ISA2004防火墙利用内建的SMTP过滤器与SMTP邮件筛选器,在邮件进入到内部网络前进行过滤,这样可以分担内部的垃圾邮件过滤设备和受保护的网络中的Exchange服务器的邮件过滤任务。
试验目的 : 通过使用ISA2004的邮件筛选来实现邮件中的附件筛选
在我试验的环境中,我已经具备了下列条件:
1. DENVER是Exchange服务器、DNS服务器
2. 外网的Istanbul以安装了SMTP与POP3
目 录
1.在Florence安装ISA2004之前先在机器上安装IIS 6.0 SMTP服务
2.在Florence安装ISA2004标准版
3.在Florence配置ISA防火墙的SMTP服务器
4.在Itanbul上配置邮件服务器
5.为外网与内网利用OE(Outlook Express)配置账号
6.配置denver上的DNS服务器
7.在ISA防火墙上创建服务器发布规则来发布Denver的DNS服务与防火墙上的SMTP服务
8.配置完成后,来发送邮件测试外网邮局发送到内部邮件是否成功。
9.在ISA上设置SMTP筛选器,来限制邮件的发送,例来限制发送附件文件扩展名称为 .pif 的文件
1.在Florence安装ISA2004之前先在机器上安装IIS 6.0 SMTP服务
在开始 -- 设置 -- 控制面板-- 双击添加删除程序 -- 选择添加/删除windows组件 -- 在windows组件向导 -- 选择“应用程序服务器” --选择“Internet信息服务(IIS)”--选择“SMTP Service” 如下图
2.在Florence安装ISA2004标准版
在Florence上放入ISA2004的安装光盘 在弹出安装向导 选择 “安装ISA Server 2004 ”
在欢迎使用Microsoft ISA Server 2004 安装向导 点击下一步
在协议许可上 选择“我接受协议” 点击下一步
在用户信息里 输入个人信息 点击下一步
在安装类型 选择“自定义” 点击下一步
在 自定义安装 除了默认选择的防火墙服务、高级日志与ISA服务器管理外,点击“消息筛选程序”然后选择“这项功会被安装到本地硬盘上”,然后点击下一步
在内部网络 点击“添加”
出现如下图 可以手工输入IP地址范围也可以选择网卡,我这里 点击“选择网卡”
在 选择网卡 “选择内网网卡” 在把“添加下列专用范围:。。。。”勾选去掉 如下图所示
如下图所示 出来刚才选择的内网IP 点击 “确定”
如下图所示 在内部网络 点击下一步
在防火墙客户端连接设置 不要勾选“允许运行早其版本的防火墙客户端软件的计算机连接” 点击下一步
在 服务 选择 下一步
如下图所示 点击“安装”
在 安装向导完成 点击“完成” 如下图
3.
在Florence配置ISA防火墙的SMTP服务器
点击开始--程序--管理工具--点击Internet信息服务管理器 如下图
在打开的Internet信息服务管理器,依次展开服务器,在展开默认SMTP虚拟服务器,右击 默认SMTP虚拟服务器,点击属性 如下图所示
在 默认SMTP 虚拟服务器 属性 选择“常规”标签,从IP地址列表中选择ISA防火墙的内部IP地址, 如下图所示
在点击“访问”标签 ,然后点击“中继”,设置为“仅以下表除外”,点击应用,然后点击确定。 如下图所示
在控制台的左边,右击域节点,选择新建,然后点击域
在欢迎使用新建SMTP域向导 选择“远程” 然后点击下一步 如下图
如下图 输入内部邮件域的域名,我这是isatest.com 输入完后 ,点击 完成
如下图 右击 控制台右边的 isatest.com 选择属性
在“常规”标签,勾选“允许将传入邮件中继到此域”,在路由域,勾选“见所有邮件转发到中继主机”,然后输入内部邮件服务器或者垃圾邮件过滤设备的IP地址
4.在Itanbul上配置邮件服务器
如下图 在Itanbul找到并打开的POP3服务
在打开的POP3服务控制台 创建一个新域
如下图所示 创建域名为 163.com
在选择 添加邮箱
在域中创建邮箱用户名 如下图所示
在开始--程序--管理工具--选择“Internet信息服务管理器”
在IIS里展开服务器,找到默认SMTP虚拟服务器,右击选择属性
在‘常规’中选IP地址为本机IP 如下图
在“访问”标签, 点击中继设置为 “仅以下表除外”,点击确定
5.为外网与内网利用OE(Outlook Express)配置账号
为外网配置OE
在开始--程序--找到OE(Outlook Express) 双击 如下图
在弹出的向导 输入显示名 如下图
填写 电子邮箱地址 如下图
填写 接收邮件POP3服务器IP与发送邮件服务器的IP 如下图所示
填写 用户名与密码 如下图 点击下一步
点击 完成 外网OE配置成功。
为内网配置OE
在开始--程序--选择OE 双击打开 如下图
在弹出的向导 输入显示名 如下图
输入 电子邮件地址 如下图
填写 接收邮件的POP3与发送邮件服务器的IP地址 如下图 选择下一步
填写 帐户名与密码 如下图 选择下一步
小测下 点击“发送/接收” 结果 报错误说 无法连接 服务器 怀疑服务没开
在找到服务管理这里 想起来了 Exchange的POP3 服务默认是禁用的 启用起来就好了
6.配置denver上的DNS服务器
DNS服务的提供方式有两种:第一种则是DNS区域由ISP提供解析(如果是用ISP来提供域名解析,只需要在你的公共DNS区域中奖励对应的A记录与MX记录。)
第二种是自己架设自己的DNS服务器,然后通过ISA防火墙来发布DNS服务(这个试验就是用的这个方法)
在开始--程序--管理工具--选择DNS 如下图
先添加个主机记录 如下图 在控制台右边,点击鼠标右键,选择 新建主机
在新建主机 里填写记录 如下图 通常使用名为mail ,输入想在ISA防火墙的服务器发布规则中使用的外部接口的IP地址 点击完成
右击右边的空白处 然后选择 新建邮件交换记录(MX)
在 弹出的新建资源记录 里 在邮件服务器的完全合格的域名(FQDN)填写刚创建好的主机A记录 如下图所示
7.
在ISA防火墙上创建服务器发布规则来发布Denver的DNS服务与防火墙上的SMTP服务
在ISA2004管理控制台,展开服务器,然后点击防火墙策略节点选择新建---点击服务器发布规则 如下图
在欢迎使用新建服务器发布规则向导 填写为规则输入个名字 如下图
在 选择服务器 让输入服务器IP地址 在此输入内部DNS服务器IP地址 如下图
在选择的协议里 选择DNS服务器 点击 下一步
在IP地址里 勾选“外部”网络 点击下一步
在正在完成 服务器发布规则 向导 点击完成。
接下来在发布SMTP服务器
在ISA Server 2004 管理控制台,展开服务器 ,然后点击防火墙策略右击 选择新建--点击服务器发布规则
在 欢迎使用新建服务器发布规则向导 中为规则输入名称 如下图
如下图 选择服务器 在输入服务器IP 输入内部SMTP服务器IP地址 如下图 也就是说内网IP地址
在选择协议 里 选择 SMTP服务器 ,选择 下一步
在 IP地址 ,勾选“外部”网络 , 点击下一步
在正在完成新建服务器发布规则向导 点击完成
如下图所示 点击 应用以保存修改和更新防火墙策略 (另外,还需建立访问规则以允许ISA防火墙转发邮件到对应的邮件服务器所放置的网络。在系统规则中默认允许ISA防火墙转发邮件到内部网络,所以在本试验不需要在建立额外的访问规则)
8.配置完成后,来发送邮件测试外网邮局发送到内部邮件是否成功。
9.在ISA上设置SMTP筛选器,来限制邮件的发送,例来限制发送附件文件扩展名称为 .pif 的文件
在ISA2004管理控制台,展开服务器,然后点击插件节点 ,双击右边面板中的SMTP过滤器 如下图
在SMTP 过滤器属性 里有五个标签,点击附件标签,选择添加 如下图
在邮件附件规则 选择启用次规则 在附件扩展名添加 .pif 文件 为了演示邮件筛选器是如何工作的,在这里选择保持邮件选项 如下图(目的允许ISA防火墙在服务器上保存邮件) 点击确定。
在SMTP筛选器属性 点击确定。 如下图
如下图所示 点击 应用以保存修改和更新防火墙策略
来测试下 在外网 用STTEST.163.COM给内网系统管理员发信 如下图
内网管理员没有收到信件 在看ISA服务器上的SMTP邮件筛选器的日志 如下图
现在的信件在哪,由于在SMTP筛选器上选择的是保存信件所以可以在ISA服务器上的C:\Inetpub\mailroot\Badmail目录找到它。(对于任何一个保持的邮件,在这个目录里都能看到3个文件:分别用BAD、BDP、与BDR文件,.BAD文件是邮件的实际内容;.BDP是无用信息的回集;.BDR文件显示了邮件没有被发送的原因)
