Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall – Phần 2: Chính sách E-Mail

Quản trị mạng Trong phần hai của loạt bài Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall này, chúng tôi sẽ giới thiệu cho các bạn cách cấu hình chính sách bảo vệ email.

Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall – Phần 1: Cài đặt

Trong phần một của loạt bài về giải pháp xử lý email trên TMG firewall này, chúng tôi đã giới thiệu cho các bạn về quá trình cài đặt cần thiết để tạo email gateway cho TMG firewall. Cho đến lúc này, khi các thành phần email gateway đã được cài đặt, chúng ta có thể tìm hiểu thêm về cách cấu hình chính sách bảo vệ email. Bắt đầu bằng cách kích hoạt E-Mail Policy. Điều đó cũng có nghĩa chúng ta sẽ kích hoạt các tính năng bảo vệ E-Mail cơ bản có trong giải pháp TMG Email Gateway. Sau khi kích hoạt các cách thức bảo vệ email, bạn sẽ có một giải pháp anti-spam và anti-malware ngay lập tức. Mặc dù vậy, như những gì sẽ thấy trong các phần sau của loạt bài này, bạn sẽ có khá nhiều tùy chọn cho việc tùy chỉnh chính sách email để có được một mức bảo vệ phù hợp với các yêu cầu cần thiết cho tổ chức của mình.

Nhắc lại, TMG sử dụng một phương pháp "một công hai việc" cho việc bảo vệ email:

  • Forefront Protection for Exchange 2010 – FPE là một ứng dụng anti-spam và anti-malware, và cũng cho phép lọc nội dung.
  • Exchange Edge Server – Exchange Edge Server có thể thực hiện các nhiệm vụ lọc kết nối và anti-spam.

Sự kết hợp của Exchange Edge Server và Forefront Protection for Exchange làm cho TMG firewall trở thành một vũ khí mạnh trong kho vũ khí của bạn, giúp bạn chống lại spam và email sản sinh malware.

Chúng ta hãy bắt đầu! Có rất nhiều vấn đề mà chúng tôi cần giới thiệu cho các bạn ở đây.

Kích hoạt sự bảo vệ email

Mở giao diện TMG firewall, kích vào tên máy tính trong phần panel trái của giao diện điều khiển. Ở đây bạn sẽ thấy một nút mới không có trong các phiên bản trước của tường lửa – đó chính là nút E-Mail Policy. Kích vào nút E-Mail Policy này như thể hiện trong hình 1.


Hình 1

Sau khi kích nút E-Mail Policy, bạn sẽ thấy ba tab trong panel giữa.

  • E-Mail Policy. Tab cấu hình các thiết lập để kích hoạt sự bảo vệ email.
  • Spam Filtering. Tab cấu hình các thiết lập anti-spam sau khi sự bảo vệ email được kích hoạt.
  • Virus and Content Filtering. Tab cấu hình các thiết lập anti-malware và lọc nội dung để bảo vệ email.

Chúng ta hãy bắt đầu với sự bảo vệ email bằng cách kích liên kết Configure E-Mail Policy như thể hiện trong hình 2 bên dưới.


Hình 2

Khi đó bạn sẽ thấy xuất hiện trang Welcome to the E-Mail Policy Wizard như thể hiện trong hình 3. Kích Next.


Hình 3

Trang tiếp theo là Internal Mail Server Configuration được thể hiện trong hình 4. Ở đây bạn cần cấu hình cho TMG firewall những thành phần như tên, địa chỉ IP của máy chủ SMTP bên trong, đây là máy chủ SMTP trên mạng bên trong của bạn, máy chủ này được cấu hình để chấp nhận email gửi đến từ Internet. Nó cũng là máy chủ SMTP bên trong sẽ làm nhiệm vụ gửi email từ bên trong tổ chức ra mạng Internet bên ngoài.

Kích nút Add bên cạnh phần Internal mail servers. Khi đó bạn sẽ thấy xuất hiện hộp thoại Computer. Nhập vào tên của máy chủ SMTP và địa chỉ IP của máy chủ. Cách khác, bạn có thể sử dụng nút Browse để tìm máy chỉ, địa chỉ IP và tên sẽ được nhập vào. Lưu ý rằng, có thể có nhiều máy chủ mail trong mạng bên trong để chấp nhận mail gửi đến.
Kích OK.


Hình 4

Lúc này kích vào nút thứ Add, đây là nút bên cạnh phần Accepted authoritative domains. Khi đó bạn sẽ thấy hộp thoại Add Authoritative Domain xuất hiện như thể hiện trong hình 5 bên dưới. Nhập vào tên miền mà bạn muốn chấp nhận email gửi đến. Nếu có nhiều miền email để nhận email, bạn có thể kích nút Add lần nữa để thêm vào các miền khác.

Lưu ý: Các email được gửi đến tổ chức của bạn thông qua TMG firewall không có miền email đích trong danh sách sẽ bị loại bỏ. Điều này để tránh cho tổ chức của bạn phải làm việc như một SMTP relay bị khai thác bởi spammer.


Hình 5

Kích Next trong trang Internal Mail Server Configuration, như thể hiện trong hình 6.


Hình 6

Trong trang Internal E-Mail Listener Configuration, như thể hiện trong hình 7, chọn mạng mà từ đó bạn muốn gửi email đi. Nếu có nhiều địa chỉ IP trên NIC đó, bạn có thể kích nút Select Addresses và chọn một địa chỉ IP nào đó để chấp nhận mail gửi đi từ máy chủ SMTP bên trong.

Kích Next.


Hình 7

Trong trang External E-Mail Listener Configuration, thể hiện trong hình 8, tích dấu kiểm vào hộp kiểm cho mạng mà trên đó bạn muốn chấp nhận email gửi đến. Trong hầu hết các trường hợp, đó sẽ là mạng External. Nếu có nhiều địa chỉ IP trên giao diện đó, bạn có thể kích nút Select Addresses và chọn một địa chỉ IP nào đó là địa chỉ mà bạn muốn chấp nhận mail gửi đi. Trong hộp FQDN or IP address trong trang này, nhập vào Fully Qualified Domain Name mà bạn muốn TMG firewall sử dụng như một sự phản ứng cho các thư khởi tạo SMTP session, chẳng hạn như HELO hoặc EHLO. Bảo đảm rằng bản ghi DNS ngược cho name này phân giải địa chỉ IP chính xác, đó là địa chỉ đang nhận mail gửi đến.

Kích Next.


Hình 8

Các tùy chọn chính sách email

Trong trang E-Mail Policy Configuration, thể hiện trong hình 9, bạn có thể kích hoạt các tùy chọn dưới đây:

  • Spam filtering: Tùy chọn này sẽ kích hoạt kỹ thuật antispam của Forefront Protection for Exchange và sử dụng nhiều phương pháp lọc antispam để bảo vệ tổ chức của bạn tránh spam. Nó cũng lợi dụng kỹ thuật anti-spam có trong Exchange Edge Server.
  • Virus and content filtering: Tùy chọn này kích hoạt chế độ bảo vệ anti-virus của Forefront Protection for Exchange và sử dụng nhiều cỗ máy anti-virus để bảo vệ bạn tránh được các email sản sinh malware; thêm vào đó nó có thể thực hiện lọc nội dung nhằm khóa những nội dung không thích hợp.
  • Connectivityfor EdgeSync traffic: Bạn có thể đăng ký thành phần Exchange Edge trên TMG firewall với tổ chức Exchange của mình. Điều này cho phép bạn thực hiện lọc người nhận thư, các mail được đề địa chỉ cho người không có trong tổ chức sẽ bị loại bỏ tại email gateway.

Để bảo vệ mạnh nhất, hãy tích dấu kiểm vào các hộp chọn này và kích Next.


Hình 9

Nếu chọn Enable connectivity for EdgeSync traffic, bạn sẽ có nhiều việc khác cần phải làm. Có hai bước mà bạn cần phải thực hiện ở đây và chúng ta sẽ thấy cách thực hiện các bước đó như thế nào trong bài này. Các entry trợ giúp cho hai bước - To create an Edge Subscription fileUsing the Exchange Management Console to import the Edge Subscription file– có trong hình 10 và 11 bên dưới.


Hình 10

Hình 11

Kích Finish trong trang cuối cùng của Completing the E-Mail Policy Wizard, xem thể hiện trong hình 12.


Hình 12

Hộp thoại Microsoft Forefront Threat Management Gateway giống như hộp thoại hiển thị trong hình 13 sẽ xuất hiện tiếp, hỏi bạn xem có kích hoạt System Policy Rules cần thiết cho việc nhận và chuyển tiếp lưu lượng SMTP không. Chúng ta sẽ thực hiện điều đó, vì vậy hãy kích Yes.


Hình 13

Cấu hình chính sách email

Đến đây, chúng ta đã sẵn sàng cho việc nghiên cứu và cấu hình chính sách email. Lúc này bạn có thể kích nút Apply để lưu cấu hình của mình, hoặc có thể đợi cho tới khi thực hiện xong. Nó sẽ tự lưu cho bạn. Tôi thích kích Apply hơn là không, vì bản thân không muốn mất những thay đổi cấu hình mà mình đã thực hiện khi có vấn đề gì đó bất người xảy ra, chẳng hạn như giao diện điều khiển bị treo. Tuy không có vấn đề nào xảy ra với giao diện điều khiển TMG firewall trong quá trình làm việc của tôi tuy nhiên sẽ không bao giờ biết được những điều xấu đó có thể xảy ra lúc nào – và cách tốt nhất để phòng tránh điều đó là cách mà tôi đã chọn.

Bạn có thể thấy, trong phần panel ở giữa giao diện trong tab E-Mail Policy, các thiết lập sau:

  • Email Policy: Enabled
  • Spam Filtering: Enabled
  • Virus and Content Filtering: Enabled
  • Edge Subscription: Enabled
  • Protection Manager Integration: Disabled
  • E-Mail Policy Integration Mode: Enabled

Lưu ý rằng Forefront Protection Manager (trước đây cũng được biết đến với tên “Stirling”) không thể cấu hình vào thời điểm này vì Forefront Protection Manger vẫn trong trạng thái thay đổi. Chúng ta sẽ đề cập đến vấn đề này khi FPM ổn định hơn và nhóm sản phẩm có ý tưởng tốt hơn về cách kết thúc nó như thế nào.

Còn lúc này, kích đúp vào mục External_Mail_Servers, như thể hiện trong hình 14 bên dưới:


Hình 14

Khi đó bạn sẽ thấy xuất hiện hộp thoại External_Mail_Servers Properties, như thể hiện trong hình 15, đây là nơi chúng ta có thể nâng cấp các thiết lập External Mail Server. Trên tab Listener, bạn có thể thấy các thiết lập NetworksFQDN mà mình đã đặt trong wizard.


Hình 15

Nếu kích vào liên kết E-Mail Policy ở phía trên panel giữa ((“Enabled” trong hình 14), hộp thoại E-Mail Policy xuất hiện như trong hình 16. Ở đây bạn có thể kích hoạt hoặc vô hiệu hóa sự bảo vệ và Email Policy. Chúng ta cũng sẽ thấy các tùy chọn tương tự cho các liên kết khác trong phần trên của panel giữa khi truy cập vào tab E-Mail Policy.


Hình 16

Tại đây, bạn có một cấu hình đang làm việc và lúc này có thể cấu hình các bản ghi MX của mình để gửi mail đến giao diện ngoài của TMG firewall. Các thiết lập mặc định sẽ làm việc tốt và sẽ cung cấp một mức bảo vệ khá cao. Mặc dù vậy, như những gì tôi đã đề cập ở trên, bạn có thể tùy chỉnh cấu hình với một quy mô lớn và chúng ta sẽ đi xem xét các tùy chọn tùy chỉnh đó trong các phần sau của loạt bài này.

Khắc phục sự cố

Nếu phát hiện ra mail gửi đến không đến được TMG firewall sau khi đã thực hiện những thay đổi với bản ghi MX, hãy xem xét một số vấn đề sau để khắc phục sự cố:

  • Kiểm tra TTL trên bản ghi MX, kiểm tra cả bản ghi A mà bản ghi MX đang trỏ đến – điều này cho phép bạn biết những thay đổi của mình sẽ “phổ biến” trên Internet nhanh như thế nào.
  • Nếu có một tường lửa hoặc thiết bị NAT phía trước TMG firewall, bảo đảm rằng nó phải chuyển tiếp các thư gửi đến trong cổng TCP 25 đến địa chỉ IP mà bạn đã cấu hình khi chạy wizard là địa chỉ IP mail gửi đến.
  • Nếu gặp phải các vấn đề với mail gửi đi, hãy bảo đảm rằng đã cấu hình máy chủ SMTP của mình để có thể sử dụng TMG firewall như một “smart host” hoặc đã cấu hình các máy chủ kết nối Exchange 2007/2010 để sử dụng tường lửa cho các kết nối gửi đi.
  • Kiểm tra phần Services trên TMG firewall để bảo đảm rằng tất cả các dịch vụ của TMG firewall, chẳng hạn như các dịch vụ Exchange và Forefront Protection for Exchange đều hoạt động.

Kết luận

Trong phần hai của loạt bài này, chúng tôi đã giới thiệu được cho các bạn về một số thủ tục cần thiết để các thành phần Email Protection có thể làm việc. Chúng ta đã cấu hình bộ lắng nghe incoming SMTP listener, dùng để chấp nhận mail gửi đến, cấu hình outgoing SMTP listener, dùng để gửi mail đi. Thêm vào đó chúng ta cũng đã kích hoạt các thành phần Forefront Protection for Exchange và Exchange Edge để cho phép bảo vệ anti-spam và anti-virus.

Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn những thông tin chi tiết hơn về cấu hình lọc spam trên TMG firewall. Một số tùy chọn cấu hình mà chúng ta sẽ đề cập đến trong các phần đó, gồm có các tính năng anti-spam như địa chỉ IP được phép, nhà cung cấp được phép, danh sách IP bị khóa, nhà cung cấp bị khóa, lọc nội dung, lọc người nhận, lọc thư gửi đi, cấu hình ID người gửi và cấu hình danh tiếng người nhận,…

Thứ Tư, 07/04/2010 09:51
31 👨 4.611
0 Bình luận
Sắp xếp theo