iT邦幫忙

0

mail server 如何整合郵件過濾器

lecgtn 2010-02-26 00:26:4710910 瀏覽

我現在的環境是中華電信近來的是61.218.X.9的IP
經過防火牆做NAT轉換之後變成192.168.1.x的IP
環境很單純防火牆接一台switch,switch上面只有接一台server 裡面只有網頁&mail server
switch其他都是接電腦,現在要在switch上面多接一台Ironport的ESA(郵件過濾系的一種系統)
ESA的ip是192.168.1.5, mail SERVER的IP是192.168.1.6
在防火牆上面設定ACL&NAT,變成從外部IP近來會找到.6的這台設備,外面的人就可以存取mail
但我現在加了一台ESA,變成近來要先走到ESA載到mail server
我目前方向是說把防火牆要指向.6的IP,設定到.5的那邊
但是ESA & mail server之間的設定我就不太了解
我DNS上面的MX紀錄要更改嗎?或是有其他的方法
他們三方要如何溝通呢?
謝謝各位前輩

ayu iT邦好手 5 級 ‧ 2010-02-26 07:20:44 檢舉
樓主,
你只有這一個public IP可用嗎? 是的話就比較麻煩.
lecgtn iT邦新手 5 級 ‧ 2010-02-26 09:49:51 檢舉
沒錯 公司只有一個IP
也只有一台server 裡面只有網頁& mail server
8
cafebug
iT邦高手 2 級 ‧ 2010-02-26 02:50:00
最佳解答

基本上anti-SPAM/Virus appliance 一定要設成DNS 的MX , 讓信從外頭一定先經過這台, IronPort的我沒用過, 不過裡頭一定有設定可以把信過濾完之後Forward到後頭的mail server, 概念就是這樣.

1.給ESA一個真實ip 作 Firewall port forwarding (TCP port 25)
61.218.x.x --> 192.168.1.5(ESA)
2. 給ESA外部IP一個hostname, 設定DNS MX record指到這台的hostname
3. 設定ESA將信過濾完之後forward信給內部的這台mail server
61.218.x.x --> 192.168.1.5(過濾信件) --> 192.168.1.6 (mail server)
4. 原本的mail server 如果需要從外頭取信寄信(POP3/IMAP/SMTP), 還是給它一個外部IP來作NAT Port forward 到 192.168.1.6 的(110/143/25) 等等, SMTP要做認證就不怕有人用你們的MAIL SERVER亂寄信了..
5. ESA的文件你應該好好看一下, 有了上述概念應該不會太難才是..

  1. 原本的mail server 如果需要從外頭取信寄信(POP3/IMAP/SMTP), 還是給它一個外部IP來作NAT Port forward 到 192.168.1.6 的(110/143/25) 等等, SMTP要做認證就不怕有人用你們的MAIL SERVER亂寄信了..

從問題中的描述好像只有一個IP而已。
如果有提供外部收信的機制,像 POP3 或 IMAP,直接以NAT by port 的方式指到 192.168.1.6。
如果又要提供員工,可在公司外部利用公司的 SMTP 寄信的話,建議用 SMTP + SSL + STL 的機制,常會看到的例子是用 465 的 Port,也把 port 465 用 NAT 指到 192.168.1.6。
這樣一個IP就可搞定這些需要。

建議用 SMTP + SSL + STL

錯了,是 SMTP + SSL + TLS
這樣就不會用到 port 25。

其實 cafebug 說的很正確,不過如果防火牆又把另一個外部 ip 的 25 port 對給 mail的話,其實很多垃圾信或是病毒信還是可以直接塞進 mail 的 25 port,我們客戶的經驗是,前面這台過濾的機器(ESA),是否有提供與後面 mail主機 smtp 認證的功能
如果有...那恭禧你,要把user端的 smtp server設定設成 ESA 這台機器,當然 dns 也要先設定,如同 cafebug 大 所說的

2
shunyuan
iT邦研究生 1 級 ‧ 2010-02-26 10:58:06

轉寄給 Gmial 再回寄回來。

別以為我在搗蛋,我是認真的。

看更多先前的回應...收起先前的回應...

shunyuan提到:
轉寄給 Gmial 再回寄回來。

Gmial是........啥?

lecgtn iT邦新手 5 級 ‧ 2010-02-26 12:05:57 檢舉

可否介紹的詳細一點? 謝謝

shunyuan iT邦研究生 1 級 ‧ 2010-02-27 12:37:56 檢舉

海綿寶寶,快來幫忙喔

shunyuan提到:
海綿寶寶,快來幫忙喔

沒空(狀態顯示為:在水母田抓水母中)

派大星:這個IP來IP去的,switch/router的,海綿寶寶不懂的啦..(口水)

0
michaelwan
iT邦高手 1 級 ‧ 2010-02-27 16:24:31

小弟也沒用過Ironport, 不過觀念應該都是相同的.
當外部郵件(查詢DNS MX)寄到郵件過濾主機後, 會設定郵件路由(Mail routing).
例如,abc.com.tw route to 1.1.1.1等等...(轉送到內部郵件主機)

當內部郵件主機要寄出外部郵件, 可以設定 * route to 1.1.1.2 (交由過濾主機主機)
而通常過濾主機會設定 * route to DNS mx record (過濾主機遇到不知道的網域,會查詢
DNS mx record, 來決定要送往那台郵件主機(外部)
(架構要看公司需求, 未必是這種模式)

我要發表回答

立即登入回答