【邮观察】Exchange的传输代理

上周我们介绍了Exchange边缘传输服务器的搭建方式。对于搭建在DMZ的边缘传输服务来说,我们最想了解的一定是它的传输代理,究竟对于内部邮件系统,边缘传输服务能做到哪些入侵防范呢?

首先我们来看一下在2013/2016的边缘传输服务器都有哪些传输代理(Get-TransportAgent):

0

而在邮箱(Mailbox)和客户端访问(CAS)服务器上并没有那么多:

1

下面我们按先后顺序逐一来看下边缘服务器上这十个传输代理的功能:

  1. 连接过滤代理(Connection Filtering Agent):用来设定IP黑白名单以拒绝或允许传入连接,默认全部允许;
  2. 入站地址重写代理(Address Rewrite Inbound Agent):这个的应用场景是你做好了Exchange内部组织名称,比如叫abc.com,结果发现这个smtp后缀在公网上被注册了,只能注册xyz.com了。那么在不更改内部权威域的情况下,可以在边缘传输服务器上设置地址重写,将收到的xyz.com后缀的邮件重写为abc.com的后缀发到内部Exchange。然后配合最后的出站地址重写,外部收件人收到的回信还是从xyz.com发来的
  3. 边界规则代理(Edge Rule Agent):自定义传输规则,有一部分和内部规则相同,可以分担内部传输服务的负载。当然也有边缘传输所独有的传输规则条件,比如:SCL高于…(设定垃圾邮件过滤的等级)、邮件头包含…(过滤包含特定字符邮件头的邮件)等等。
  4. 内容过滤代理(Content Filter Agent):根据邮件正文过滤入站邮件;
  5. 发件人ID代理(Sender ID Agent):检查发件人的公网SPF记录,以确保对方发件地址和注册的IP匹配

    2

  6. 发件人过滤代理(Sender Filter Agent):对于经常发垃圾邮件的发件人,可以将其或其组织加入黑名单;
  7. 收件人过滤代理(Recipient Filter Agent):这有两个应用场景,一是如果收件人在组织内不存在,决定丢弃还是隔离这封邮件;如果该收件人存在,也可以决定是否允许其接收外部邮件。
  8. 协议分析代理(Protocol Analysis Agent):检查发件人的信誉(是否被列为公网RBL名单);
  9. 附件过滤代理(Attachment Filtering Agent):过滤特定附件名称(比如exe文件,jar/zip文件等等)
  10. 出站地址重写代理(Address Rewrite Outbound Agent):对出站邮件的发件人地址进行重写,可以和入站重写代理配合将内部域映射为另一个外部SMTP域,也可以单独重写某一用户的地址使其看起来像非组织内的地址

发布一个Exchange组织需要配置以下公网记录:

  • SPF记录:SMTP域需要与公网IP匹配;
  • PTR记录:反向DNS解析;没有注册此纪录,发件人会收到554的退信

    3

  • MX记录:将smtp域名绑定到Host;
  • host记录:将host绑定到IP;


Exchange中文站10周年,全网首发Exchange2016中文视频教程促销中,喜欢的童鞋可进入edu.exchangecn.com/course/12购买

李 章毅
Exchange MVP

李 章毅

找张正经又不装逼的照片挺难的。。。
李 章毅
Exchange MVP

李 章毅 的最新文章 (查看所有)

发布于: 浏览:1081 次

还没有评论

欢迎参与到我们的技术讨论,问题和分享都可以。