简单就是力量(power cloaked in simplicity)!
Exchange边缘传输服务器角色通常部署在组织外围网络中,它能够最小化攻击面,还可以处理所有面向Internet的邮件流,为Exchange组织提供SMTP中继和智能主机服务 。
一、安装边缘传输服务器角色
edge服务器被设计成一个SMTP网关服务器,所有企业内部与Internet之间收发的邮件都要通过边缘传输服务器来路由。因边缘传输服务器更接近Internet,故对其部署的安全性要求更高 。
部署边缘传输服务器时,满足条件如下所示:
(1)推荐部署在外围网络(DMZ)中,以提高Exchange组织的安全性;
(2)最好安装在独立的服务器上(不推荐将该服务器加入到AD域中);
(3)配置边缘传输服务器的FQDN名,主机必须拥有主DNS后缀才能安装角色;
(4)在组织内部和外部的防火墙上,必须开放如下表所示的端口 。
|
防火墙接口 |
防火墙规则 |
协议/TCP端口 |
说明 |
|
外部 |
进入Internet |
SMTP/25 |
必须为进入Internet的邮件打开此端口 |
|
内部 |
通过内部网络入站和出站 |
SMTP/25 |
必须为发往和来自Exchange组织的邮件流打开此端口 |
|
内部 |
从内部网络入站 |
Secure LDAP/50636 |
若要进行EdgeSync同步,必须打开此端口 |
注:Microsoft Exchange EdgeSync服务是运行在中心传输服务器上的数据同步服务,该服务用来协助边缘传输服务器拷贝反垃圾邮件配置或域安全信息。
(5)在内部DNS服务器中配置边缘传输服务器的IP地址解析, 以使中心传输服务器能够访问 ;
(6)必须修改外部DNS的MX记录,使其指向新的边缘传输服务器;
将边缘传输服务器(Edge)的计算机名及其主DNS后缀,改成如下图所示:
注:
①Win 2003中需安装ADAM。边缘传输服务器(Edge)不是活动目录域的成员,不能通过活动目录来保存服务器的配置信息,于是它使用Active Directory应用程序模式(ADAM)补丁代替Active Directory域 。这样在Edge中,ADAM用于保存配置和收人信息。
②Win 2008中,添加Active Directory轻型目录服务角色 ,如下图所示:
(2)安装边缘传输服务器角色与安装Exchange典型安装的方法类似,双击Exchange安装文件,选 边缘传输服务器角色 ,如下图所示:
下面我们输入密钥,如下图所示:
二、配置边缘同步
(1)在EdgeSVR上,打开Exchange命令行管理程序,运行 New-EdgeSbubscription 来导出边缘订阅文件,如下图所示:
注: 输入的是
(2)将边缘订阅文件EdgeSubscriptionInfo.xml复制到中心传输服务器。具体如下图所示:
(3) 下面我们在中心传输服务器上运行 start-edgesynchronization 命令,进行强制边缘同步,同步配置数据,如下图所示 :
(4) 同步后,我们再在中心传输服务器上运行 test-edgesynchronization 命令,验证配置是否成功 。
(5) 配置边缘订阅后,分别自动建立2个发送连接器 , 在中心传输服务器和边缘传输服务器上,如下图所示 :
(6) 同时,在中心传输服务器的接受域配置信息也会自动复制到边缘传输服务器 , 如下图所示 :
(7) 测试Internet邮件流 :
仅作参考!下面是搭建一个测试环境 ,网络拓扑图如下所示 :
温馨提示:
参考《FJ集团企业邮件服务器--Exchange服务器安装与配置(3个角色)》
重点提示:
为了邮件服务器在通信时确实经过了边缘传输服务器 , 必须在DNS服务器上设置MX交换记录且一定要将MX记录指向边缘传输服务器 ! 切记!!!
三、配置防垃圾邮件功能
在Exchange 2007中内置了反垃圾邮件功能,对垃圾邮件进行过滤筛选,具体包括:
(1) 连接筛选
(2) 发件人筛选
(3) 收件人筛选
(4) 内容筛选
1. 使用连接筛选阻止垃圾邮件
预先设定IP地址列表包括 :
(1) 管理员定义的IP允许列表和IP阻止列表; //不常用 ! 维护非常耗时 !
(2) IP阻止列表提供程序(实时阻止列表(RBL)服务); // 最佳作法 !
(3) IP允许列表提供程序(安全列表服务) 。
下面我们来详细举例 ,如何配置:
(1) 配置IP阻止列表
如测试环境中的mail.beyond.com(192.168.1.224)那台邮件服务器狂发垃圾邮件 ,如何阻止接收它发来的邮件呢?
(2)配置 IP阻止列表提供程序 (实时阻止列表(RBL)服务)
目前比较知名的有两个:一个是中国反垃圾邮件联盟(www.anti-spam.org.cn),是民间组织成立于2003年; 另一个是中国互联网协会反垃圾邮件中心(www.anti-spam.cn), 是官方组织 。
在实际环境中 , 并不需要自己设计 , 利用中国反垃圾邮件联盟的地址来实现就行了 , 其地址为cb1.anti-spam.org.cn
下面是添加 中国反垃圾邮件联盟 ,如下图所示 :
下面是添加 中国互联网协会反垃圾邮件中心 ,如下图所示 :
使用内容筛选阻止垃圾邮件
内容筛选器代理为每封邮件分配垃圾邮件可信度(SCL)分级 。SCL分级是0~9之间 。SCL分级越高,表明邮件越可能是垃圾邮件 。
可把内容筛选器代理配置为根据SCL分级对邮件执行下列操作 :
(1) 删除邮件
(2) 拒绝邮件
(3) 隔离邮件
思考: NJ公司对EX邮件系统,使用智能邮件过滤阻止垃圾邮件方法是: SCL分级等于或高于7的邮件 ,必须删除; 分级为6的邮件,必须拒绝; 分级为5的邮件,必须隔离 。
配置防病毒功能
电脑病毒和蠕虫危害尽人皆知 。如: 曾经风靡全球的“美丽杀”(Melissa)、Papa和HAPPY99等病毒正是通过电子邮件的方式进行传播的,当时许多邮件服务器瘫痪 ,其后果不言而喻 !
强烈建议在边缘传输服务器上部署杀软!!!
简单就是力量(power cloaked in simplicity)!
Exchange边缘传输服务器角色通常部署在组织外围网络中,它能够最小化攻击面,还可以处理所有面向Internet的邮件流,为Exchange组织提供SMTP中继和智能主机服务 。
一、安装边缘传输服务器角色
edge服务器被设计成一个SMTP网关服务器,所有企业内部与Internet之间收发的邮件都要通过边缘传输服务器来路由。因边缘传输服务器更接近Internet,故对其部署的安全性要求更高 。
部署边缘传输服务器时,满足条件如下所示:
(1)推荐部署在外围网络(DMZ)中,以提高Exchange组织的安全性;
(2)最好安装在独立的服务器上(不推荐将该服务器加入到AD域中);
(3)配置边缘传输服务器的FQDN名,主机必须拥有主DNS后缀才能安装角色;
(4)在组织内部和外部的防火墙上,必须开放如下表所示的端口 。
|
防火墙接口 |
防火墙规则 |
协议/TCP端口 |
说明 |
|
外部 |
进入Internet |
SMTP/25 |
必须为进入Internet的邮件打开此端口 |
|
内部 |
通过内部网络入站和出站 |
SMTP/25 |
必须为发往和来自Exchange组织的邮件流打开此端口 |
|
内部 |
从内部网络入站 |
本文转自
beyondhedefang 51CTO博客,原文链接:http://blog.51cto.com/beyondhdf/1157921 ,如需转载请自行联系原作者