2009年11月16日 星期一

[MS_Lab] SMTP Relay & OWA

總公司:EXG1、EXG2、ISAB、ISAF
DMZ區:SMTP Relay、DNS

在DMZ區安裝SMTP伺服器主要是在於他Relay的功能,
當作公司內部EXG的智慧主機,以避免EXG暴露於Internet遭受直接的攻擊
並且在防火牆開放與發行相關規則,OWA

ISAB
1. 開放SMTP與總公司網域控制站之間AD流量
    [DNS]、[LDAP]、[LDAP(UDP)]、[LDAP GCP(通用類別目錄)]
    [Kerberos-Adm(UDP)]、[Kerberos-Sec(TCP)]、[Kerberos-Sec(UDP)]
    [Microsoft CIFS(TCP)]、[NTP(UDP)]、[RPC(所有界面)]
2. 開放內部到外部的DNS要求
3. 開放內部到外部之間的POP3要求
4. 開放內部到外的SMTP要求
5. 開放SMTP Relay到Exchange伺服器之間的SMTP要求

SMTP Relay
1. 將網路設定到DMZ區網路,安裝SMTP服務
2. # route -p add 192.168.5.0 mask 255.255.255.0 192.168.6.250
3. 加到網域後重新開機後,請用網域帳號登入
4. 設定內收轉寄相關選項
    確認存取控制的授權有 [允許匿名存取]
    IIS管理員新增SMTP網域lucky.com,並且允許將接收郵件轉寄此網域
    轉送所有郵件至智慧主機的IP為兩台EXG的VIP[192.168.5.5]
5.設定外送轉寄相關選項
    確認存取控制的授權有勾選 [整合的Windowsu驗證]
    轉接限制的部分加入兩台EXG的DIP,不行用VIP
    勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]

*  關於route table一定要新增這筆記錄,因為SMTP預設閘道為192.168.6.240前牆的DMZ卡
    就算他知道.5.0的封包要往後牆丟也沒用,前牆會認為這是規則外的封包
    所以就不傳了,因為前牆沒有開放AD相關流量,所以當封包到前牆的DMZ卡的時候
    就會被認定為非法封包,丟

EXG1、EXG2
1. 打開EXG系統管理員裡的伺服器去設定 [預設SMTP虛擬伺服器]
    確認存取控制的授權有 [整合的Windowsu驗證]
    勾選 [不管以上所列的項目,允許所有通過驗證的電腦轉接]
    傳遞的進階傳遞裡智慧主機填入[192.168.6.6],中括號一定要有

DNS
1. 新增一筆MX的紀錄 smtp.lukcy.com 192.168.168.240

ISAF
1. 發行DMZ SMTP Relay
2. 發行內部POP3伺服器
3. 開放內部到外部的SMTP與POP3要求
4. 開放內部到外部的DNS要求

以上設定結束後,便可將郵件外送,外面郵件也可內寄
接著發行Exchange OWA

ISAF
1. 新增一個外部VIP,192.168.168.239
2. [發行Exchange網頁用戶端存取],全勾
    監聽程式的驗證裡的進階,勾選[允許透過HTTP進行用戶端驗證]
    驗證委派的地方選擇[沒有委派,但用戶端可以直接驗證]

ISAB
1. 開放ISAF到Exchange的網頁流量
 

沒有留言:

張貼留言