存在一个允许从“远程管理计算机”计算机集访问 MS 防火墙控制协议上的本地主机的系统策略规则。必须将 Message Screener 计算机添加到“远程管理计算机”计算机集中,以便该规则将对其应用:
1. | 打开 Microsoft ISA Server 管理,展开 ISA Server 计算机节点,单击“防火墙策略”。 |
2. | 在任务窗格的“工具箱”选项卡上,选择“网络对象”,展开“计算机集”,然后双击“远程管理计算机”计算机集。
|
3. | 单击“添加”,从下拉列表中选择“计算机”打开“新建计算机规则元素”对话框。 |
4. | 规定 Message Screener 计算机的名称和 IP 地址,然后单击“确定”。 |
5. | 在“防火墙策略”详细信息窗格中,单击“应用”以应用更改。 |
Message Screener 演练过程 5:在 Message Screener 计算机上配置凭据
必须在 Message Screener 计算机上创建一个能够访问 ISA Server 计算机的用户。可运行 SMTPCred.exe 程序在 Message Screener 计算机上创建一个能够访问 ISA Server 计算机的用户。如果 Message Screener 被安装在 ISA Server 计算机上,则忽略该步骤。
1. | 在 ISA Server 2004 光盘上,打开 FPC\Program Files\Microsoft ISA Server 目录,双击 SMTPCred.exe。(也可在同一目录中的命令提示符上键入 SMTPCred.exe。) |
2. | 在“Message Screener 凭据”对话框中,规定 ISA Server 计算机的名称(或其网络适配器连接到 Message Screener 网络的 ISA Server 计算机的 IP 地址)、带有 ISA Server 计算机上管理权限的用户名、该用户的域以及密码。
|
3. | 单击“测试”使用这些凭据测试连接,单击“确定”关闭该对话框。 |
Message Screener 演练过程 6:启用 Message Screener 计算机的 DNS 服务器访问
Message Screener 计算机要求访问公司的 DNS 服务器,以便其能够按名称定位内部邮件服务器。如果 DNS 服务器与 Message Screener 计算机在同一网络中,则 Message Screener 计算机将能够访问公司的 DNS 服务器,并且无需更改 ISA Server 的配置。然而,如果 DNS 服务器位于别的网络中(比如:内部网络),则将需要创建一个外围网络到内部网络间的访问规则,以允许访问。更多信息请参加 Message Screener 演练过程 4:创建访问规则。
Message Screener 演练过程 7: 配置 Message Screener
本步骤将配置 Message Screener 以筛选特定项:
1. | 在“ISA Server 管理”控制台树中,展开“配置”,单击“加载项”。 | ||||||
2. | 在详细信息窗格中、“应用程序筛选器”选项卡上,双击“SMTP 筛选器”打开“SMTP 筛选器属性”对话框。 | ||||||
3. | 在“常规”选项卡,验证选中了“启用该筛选器” | ||||||
4. | 在“关键字”、“用户/域”以及“附件”选项卡上,可配置电子邮件筛选操作:
| ||||||
5. | 在配置 Message Screener 以根据关键字、用户、域或附件来筛选电子邮件后,单击“确定”关闭“ SMTP 筛选器属性”对话框。 | ||||||
6. | 在 ISA Server 详细信息窗格中,单击“应用”以应用所做的更改。 |
Message Screener 演练过程 8:配置邮件服务器以接收来自 Message Screener 计算机的电子邮件
当使用 Message Screener 时,用户将会发布 Message Screener 来接收电子邮件,而不是发布 Exchange 服务器或其他邮件服务器。因此,必须配置邮件服务器以接收来自 Message Screener 计算机的邮件。取决于所用的邮件服务器的类型,必须配置邮件服务器以接收来自 Message Screener 计算机的邮件的步骤将所有不同。对于 Exchange 服务器来说,将使用智能主机功能向 Exchange 服务器表明从 Message Screener 接收其邮件。
如果 Message Screener 与邮件服务器位于同一网络中,则可直接指向 Message Screener 计算机。
如果 Message Screener 位于承载邮件服务器以外的网络上(例如,Message Screener 位于外围网络中而邮件服务器位于内部网络中),则请遵循以下原则:
• | 如果外围网络与内部网络存在路由关系,则邮件服务器可直接指向 Message Screener 计算机的 IP 地址。 |
• | 如果内部网络到外围网络间存在 NAT 关系,则必须将内部网络上的邮件服务器发布到外围网络,以便邮件服务器将指向 ISA Server 计算机的外围网络适配器。附录 A 中描述了发布内部邮件服务器的相关内容:在 NAT 情景中发布邮箱服务器。 |
1. | 在摘要页面上,浏览规则配置以确保正确配置了规则,然后单击“完成”。 |
2. | 在“ISA Server”详细信息窗格中,单击“应用”以应用所做的更改。应用更改可能要花费一些时间。 |
使用 Message Screener 筛选传出的电子邮件
如果在外围网络中安装 Message Screener,还可以配置 Message Screener 以阻止特定的传出邮件。要想配置 Message Screener 以阻止特定的传出邮件,配置内部 Exchange 服务器(或其他邮件服务器)以通过 Message Screener 路由传出邮件。接着 Message Screener 将在所有传出邮件被转发到 Internet 前接收它们,并根据在 Message Screener 演练过程 7: 配置 Message Screener 中创建的配置来筛选传出邮件。
如果在不同于 Exchange 服务器所在的网络中的计算机上安装了 Message Screener,还将创建允许 Exchange 服务器(或其所在网络)到 Message Screener 计算机(或其所在网络)间访问的访问规则。
用户可能想要阻止传出邮件的一些情景为:
• | 阻止包含视频文件的传出邮件,以便为了转发电视广告给朋友而减少带宽的使用。 |
• | 阻止包含病毒和蠕虫的传出邮件,以便保护其他与 Internet 连接的网络。 |
• | 阻止用户发送附件文档和包含公司私有数据的其他文件。 |
因为 Message Screener 配置适用于所有通过 Message Screener 的电子邮件,所以 Message Screener 的任何配置变化都将应用于传入的电子邮件。
附录 A:在 NAT 情景中发布邮件服务器
当使用 Message Screener 时,用户将会发布 Message Screener 来接收电子邮件,而不是发布 Exchange 服务器或其他邮件服务器。因此,必须配置邮件服务器以接收来自 Message Screener 计算机的邮件。如果内部网络与外围网络间存在网络地址转换 (NAT) 关系,则必须将内部网络上的邮件服务器发布到外围网络,邮件服务器应当指向到 ISA Server 计算机的外围网络适配器。
要想将内部网络上的邮件服务器发布到外围网络上的 Message Screener 计算机,使用“新建邮件服务器发布规则向导”创建一个新邮件发布规则:
1. | 展开 Microsoft ISA Server 管理,单击“防火墙策略”。 |
2. | 在“防火墙策略”任务窗格的“任务”选项卡上,选择“发布邮件服务器”启动“新建邮件服务器发布规则向导”。 |
3. | 在向导的“欢迎”页面上,指定规则的名称,例如“Inbound SMTP from Message Screener”,然后单击“下一步”。 |
4. | 在“选择访问类型”页面上,选择“服务器间通信:SMTP”、“NNTP”,然后单击“下一步”。 |
5. | 在“选择服务”页面上,选择“SMTP”,然后单击“下一步”。 |
6. | 在“选择服务器”页面上,指定 Exchange 服务器的 IP 地址,然后单击“下一步”。 |
7. | 在“IP 地址”页面上,选择 ISA Server 将在其上侦听请求的网络。因为想要从外围网络接收消息,所以选择外围网络,然后单击“下一步”。 |
8. | 在摘要页面上,浏览规则配置以确保正确配置了规则,然后单击“完成”。 |
9. | 在“ISA Server”详细信息窗格中,单击“应用”以应用所做的更改。应用更改需要花费一些时间。 |
| 自由广告区 |
| 分类导航 |
| 邮件新闻资讯: IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮 电子邮箱 | 反垃圾邮件|邮件客户端|网络安全 行业数据 | 邮件人物 | 网站公告 | 行业法规 网络技术: 邮件原理 | 网络协议 | 网络管理 | 传输介质 线路接入 | 路由接口 | 邮件存储 | 华为3Com CISCO技术 | 网络与服务器硬件 操作系统: Windows 9X | Linux&Uinx | Windows NT Windows Vista | FreeBSD | 其它操作系统 邮件服务器: 程序与开发 | Exchange | Qmail | Postfix Sendmail | MDaemon | Domino | Foxmail KerioMail | JavaMail | Winwebmail |James Merak&VisNetic | CMailServer | WinMail 金笛邮件系统 | 其它 | 反垃圾邮件: 综述| 客户端反垃圾邮件|服务器端反垃圾邮件 邮件客户端软件: Outlook | Foxmail | DreamMail| KooMail The bat | 雷鸟 | Eudora |Becky! |Pegasus IncrediMail |其它 电子邮箱: 个人邮箱 | 企业邮箱 |Gmail 移动电子邮件:服务器 | 客户端 | 技术前沿 邮件网络安全: 软件漏洞 | 安全知识 | 病毒公告 |防火墙 攻防技术 | 病毒查杀| ISA | 数字签名 邮件营销: Email营销 | 网络营销 | 营销技巧 |营销案例 邮件人才:招聘 | 职场 | 培训 | 指南 | 职场 解决方案: 邮件系统|反垃圾邮件 |安全 |移动电邮 |招标 产品评测: 邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端 |