В первой части этого цикла о решениях почтовой гигиены на брандмауэре TMG мы рассмотрели процесс установки, требуемый, чтобы сделать брандмауэр TMG почтовым шлюзом. Теперь, после установки компонентов почтового шлюза, мы можем взглянуть на то, как настраивать политику защиты почты. Начнем с включения почтовой политики (E-Mail Policy). При этом включаются базовые функции защиты электронной почты, входящие в решение TMG Email Gateway. После включения защиты электронной почты у вас сразу начнут работать антиспамовое и антивирусное решения. Однако, как вы увидите в последующих статьях этого цикла, есть некоторые функции, которые можно настроить так, чтобы защита электронной почты удовлетворяла конкретным требованиям, предъявляемым вашей организацией.
В качестве напоминания: в TMG используется двусторонний подход к защите электронной почты:
- Forefront Protection for Exchange 2010 ' FPE – это антиспамовое и антивирусное приложение, также осуществляющее фильтрацию содержимого
- Exchange Edge Server ' Он может решать задачи фильтрации спама и соединений
Комбинация Exchange Edge Server и Forefront Protection for Exchange делает брандмауэр TMG очень мощным оружием в вашем арсенале средств против спама и вредоносных программ, работающих через электронную почту.
Приступим! Сразу предупреждаю: материала много.
Включение защиты электронной почты
Откройте консоль брандмауэра TMG и раскройте имя компьютера в левой панели консоли. Там вы увидите новый узел, которого не было в предыдущих версиях брандмауэра: узел E-Mail Policy. Щелкните на узле E-Mail Policy (см. Рисунок 1).
Рисунок 1
После этого вы увидите три вкладки в средней панели:
- E-Mail Policy. Здесь производится настройка и включение защиты электронной почты.
- Spam Filtering. Здесь производится настройка антиспама после включения защиты электронной почты.
- Virus and Content Filtering. Здесь производится настройка защиты от вредоносного ПО и фильтрации содержимого при защите электронной почты.
Давайте включим защиту электронной почты, нажав на ссылку Configure E-Mail Policy, как показано на Рисунке 2 ниже.
Рисунок 2
Запустится страница Welcome to the E-Mail Policy Wizard (Рисунок 3). Щелкните Next.
Рисунок 3
Следующая страница - Internal Mail Server Configuration (см. Рисунок 4). Здесь вам нужно предоставить брандмауэру TMG имя и IP-адрес вашего внутреннего SMTP-сервера; это тот SMTP-сервер в вашей внутренней сети, который настроен на прием входящих сообщений из Интернета. Он же будет отправлять исходящие сообщения в Интернет.
Щелкните кнопку Add рядом с разделом Internal mail servers. При этом вызовется диалоговое окно Computer. Введите имя SMTP-сервера и IP-адрес этого сервера. Либо вы можете воспользоваться кнопкой Browse, чтобы найти сервер, и IP-адрес и имя будут введены автоматически. Обратите внимание на то, что у вас может быть множество почтовых серверов во внутренней сети, которые вы хотите использовать для приема входящих сообщений.
Щелкните OK.
Рисунок 4
Теперь щелкните на вторую кнопку Add, которая находится рядом с разделом Accepted authoritative domains. При этом появится диалоговое окно Add Authoritative Domain , показанное на Рисунке 5. Введите имя домена, для которого вы хотите принимать входящую почту. Если у вас несколько почтовых доменов, для которых нужно принимать почту, щелкайте кнопку Add еще и добавляйте нужные домены.
Замечание:Все сообщения, пересылаемые вашей организации через брандмауэр TMG, для которых не указан почтовый домен из этого списка, не будут приниматься. Благодаря этому, ваша организация не сможет работать как SMTP-реле, которым могут воспользоваться спамеры.
Рисунок 5
Щелкните Next на странице Internal Mail Server Configuration, которая показана на Рисунке 6.
Рисунок 6
На странице Internal E-Mail Listener Configuration (см. Рисунок 7) выберите сеть, через которую будет приниматься исходящая почта. Если у вас несколько IP-адресов на этой сетевой карте, вы можете щелкнуть кнопку Select Addresses и выбрать конкретный IP-адрес, на который вы хотите принимать исходящую почту от вашего внутреннего SMT-сервера.
Щелкните Next.
Рисунок 7
На странице External E-Mail Listener Configuration (см. Рисунок 8), отметьте сеть, которая должна принимать входящую почту. В большинстве случаев это будет сеть External. Если у вас несколько IP-адресов на данной карте, вы можете щелкнуть кнопку Select Addresses и выбрать конкретный IP-адрес, на который нужно принимать входящую почту. В текстовом окне FQDN or IP address на этой странице введите Fully Qualified Domain Name, которое будет использовать брандмауэр TMG в качестве ответа на сообщения, инициирующие SMTP-сессию, например, HELO или EHLO. Убедитесь, что обратная DNS-запись для данного имени дает корректный IP-адрес, который представляет собой адрес, на который будет приниматься входящая почта.
Щелкните Next.
Рисунок 8
Опции почтовой политики
На странице E-Mail Policy Configuration (см. Рисунок 9) вы можете подключить следующие опции:
- Spam filtering: Эта опция включает технологию антиспама Forefront Protection for Exchange и при помощи различных методов фильтрации спама защищает вашу организацию от спама. Также она использует преимущества антиспамовой технологии, встроенной в Exchange Edge Server.
- Virus and content filtering: Эта опция включает антивирусную защиту Forefront Protection for Exchange и при помощи различных антивирусных механизмов защищает вас от различного вредоносного ПО, получаемого через электронную почту; кроме того, возможно осуществление фильтрации содержимого, так чтобы по ключевым словам и фразам определялось содержимое, подлежащее блокировке.
- Connectivityfor EdgeSync traffic: Вы можете подключиться к компоненту Exchange Edge брандмауэра TMG в вашей организации Exchange. Это позволит вам осуществлять фильтрацию по получателю, чтобы сообщения, адресованные пользователям, не входящим в вашу организацию, отклонялись шлюзом электронной почты.
Чтобы усилить защиту, поставьте отметки для всех этих опций и щелкните Next.
Рисунок 9
Если вы выберете Enable connectivity for EdgeSync traffic, вам придется еще поработать. Вам нужно будет сделать еще две вещи, и в этой статье мы их рассмотрим только в общих чертах: записи в файле помощи, касающиеся этих двух действий - To create an Edge Subscription file и Using the Exchange Management Console to import the Edge Subscription file - показаны на Рисунках 10 и 11 ниже.
Рисунок 10
Рисунок 11
Щелкните Finish на последней странице - Completing the E-Mail Policy Wizard (Рисунок 12).
Рисунок 12
Далее появится диалоговое окно Microsoft Forefront Threat Management Gateway, похожее на показанное на Рисунке 13, спрашивающее вас о том, хотите ли вы включить правила System Policy Rules, требуемые для получения и отправки SMTP-трафика. Да, нам это нужно, поэтому щелкните Yes.
Рисунок 13
Настройка почтовой политики
На данном этапе мы готовы к изучению и настройке почтовой политики. Теперь вы можете щелкнуть на кнопку Apply, чтобы сохранить ваши настройки, либо вы можете подождать, пока не завершится весь процесс. Вам решать. Мне нравится нажимать на кнопку Apply как можно чаще, потому что мне не хочется терять мои настройки в случае, если консоль повиснет. И хотя я не сталкивался с подобным при работе с брандмауэром TMG, никогда не знаешь, когда возникнут проблемы, поэтому всегда лучше сразу сохраняться, чем потом жалеть.
Теперь в средней панели этой консоли на вкладке E-Mail Policy можно увидеть следующие настройки:
- Email Policy: Enabled
- Spam Filtering: Enabled
- Virus and Content Filtering: Enabled
- Edge Subscription: Enabled
- Protection Manager Integration: Disabled
- E-Mail Policy Integration Mode: Enabled
Обратите внимание: Forefront Protection Manager (известный ранее как 'Stirling') сейчас нельзя настроить, так как Forefront Protection Manager находится в состоянии работы. Этой проблемой мы займемся позднее, когда FPM станет более стабильным, и у команды разработчиков появится лучшая идея, как с этим справиться.
А сейчас сделайте двойной щелчок на записи External_Mail_Servers (Рисунок 14).
Рисунок 14
При этом открывается диалоговое окно External_Mail_Servers Properties, показанное на Рисунке 15, где вы можете обновить настройки для внешнего почтового сервера. На вкладке Listener вы видите настройки Networks и FQDN, сделанные вами с помощью мастера.
Рисунок 15
Если вы щелкните на ссылку E-Mail Policy вверху средней панели ('Enabled' на Рисунке 14), вы увидите диалоговое окно E-Mail Policy, показанное на Рисунке 16. Здесь можно включить или отключить политику и защиту электронной почты. Аналогичные опции вы увидите и для других ссылок в верхней части средней панели, когда вы будете находиться на вкладке E-Mail Policy.
Рисунок 16
Теперь у вас есть рабочая конфигурация, и сейчас вам можно настраивать ваши MX-записи для отправки почты на внутренний интерфейс брандмауэра TMG. Настройки по умолчанию будут отлично работать, обеспечивая высокий уровень защиты. Однако, как я уже упоминал, вы можете расширить конфигурацию, и в последующих статьях этого цикла мы рассмотрим соответствующие опции.
Решение проблем
Если вы обнаружите, что входящая почта не достигает брандмауэра TMG после внесения вами изменений в ваши MX-записи, посмотрите на следующие вещи:
- Проверьте TTL на вашей текущей MX-записи, а также A-запись, то есть MX-запись, указывающую на то, насколько быстро ваши изменения «распространятся» через Интернет.
- Если перед брандмауэром TMG находится другой брандмауэр или NAT-устройство, убедитесь, что у вас настроено перенаправление входящих сообщений на TCP-порт 25 к IP-адресу, настроенному вами, когда вы запускали мастер для определения IP-адресов входящей почты
- Если у вас проблемы с исходящей почтой, убедитесь, что вы настроили ваш SMTP-сервер на использование брандмауэра TMG в качестве 'умного хоста' или настроили коннекторы Exchange 2007/2010 на использование брандмауэра TMG для исходящих соединений.
- Проверьте консоль Services в брандмауэре TMG, чтобы убедиться в том, что все службы брандмауэра TMG, а также службы Exchange и Forefront Protection for Exchange запущены.
Итоги
В данной второй части нашего цикла о решениях почтовой гигиены брандмауэр TMG мы разобрались с процедурами, необходимыми для настройки и запуска компонентов защиты электронной почты. Мы настроили слушателя входящих SMTP, используемого для получения входящей почты; то же самое для исходящей почты. Мы также включили Forefront Protection for Exchange и компоненты Exchange Edge, чтобы заработала антиспамовая и антивирусная защита.
В следующей статье этого цикла, мы подробнее рассмотрим настройку фильтрации спама в брандмауэре TMG. Существует целый набор конфигурационных опций, которые мы обсудим в той статье, включая функции антиспама, такие как: список разрешенных IP, список разрешенных IP-провайдеров, списки блокированных IP, список блокированных IP-провайдеров, фильтрация содержимого, фильтрация получателей, фильтрация отправителей, настройка ID отправителя и настройка репутации отправителя. Я собираюсь сделать статью простой и информативной, поэтому не пропускайте ее!