配置ISA防火墙作为进入的SMTP中继过滤

译自Thomas W Shinder，Configuring the ISA Firewall as an Inbound Filtering SMTP Relay

　

内容概要：ISA防火墙的一个常见的配置环境是作为进入的SMTP中继过滤，你可以安装ISA防火墙作为进入的SMTP中继过滤，利用内建的SMTP过滤器和SMTP邮件筛选器，在邮件进入你的内部网络前进行过滤，这样可以分担你的垃圾邮件过滤设备和受保护的网络中的Exchange服务器的邮件过滤任务。通过这篇文章，你可以了解到如何去实现。

ISA防火墙的一个常见的配置环境是作为进入的SMTP中继过滤，你可以安装ISA防火墙作为进入的SMTP中继过滤，利用内建的SMTP过滤器和SMTP邮件筛选器，在邮件进入你的内部网络前进行过滤，这样可以分担你的垃圾邮件过滤设备和受保护的网络中的Exchange服务器的邮件过滤任务。

你需要将你的DNS区域的权威SMTP服务器解析到ISA防火墙的外部主IP地址上，这可以通过在DNS区域中为你的邮件服务器（ISA防火墙的外部主IP地址）建立A记录，然后基于这个A记录建立一个MX记录来实现。外部邮件发送到ISA防火墙的外部接口，然后由安装在ISA防火墙之上的SMTP服务接收。SMTP邮件筛选器对进入的邮件进行检查，然后转发通过了检查的邮件到内部网络中对应的邮件服务器或者垃圾邮件过滤设备。

在这篇文章中我们将按照以下步骤进行讨论：

试验网络的网络拓朴结构如下图所示：

建立匹配SMTP服务器发布规则的DNS记录

当你将ISA防火墙作为你的DNS区域中的权威SMTP服务器时，在ISA防火墙的SMTP服务器发布规则中你将使用ISA防火墙的外部接口的IP地址来接收进入的邮件。为了实现这一点，你需要配置你的公共DNS服务器，建立对应的DNS记录。

根据DNS服务的提供方式，可能会有两种情况：

如果你是由ISP来提供域名解析，你只需要在你的公共DNS区域中建立对应的A记录和MX记录。

如果你自己架设的公共DNS服务器，那么你需要使用服务器发布规则来发布位于受ISA防火墙保护的网络中的DNS服务器。在这种情况下，需要考虑以下事项：

建立匹配的DNS记录是非常简单的，在这个例子中我们给你展示如何在Windows Server 2003 DNS服务器上建立，在其他DNS服务器上建立原理是一样的。需要两个步骤：建立DNS的主机（A）记录和基于A记录来建立MX记录。

在一台Windows Server 2003 DNS服务器上执行以下步骤来建立对应的记录：

1. 在DNS管理控制台，展开服务器名，然后展开前向查找区域；
2. 右击你的域名，然后点击新建主机（A）；
3. 在新建主机对话框，在名字栏为你的授权邮件服务器输入名字，通常是使用mail，所以在此我们输入mail。在IP地址栏，输入你想在ISA防火墙的服务器发布规则中使用的外部接口的IP地址，在此我们使用111.111.111.1。

4. 点击完成；
5. 右击你的前向查找区域，然后点击新建邮件交换记录（MX）；
6. 在新建资源记录对话框，保持Host or child domain文本框为空白，在完全限定域名对话框，输入邮件服务器的FQDN，如果你不能确定，点击浏览按钮；
7. 在浏览对话框，在记录列表中双击你的服务器名，然后双击前向查找区域，然后双击你的域名，最后双击你刚才建立好的主机（A）记录，点击确定；

8. 你邮件服务器的FQDN现在显示在完全限定域名文本栏，点击确定；

8. 你建立好的记录在控制台的右边显示出来了，重启DNS服务。

注意在此例中我们使用ISA防火墙的外部接口的IP地址作为邮件服务器的IP地址，因为在大多数网络环境中，ISA防火墙是作为边缘防火墙，连接内部和外部网络。如果你的网络中，ISA防火墙没有直接连接到外部网络，那么你应该将邮件服务器解析到你的网络中连接到外部网络的接口的IP地址上。 

在ISA防火墙计算机上安装SMTP服务

在安装ISA防火墙软件之前，你需要在ISA防火墙计算机上安装SMTP服务。如果你已经安装了ISA防火墙软件，你一样可以安装SMTP服务，只是在后面需要修改ISA防火墙软件的配置，我们在后面会进行说明。

在一台将会安装ISA防火墙软件的计算机上，执行以下步骤：

1. 点击开始，指向控制面板，点击添加/删除程序；
2. 在添加/删除程序窗口，点击添加/删除Windows组件按钮；
3. 在Windows组件对话框，在组件列表中点击应用服务器，然后点击细节；
4. 在应用服务器对话框，点击Internet信息服务，然后点击细节；
5. 在Internet信息服务对话框，勾选SMTP服务，然后点击确定；
6. 在应用服务器对话框上点击确定；
7. 在Windows组件页点击下一步；
8. 在正在完成Windows组件向导页，点击完成；
9. 关闭添加/删除程序窗口；

下一步是配置SMTP服务来提供进入的SMTP中继服务，执行以下步骤来配置SMTP服务：

1. 点击开始，指向管理工具，然后点击Internet信息服务管理器；
2. 在Internet信息服务管理控制台，展开你的服务器，然后展开默认SMTP虚拟服务器，右击默认SMTP虚拟服务器，点击属性；

3. 在默认SMTP虚拟服务器属性对话框，点击常规标签，在常规标签，从IP地址列表中选择ISA防火墙的内部IP地址，在此例中是10.0.0.1；

4. 点击访问标签，然后点击中继按钮；

5. 在中继限制对话框，取消勾选Allow all computers which successfully authenticate to relay, regardless of the list above，这样可以保护SMTP中继不受垃圾邮件发送者的字典法暴力破解的影响，点击确定；

6. 点击应用，然后点击确定。
7. 在控制台的左边，右击域节点，指向新建，然后点击域；
8. 在欢迎使用新建SMTP域向导页，选择远程，然后点击下一步；
9. 在域名页，输入内部邮件域的域名，在此例中是msfirewall.org，输入后点击完成；

10. 双击控制台的右边的msfirewall.org项；
11. 在常规标签，勾选Allow incoming mail to be relayed to this domain ，在Route domain框架，勾选Forward all mail to smart host，然后输入内部邮件服务器或者垃圾邮件过滤设备的IP地址，在此例中我们转发邮件到内部网络的Exchange服务器上，输入[10.0.0.2]，点击应用，然后点击确定；

12. 关闭Internet信息服务管理控制台。

在ISA防火墙计算机上安装ISA防火墙软件

现在我们可以在防火墙计算机上安装ISA防火墙软件了。如果你已经安装了ISA防火墙软件，则使用控制面板的添加/删除程序，通过ISA安装程序的修改按钮来修改ISA Server 2004软件的配置，在附件组件中选择SMTP邮件筛选器进行安装即可。

执行以下步骤来安装ISA防火墙软件：

1. 在ISA Server 2004 CD的自动运行界面，点击安装ISA Server 2004；
2. 在欢迎使用Microsoft ISA Server 2004安装向导页点击下一步；
3. 在协议许可页，阅读后选择我接收协议，点击下一步；
4. 在用户信息页，输入你的个人信息，点击下一步；
5. 在安装类型页，点击自定义，点击下一步；
6. 在自定义安装页，除了默认选择的防火墙服务、高级日志和ISA Server管理控制台外，点击邮件筛选器，然后选择This feature, and all subfeatures, will be installed on local hard drive，然后点击下一步；

7. 在内部网络页，点击添加按钮；
8. 在地址范围页，点击选择网络适配器按钮；
9. 在选择网络适配器页，取消勾选Add the following private ranges...，确认勾选了Add address ranges based on the Windows Routing Table，然后勾选内部网络接口，然后两次点击确定。

10. 在地址范围页，点击确定；
11. 在内部网络页，点击下一步；
12. 在防火墙客户端连接设置页，不要勾选Allow computer running earlier versions of the Firewall Client software to connect，然后点击下一步；
13. 在服务页点击下一步；
14. 在Ready to Install the Program页点击安装；
15. 在安装向导完成页点击完成。如果需要重启则重启ISA防火墙服务器，重启后以管理员身份登录，然后打开防火墙管理控制台；

在ISA防火墙上建立服务器发布规则

在此例中我们将建立两个服务器发布规则，一个是内部网络中DNS服务器的发布，一个是SMTP服务器的发布。因为在这个例子中，我们的公共DNS区域记录是架设在内部网络的DNS服务器上，所以我们需要发布内部的DNS服务器。

执行以下步骤来建立DNS服务器发布规则：

1. 在ISA Server 2004管理控制台，展开你的服务器，然后点击防火墙策略节点；
2. 在防火墙策略节点，在任务面板点击任务标签，点击新建服务器发布规则链接；
3. 在欢迎使用新建服务器发布规则向导页，为规则输入一个名字，在此例中我们命名为DNS Server，然后点击下一步；
4. 在服务器选择页，在IP地址文本框输入内部DNS服务器的IP地址，在此例中是10.0.0.2，输入后点击下一步；
5. 在选择协议页，从选择协议列表中选择DNS服务器，然后点击下一步；

6. 在IP地址页，勾选外部网络，点击下一步；
7. 在正在完成服务器发布规则向导页，点击完成；

接下来，执行以下步骤来建立SMTP服务器发布规则：

1. 在ISA Server 2004管理控制台，展开你的服务器，然后点击防火墙策略节点；
2. 在防火墙策略节点，在任务面板点击任务标签，点击新建服务器发布规则链接；
3. 在欢迎使用新建服务器发布规则向导页，为规则输入一个名字，在此例中我们命名为SMTP Relay，然后点击下一步；
4. 在服务器选择页，在IP地址文本框输入内部SMTP服务器的IP地址，在此例中是10.0.0.1，输入后点击下一步；
5. 在选择协议页，从选择协议列表中选择SMTP服务器，然后点击下一步；

6. 在IP地址页，勾选外部网络，点击下一步；
7. 在正在完成服务器发布规则向导页，点击完成；
8. 点击应用以保存修改和更新防火墙策略；
9. 在应用新配置对话框，点击确定；

另外，你需要建立访问规则以允许ISA防火墙转发邮件到对应的邮件服务器所放置的网络。在系统策略中默认允许ISA防火墙转发邮件到内部网络，所以在此我们不需要额外建立访问规则。 

配置ISA防火墙上的SMTP过滤器和邮件筛选器

现在我们可以对SMTP筛选器进行配置了。事实上，你可以在建立SMTP服务器发布规则前配置SMTP邮件筛选器。打开ISA Server 2004管理控制台，展开服务器，然后展开配置节点，点击插件节点，双击右边细节面板中的SMTP过滤器。

在SMTP过滤器属性对话框中有五个标签，为了测试我们的配置，我们在此设置SMTP邮件筛选器阻止.pif扩展名的附件。

点击附件标签，在附件标签，点击添加按钮。选择附件扩展名选项，然后在文本框中输入扩展名.pif；在动作下拉列表中可以选择删除邮件、保持邮件或者转发邮件。在商用网络中你可能会选择删除邮件，因为正常的邮件中包含pif文件的机率是相当小的。但是，为了给你演示邮件筛选器是如何工作的，我们选择保持邮件选项，这样允许ISA防火墙在服务器上保存邮件，点击确定。

点击应用，然后在SMTP过滤器属性对话框上点击确定。

点击应用以保存修改和更新防火墙策略；在应用新配置对话框，点击确定；

测试配置

现在我们使用外部的客户计算机进行测试，外部客户计算机的操作系统是Windows XP Professional，并且DNS服务器的配置匹配ISA防火墙上的DNS服务器发布规则的IP地址，已经配置了Outlook Express将ISA防火墙的外部接口的IP地址作为它的SMTP服务器。

在外部客户上我们将发送一封邮件，包含了一个扩展名为.pif的附件。因为SMTP邮件筛选器作了限制，这封邮件不能到达内部网络中的Exchange Server，因为我们选择的是保持邮件，我们可以在C:\Inetpub\mailroot\Badmail目录中找到它。对于任何一个保持的邮件，我们可以看到三个文件：一个BAD文件、一个BDP文件和一个BDR文件。.BAD文件是邮件的实际内容；.BDP是无用信息的汇集；.BDR文件显示了邮件没有被发送的原因。

对于SMTP邮件筛选器的更多的信息，你可以查看SMTP邮件筛选器的日志。