郵件服務器發布有什麽規則?

當創建郵件服務器發布規則時，ISA Server 2004創建允許客戶端訪問其郵件服務器所需的必要發布規則。根據所指定的郵件服務器的類型，將配置Web發布規則或服務器發布規則，以便允許使用用戶指定的協議訪問郵件服務器。 可以從已發布的郵件服務器所提供的下列訪問類型中選擇壹種。 * Web客戶端訪問：允許客戶端訪問Outlook Web Access、Outlook Mobile Access或 Exchange Application Services服務器。如果選擇此選項，ISA服務器將配置適當的Web發布規則。 * 客戶端訪問：允許客戶端使用遠程過程調用(RPC)、Intemet消息訪問協議版本 4revl(IMAP4)、郵局協議版本3(POP3)或簡單郵件傳輸協議(SMTP)來訪問其郵件。當 選擇此選項時，將針對選定的每個協議創建服務器發布規則。 * 服務器到服務器的通信。允許SMTP(郵件)服務器和NNTP(新聞)服務器訪問。 在發布郵件服務器時，我們建議您將郵件服務器的FQDN名稱配置為ISA服務器計算機的外部DNS名稱。采用這種方式，郵件服務器的內部名稱將不會公開，因此不易受到攻擊。 1． SMTP篩選 如果安裝並啟用了SMTP篩選器，可以應用SMTP篩選。 ISA Server 2004是復雜的應用程序層知曉防火墻，可以配置為阻止不想要的電子郵件，包括危險的病毒和蠕蟲。ISA服務器進行SMTP郵件的檢測，阻止危險代碼和不想要的電子郵件進入公司網絡。 ISA服務器使用兩個組件保護公司網絡。 1) SMTP篩選器 ISA服務器攔截到達ISA服務器計算機25端口的所有SMTP通信。SMTP篩選器接受並 檢查通信，並只有在規則允許的情況下，才傳遞該通信。SMTP篩選器可以與消息篩選程序壹起工作，以提供更深入的內容檢查。 默認情況下，SMTP篩選器應用於SMTP和SMTP Server協議。只有在通信是在安全通道 上進行(使用TLS)的情況下，ISA服務器才支持Exchange服務器計算機之間的林間通信。 在啟用了SMTP篩選器事件警報的情況下，如果SMTP命令由於違反了SMTP篩選器的某 個條件而被阻止，將僅記錄被阻止的消息。該警報默認情況下被禁用。 SMTP篩選器檢查Intemet SMTP服務器和客戶端發送的SMTP命令。該篩選器可以攔截 SMTP命令並檢查它們是否超過了應有的大小。大小超過配置限制的SMTP命令將被視為是向 SMTP服務器發起的攻擊，可以由SMTP篩選器阻止。 每個SMTP命令都有關聯的最大長度。此長度表示每個命令所被允許的字節數。如果攻擊者發送超過所允許的命令字節數的命令，ISA服務器將斷開連接，並阻止攻擊者與公司郵件服務器通信。 如果客戶端使用的是已定義但被禁用的命令，則篩選器將關閉該連接。如果客戶端使用的是SMTP篩選器不識別的命令，將不會對該消息執行篩選。如果客戶端使用的是TURN命令， 則篩選器將丟棄所有電子郵件消息。 RFC將AUTH命令視為MAIL FROM命令的壹部分。為此，SMTP篩選器將只有在MAIL FROM命令超過所發出的MAIL FROM和AUTH命令長度之和的情況下(當啟用AUTH時)才 將其阻止。例如，如果指定MAIL FROM和AUTH的最大長度分別分別為266字節和1024字 節，則只有當MAIL FROM命令超過1290字節時才阻止消息。 2) SMTP消息篩選程序 ISA服務器包含以下兩個組件，可以幫助用戶防止在網絡上出現郵件轉發、病毒侵入及不 需要的附件：簡單郵件傳輸協議(SMTP)篩選器和消息篩選程序。消息篩選程序是ISA服務器 的壹個可選組件，可以獨立於ISA服務器和“ISA服務器管理”單獨安裝。 SMTP消息篩選程序與SMTP篩選器壹起使用，可以攔截到達ISA服務器計算機的TCP 端口(端口號25)上的所有SMTP通信。消息篩選程序旨在用於篩選垃圾郵件。它的主要目的是按照規範篩選從不受歡迎的發件人和域發送的關鍵字、附件和電子郵件。該組件必須安裝在運行Internet信息服務(IlS)6．0或IIS5．0的SMTP服務器上。該服務器不必是ISA服務器計算機。例如，消息篩選程序可以安裝在ISA服務器計算機上、Exchange服務器計算機上或其他任何運行IIS6．0或IIS5．0的內部SMTP服務器l：。 註意：如果不在ISA服務器計算機上安裝消息篩選程序，那麽必須相應地創建壹條訪問規則，以便允許消息篩選程序使用MS防火墻控制協議訪問本地主機網絡。 SMTP消息篩選程序可以根據以下條件篩選傳入郵件。 * 在MAIL FROM SMTP命令中發送的值。此項用於篩選發件人和域名。 * 每個附件的內容部署標頭字段。此字段通常包含附件文件名和擴展名。消息篩選程序可以按照擴展名、名稱或大小篩選附件。 * 關鍵字篩選。此項用於篩選郵件主題和正文(文本／純文本或文本／html內容類型)。 可以將SMTP消息篩選程序配置為刪除電子郵件、保留電子郵件以便日後檢查，或將電子郵件轉發到安全管理員賬戶以便進行進壹步的檢查和分析。 例如，假設有壹個常見病毒發送包含特定關鍵字的垃圾郵件。可以將消息篩選程序配置為接收到帶有此關鍵字的電子郵件之後執行下列三種操作之壹。 * 刪除郵件； * 保留郵件； * 轉發郵件。 2．RPC篩選 當發布RPC類型的郵件服務器時，可以應用R2C篩選。 ISA服務器處理網絡外部的客戶端與位於網絡內部的遠程過程調用(RPC)服務器之間的所 有RPC通信。使用ISA服務器RPC篩選器，可以將壹個或多個UUID接口指定為RPC協議定 義。此協議定義用於服務器的ISA服務器發布規則中，以便外部客戶端可以訪問內部RPC服務器上的UUID接口。 默認情況下，RPC篩選器應用於RPC和RPC服務器協議。 1) Exchange服務器發布和RPC篩選器 從遠程站點訪問Exchange服務器的常見方法是使用完整的Outlook MAPI客戶端。用戶喜歡使用當直接連接到公司剛絡時他們所使用的完整的Outlook MAPI客戶端來收發電子郵件。防火墻和安全管理員所面臨的主要困難是確保完整Outlook MAPI客戶端遠程訪問連接的安全性。遠程訪問Microsoft Exchange RPC服務(對於Outlook MAPI客戶端訪問是必需的)可以要求在Intemet邊緣防火墻上存在大量靜態打開的端口。允許遠程訪問Exchange RPC服務所需的靜態打開端口數對於改善從遠程位置使用Outlook收發郵件的體驗壹直是壹個屏障。 在傳統的防火墻上，要啟用這壹類型的訪問，在傳統防火墻上的大量靜態打開端口會使安全和防火墻管理員對於是否允許使用完整的Outlook MAPI客戶端進行遠程訪問而猶豫不決。壹個重要的考慮岡素是RPC和DCOM服務可能受到專門設計的病毒和蠕蟲的攻擊。如果使用傳統的防火墻(不識別RPC應用程序層)，那麽RPC蠕蟲可能會通過此端口號攻擊網絡。此類攻擊可能會感染Exchange服務器，繼而感染公司網絡中的其他計算機。 ISA服務器RPC篩選器允許強制建立與公司Exchange服務器的安全Outlook MAPI連接。 RPC篩選器會阻止來自公司網絡的出站RPC蠕蟲連接。此篩選器可以幫助用戶防止RPC蠕蟲 連接遺留在公司網絡中，並阻止網絡中的主機感染Intemet上的計算機。 RPC篩選器還可以用於強制從Outlook MAPI客戶端建立安全的RPC連接。如果啟用此功能，從遠程OutlookMAPI客戶端發出的連接請求將必須通過安全的加密通道完成。如果連接不安全，ISA服務器將丟棄客戶端請求。這使得ISA服務器(而不是用戶)可以控制安全級別。 2) 針對Outlook客戶端的RPC篩選 下面說明了何時在Outlook MAPI客戶端與ISA服務器之間建立最初的RPC終結點映射程序連接。 * Outlook MAPI客戶端與ISA服務器的外部接口上的TCP端口135建立連接。 * RPC篩選器對連接中的數據包進行狀態檢查。如果檢測到無效的RPC通信，將斷開 連接。 * 來自Outlook MAPI客戶端的有效RPC連接被轉發到Exchange服務器。Exchange服務器用客戶端對後續數據連接使用的端口號響應該請求。 * ISA服務器攔截響應，並將端口號更改為ISA服務器的外部接口上可供Outlook MAPI客戶端使用的有效端口。 * ISA服務器將用於與Exchange服務器的後續通信的端口號轉發到Outlook MAPI客戶端。 下面是建立終結點映射程序連接後，Outlook MAPI客戶端與Exchange服務器之間的通信順序。 (1)Outlook MAPl客戶端與ISA服務器指定使用的MAPI端口建立連接。ISA服務器屏蔽RPC命令，以確保其不會在通道內被利用。 (2)ISA服務器將Outlook MAPI客戶端發送的信息轉發到Exchange服務器RPC服務。 (3)Exchange服務器響應Outlook MAPI客戶端，而ISA服務器卻攔截響應。RPC篩選器屏蔽這些響應並更改源端口號。 (4)ISA服務器將響應轉發到Outlook MAPI客戶端。 3)嚴格的RPC符合性 可以基於每條規則配置出站RPC協議，以強制實現嚴格的RPC符合性。默認情況下，對RPC協議強制實現嚴格的符合性。通過強制實現嚴格的符合性，RPC類型的協議f如DCOM)將不允許通過ISA服務器。