配置Exchange服務器使用ISA防火牆作爲它的前端主機（Smart Host）

配置Exchange服務器使用ISA防火牆作爲它的前端主機（Smart Host）
前端主機（Smart Host）是爲另外一臺SMTP服務器提供名字解析服務和SMTP郵件轉發功能的計算機。對於將ISA防火牆作爲出站中繼代理的Exchange服務器來說，ISA防火牆就是Exchange服務器的的前端主機。ISA防火牆上的SMTP服務解析郵件域名，然後轉發郵件到對應的SMTP服務器上。
在Exchange服務器上執行以下步驟來配置它使用ISA防火牆上的SMTP服務作爲它的前端主機：
1.      在Exchange服務器上，打開系統管理器；
2.      在Exchange系統管理器管理控制檯，展開服務器節點下的服務器名，再展開協議節點下的SMTP節點；
3.      右擊默認SMTP虛擬服務器，然後點擊屬性；
4.      在默認SMTP虛擬服務器屬性對話框，點擊發送標籤；
5.      在發送標籤，點擊高級按鈕；
6.      在高級發送對話框，輸入偵聽SMTP連接請求的SMTP服務的IP地址，在此例中，ISA防火牆上的SMTP服務在內部網絡接詰腎P地址10.0.0.1上偵聽連接請求，所以我們輸入它；在輸入的時候，需要使用方括號“[]”來包含輸入的IP地址，所以我們輸入[10.0.0.1]，點擊確定；
7.      在默認SMTP虛擬服務器屬性對話框，點擊應用再點擊確定；
8.      在Exchange服務器上重啓SMTP服務。
　
　
　
建立SMTP服務器發佈規則，偵聽ISA防火牆的內部接口
在“配置ISA防火牆作爲進入的SMTP中繼過濾”一文中，我們建立了SMTP服務器發佈規則來在ISA防火牆的外部接口偵聽進入的SMTP請求，然後轉發到在ISA防火牆的內部網卡的IP地址上偵聽的SMTP服務上。我們同樣可以建立SMTP服務器發佈規則來偵聽到達ISA防火牆的內部網卡的SMTP請求。不過非常方便的是我們可以直接修改現存的SMTP服務器發佈規則，而不需要新建一條SMTP服務器發佈規則。
執行以下步驟來配置SMTP服務器發佈規則，以在ISA防火牆的內部網絡接口上接收進入的SMTP請求：
1.      在ISA Server 2004的管理控制檯，展開服務器名，然後點擊防火牆策略，右擊右邊面板中的允許進入SMTP中繼的SMTP Relay規則；
2.      在SMTP Relay屬性對話框，點擊網絡標籤。在網絡標籤，勾選內部網絡，點擊應用，然後點擊確定；
注意：這兒有有個問題。因爲ISA防火牆上的SMTP服務已經綁定了內部網絡接口的IP地址，所以應該這裏ISA是不能綁定在內部網絡上進行偵聽的。我已經給Tom提出了此疑問，在Tom回覆後，我再修改此文章。
配置ISA防火牆上的SMTP服務，爲內部的郵件服務‥xchange或其他任何郵件服務）提供出站中繼
接下來是配置ISA防火牆上的SMTP服務，讓它爲所有域名的出站郵件提供中繼服務，這樣將使ISA防火牆上的SMTP服務成爲一個“開放中繼”。不過，我們可以更嚴格的限制“開放中繼”，只允許內部網絡中的Exchange服務器通過它來進行中繼。
注意，進站和出站郵件的中繼特性是完全不同的。ISA防火牆上的SMTP服務配置爲允許所有SMTP服務器發送郵件到我們指定的域名，進入的到達其他域的郵件將會被拒絕。與之相對的是，我們將允許中繼Exchange服務器的郵件到任何域。只有Exchange服務器纔會被允許中繼郵件到所有域，其他任何主機都不允許，除非是到達我們自己域的郵件。
在ISA防火牆上執行以下步驟來允許中繼Exchange服務器的郵件到所有郵件域：
1.      在ISA防火牆計算機上，打開管理工具中的Internet信息管理器管理控制檯；
2.      在Internet信息管理器管理控制檯，展開服務器名，然後右擊默認SMTP虛擬服務器，點擊屬性；
3.      在默認SMTP虛擬服務器屬性對話框，點擊訪問標籤；
4.      在訪問標籤，點擊中繼限制框架中的中繼按鈕；
5.      在中繼限制對話框，確定只選擇了只有下面的列表，點擊添加按鈕；
6.      在計算機對話框，選擇單一計算機，然後在下面的IP地址中輸入內部網絡中Exchange服務器的IP地址，在此例中是10.0.0.2，輸入後點擊確定；
7.      在中繼限制對話框，我們現在可以看到Exchange服務器的IP地址顯示在計算機列表中。注意我們沒有選擇允許所有通過驗證的計算機，而不管上面的列表，這樣可以阻止垃圾郵件製造者使用通過驗證後使用ISA防火牆上的SMTP服務來發送郵件。點擊確定；
8.      在默認SMTP虛擬服務器屬性對話框，點擊應用再點擊確定；
9.      重啓IIS的SMTP服務；
　
　
　
配置ISA防火牆的系統策略，允許本地主機網絡的所有出站SMTP訪問
ISA防火牆的默認系統策略允許ISA防火牆訪問默認內部網絡中的SMTP服務器，這樣便於ISA防火牆發出警告郵件。爲了讓出站的郵件發送到外部網絡，我們需要修改ISA防火牆的系統策略來允許ISA防火牆訪問外部網絡的SMTP服務。
執行以下步驟以配置系統策略：
1.      在ISA Server 2004的管理控制檯，展開服務器名，然後防火牆策略；
2.      在防火牆策略節點，點擊任務面板的任務標籤。在任務標籤，點擊顯示系統策略規則鏈接；
3.      在系統策略列表，右擊Allow SMTP from ISA Server to trusted server規則，然後點擊編輯系統策略；
4.      在系統策略編輯器，確定紅色箭頭指向了SMTP，然後點擊到標籤，點擊添加按鈕；
5.      在添加網絡實體對話框，點擊網絡目錄，雙擊外部，然後點擊關閉。
6.      此時到標籤中顯示出了外部和內部網絡，點擊確定。
7.      點擊應用以保存修改和更新防火牆策略；
　
確認對出站郵件進行了過濾
現在我們來測試郵件過濾的配置。在“配置ISA防火牆作爲進入的SMTP中繼過濾”一文中我們已經配置了SMTP郵件篩選器阻止附件包含.pif文件的郵件。因爲我們的Exchange服務器沒有允許客戶使用SMTP連接，我們使用Outlook MAPI客戶來發送一個包含.pif文件附件的郵件。
在發送此郵件以後，我們可以在ISA防火牆的%systemdrive%\Inetpub\mailroot\Badmail目錄中發現三個文件，它們就是被SMTP篩選器過濾掉的郵件，我們已經在“配置ISA防火牆作爲進入的SMTP中繼過濾”一文中進行了說明。
我們可以檢查SMTP郵件篩選器日誌文件，然後可以看到過濾郵件的日誌，它提供了郵件爲什麼被過濾的詳細說明。

檢查通過ISA防火牆的SMTP中繼發送的郵件的郵件頭
現在我們通過發送正常的郵件來測試我們的配置，我們仍然通過連接到Exchange服務器的Outlook MAPI客戶來發送郵件。
在這個例子中我發送一封測試郵件到我的hotmail郵箱中，郵件頭如下所示：
Received: from ISALOCAL ([24.1.226.66]) by mc9-f6.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824); Sun, 26 Dec 2004 08:13:14 -0800
Received: from EXCHANGE2003BE.msfirewall.org ([10.0.0.2]) by ISALOCAL with Microsoft SMTPSVC(6.0.3790.0); Sun, 26 Dec 2004 10:13:18 -0600
Received: from EXCHANGE2003BE ([10.0.0.2]) by EXCHANGE2003BE.msfirewall.org with Microsoft SMTPSVC(6.0.3790.0); Sun, 26 Dec 2004 10:13:11 -0600
X-Message-Info: JGTYoYF78jG+oarT45PqEpoyA3I3W9mg
X-MSMail-Priority: Normal
Return-Path: [email protected]
X-OriginalArrivalTime: 26 Dec 2004 16:13:11.0865 (UTC) FILETIME=[CBEB8290:01C4EB65]
我們可以看到郵件頭部顯示了郵件離開我們的網絡時，最後一個節點是ISA防火牆的SMTP服務。郵件通過ISA防火牆上的SMTP中繼服務進行轉發，然後通過ISA防火牆的外部接口到達hotmail的郵件服務器。