總公司:EXG1、EXG2、ISAB、ISAF
DMZ區:SMTP Relay、DNS
在DMZ區安裝SMTP伺服器主要是在於他Relay的功能,
當作公司內部EXG的智慧主機,以避免EXG暴露於Internet遭受直接的攻擊
並且在防火牆開放與發行相關規則,OWA
ISAB
1. 開放SMTP與總公司網域控制站之間AD流量
[DNS]、[LDAP]、[LDAP(UDP)]、[LDAP GCP(通用類別目錄)]
[Kerberos-Adm(UDP)]、[Kerberos-Sec(TCP)]、[Kerberos-Sec(UDP)]
[Microsoft CIFS(TCP)]、[NTP(UDP)]、[RPC(所有界面)]
2. 開放內部到外部的DNS要求
3. 開放內部到外部之間的POP3要求
4. 開放內部到外的SMTP要求
5. 開放SMTP Relay到Exchange伺服器之間的SMTP要求
SMTP Relay
1. 將網路設定到DMZ區網路,安裝SMTP服務
2. # route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250
3. 加到網域後重新開機後,請用網域帳號登入
4. 設定內收轉寄相關選項
確認存取控制的授權有 [允許匿名存取]
IIS管理員新增SMTP網域lucky.com,並且允許將接收郵件轉寄此網域
轉送所有郵件至智慧主機的IP為兩台EXG的VIP[192.168.5.5]
5.設定外送轉寄相關選項
確認存取控制的授權有勾選 [整合的Windowsu驗證]
轉接限制的部分加入兩台EXG的DIP,不行用VIP
勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
* 關於route table一定要新增這筆記錄,因為SMTP預設閘道為192.168.6.240前牆的DMZ卡
就算他知道.5.0的封包要往後牆丟也沒用,前牆會認為這是規則外的封包
所以就不傳了,因為前牆沒有開放AD相關流量,所以當封包到前牆的DMZ卡的時候
就會被認定為非法封包,丟
EXG1、EXG2
1. 打開EXG系統管理員裡的伺服器去設定 [預設SMTP虛擬伺服器]
確認存取控制的授權有 [整合的Windowsu驗證]
勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
傳遞的進階傳遞裡智慧主機填入[192.168.6.6],中括號一定要有
DNS
1. 新增一筆MX的紀錄 smtp.lukcy.com 192.168.168.240
ISAF
1. 發行DMZ SMTP Relay
2. 發行內部POP3伺服器
3. 開放內部到外部的SMTP與POP3要求
4. 開放內部到外部的DNS要求
以上設定結束後,便可將郵件外送,外面郵件也可內寄
接著發行Exchange OWA
ISAF
1. 新增一個外部VIP,192.168.168.239
2. [發行Exchange網頁用戶端存取],全勾
監聽程式的驗證裡的進階,勾選[允許透過HTTP進行用戶端驗證]
驗證委派的地方選擇[沒有委派,但用戶端可以直接驗證]
ISAB
1. 開放ISAF到Exchange的網頁流量
沒有留言:
張貼留言