Configurando ISA Server 2004 para utilizar Exchange Interno

Eduardo Petizme

Olá,

Antes de prosseguir com esse artigo, mais uma vez gostaria de sugerir que seja feita uma verificação dos patchs e service packs aplicados no servidor. Podemos fazer isso utilizando o software Microsoft Baseline Security Analyzer, ou utilizando o site do Windows Update.

Se quiser alguns outros detalhes, sugiro que leia outro artigo aqui no TechNet, o 'Configuração básica no ISA Server 2004 para permitir acesso a web'.

Agora que já verificamos se o Windows Server está atualizado, sugiro que verifiquemos se existem atualizações para o ISA Server 2004.

Se você esta utilizando o ISA Server 2004 Standard Edition, você deve aplicar o SP1 do ISA 2004, ou o último service pack vigente.

Verifique também se existem mais atualizações disponíveis em ISA Server Security Update Center.

Introdução

O servidor Exchange precisa de acesso à internet para os protocolos DNS e SMTP. O protocolo DNS é utilizado para resolver nomes de domínio MX de qualquer e-mail enviado para fora da organização e o protocolo SMTP é utilizado para enviar e-mail para outros servidores SMTP. A realização do acesso para esses dois protocolos permite que o servidor Exchange se conecte em qualquer servidor de e-mail no mundo.

Vamos considerar o cenário abaixo:

• O servidor Exchange resolve o nome de domínio MX utilizando um servidor DNS externo e envia o e-mail diretamente para o domínio remoto.

O servidor Exchange envia uma consulta DNS para o servidor DNS Externo [1] e recebe como resposta um endereço IP do servidor de e-mail responsável pelo domínio. O servidor Exchange então envia a mensagem diretamente para o endereço IP do servidor de e-mail do destinatário [2].

Verificando o serviço "Exchange Server SMTP" para configuração do servidor de DNS Externo

Você pode configurar o serviço "Exchange Server SMTP" para usar servidores DNS fora da sua rede e que será usado somente pelo serviço SMTP e permite que outros serviços no computador do servidor Exchange utilizar um servidor DNS interno para todas as resoluções de nomes.

Você pode configurar esse servidor DNS no serviço SMTP seguindo os seguintes passos:

1. Abra o Exchange System Manager, expanda Servers e expanda o seu servidor.

2. Expanda Protocols e expanda SMTP. Botão secundário em Default SMTP Virtual Server e clique Properties.

3. Clique na guia Delivery. Na guia Delivery, clique no botão Advanced.

   

4. Em Advanced Delivery, clique no botão Configure.

   

5. Em Configure, clique no botão Add. Em Add, digite o endereço IP do seu servidor DNS Externo e clique OK.

   

6. Repita a seqüência se você deseja adicionar mais servidores DNS Externos. Clique OK na tela Configure.

7. Clique OK na tela Advanced Delivery.

8. Clique Apply e clique OK na tela Default SMTP Virtual Server Properties.

9. Reinicialize o serviço SMTP.

Agora o serviço SMTP usa o servidor DNS externo para resolver nomes de domínio MX. Nenhum outro serviço no servidor Exchange irá utilizar esse servidor DNS. Todos os outros serviços no servidor Exchange irão utilizar o servidor DNS configurado na placa de rede.

Criando Objeto de Rede Computador

O ISA Server 2004 permite que você crie e use uma variedade de objetos de rede para controlar a origem e o destino de regras de permissão e de negação. Um desses objetos que você pode criar é objeto Computador. Você pode utilizar o objeto Computador para controlar quais protocolos são permitidos de uma especificada origem ou local de destino.

Agora iremos criar dois objetos de rede computador: um para o servidor Exchange na rede interna, e o segundo para o servidor DNS externo.

Siga os seguintes passos para criar um objeto computador para o servidor Exchange e servidor DNS externo:

1. Na console de gerenciamento Microsoft Internet Security and Acceleration Server 2004, expanda o nome do servidor ao lado esquerdo do console e clique em Firewall Policy. No painel de tarefas, clique na guia Toolbox.

   

2. Na guia Toolbox, clique em Network Objects.

   

3. Em Network Objects, clique em New e clique em Computer.

   

4. Em New Computer Rule Element, digite Exchange Server no campo Name. No campo Computer IP Address, digite o IP do seu servidor Exchange. Clique OK.

   

5. Em New Computer Set Element, digite ISP DNS Servers no campo Name. Clique em "Add - Computer" para adicionar o DNS Primário, no campo Name, digite Primary. Clique OK. No campo Computer IP Address, digite o endereço IP primário do seu provedor de acesso IP. Clique em OK. Repita os passos para adicionar o segundo servidor DNS.

   

Criando uma regra de acesso SMTP

O servidor Exchange na rede interna precisa ter acesso para enviar e-mail através do ISA Server 2004 Firewall para contatar um servidor SMTP relay na DMZ, ou para contatar um servidor SMTP na internet que responda pelo domínio de destino das mensagens. Você pode criar Regras de Acesso que suportam ambos os cenários.

Iremos criar uma Regra de Acesso que permite o servidor Exchange para enviar e-mail para qualquer servidor SMTP na internet.

Obs.: Se você preferir, poderá criar uma Regra de Acesso que permite o servidor Exchange enviar e-mail para um servidor SMTP relay na DMZ. Você pode criar um objeto computador "Smart Host" enquanto cria essa segunda opção, então é só substituir no "Destino" da regra por esse objeto.

Siga os passos abaixo para criar a primeira regra que permite o servidor Exchange enviar e-mail para servidor SMTP na internet:

1. Na console de gerenciamento Microsoft Internet Security and Acceleration Server 2004, expanda o servidor e clique em Firewall Policy.

2. Em Firewall Policy, clique na guia Tasks no Painel de Tarefas. Na guia Tasks, Clique em Create a New Access Rule.

   

3. Em Welcome to the New Access Rule Wizard, digite Outbound SMTP Exchange no campo Access Rule name. Clique Next.

   

4. Em Rule Action, selecione a opção Allow e clique Next.

   

5. Em Protocols, selecione a opção Selected protocols na lista This rule applies to. Clique no botão Add.

   

6. Na tela Add Protocols, clique em Common Protocols. Clique duas vezes em SMTP. Clique Close.

   

7. Clique Next na tela Protocols.

   

8. Na tela Access Rule Sources, clique no botão Add.

   

9. Em Add Network Entities, clique em Computers e clique duas vezes em Exchange Server. Clique Close.

   

10. Na tela Access Rule Sources, clique Next.

    

11. Na tela Access Rule Destinations, clique no botão Add.

    

12. Em Add Network Entities, clique em Networks e clique duas vezes em External. Clique Close.

    

13. Na tela Access Rule Destinations, clique Next.

    

14. Na tela User Sets, aceite o valor padrão, All Users, e clique Next.

    

15. Confira as configurações na tela Completing the New Access Rule Wizard e clique Finish.

    

Criando uma Regra de Acesso DNS

Você irá precisar criar uma Regra de Acesso de saída DNS se você configurou o servidor Exchange para utilizar um servidor DNS externo.

Siga os passos abaixo para criar uma Regra de Acesso de saída DNS que permitirá o servidor Exchange acessar os servidores DNS do seu provedor:

1. Na console de gerenciamento Microsoft Internet Security and Acceleration Server 2004, expanda o servidor e clique em Firewall Policy.

2. Em Firewall Policy, clique na guia Tasks no painel de tarefas. Na guia Tasks, clique em Create a New Access Rule.

   

3. Em Welcome to the New Access Rule Wizard, digite Outbound DNS Exchange no campo Access Rule name. Clique Next.

   

4. Em Rule Action, selecione a opção Allow e clique Next.

   

5. Em Protocols, selecione a opção Selected protocols da lista This rule applies to e clique no botão Add.

   

6. Em Add Protocols, clique na pasta Common Protocols. Dê duplo clique em DNS e clique Close.

   

7. Clique em Next na tela Protocols.

   

8. Na tela Access Rule Sources, clique no botão Add.

   

9. Em Add Network Entities, clique na pasta Computers e dê duplo clique em Exchange Server. Clique Close.

   

10. Clique em Next na tela Access Rule Sources.

    

11. Na tela Access Rule Destinations, clique no botão Add.

    

12. Em Add Network Entities, clique na pasta Computer Sets e dê duplo clique em ISP DNS Servers. Clique em Close.

    

13. Clique em Next na tela Access Rule Destinations.

    

14. Na tela User Sets, aceite a opção padrão, All Users, e clique em Next.

    

15. Revise as configurações na tela Completing the New Access Rule Wizard e clique em Finish.

    

16. Suas regras irão aparecer em ordem no painel de detalhes.

    

17. Clique em Apply para gravar as alterações e atualizar a política de firewall.

    

18. Clique OK em Apply New Configuration.

Configurando e Verificando o serviço SMTP no servidor Exchange

A configuração padrão que o servidor Exchange provê é a configuração de segurança relativamente alta para o serviço SMTP. Entretanto, há algumas configurações que nós precisamos alterar para atingirmos os requisitos do cenário:

• O servidor Exchange será configurado para utilizar um servidor DNS externo para resolução de nomes

• A opção de autenticação básica será removida, logo usuários anônimos e aqueles que utilizam autenticação integrada estarão aptos a se conectar no serviço SMTP.

• Nós iremos confirmar a configuração de 'Relay', para ter certeza que o micro não está configurado como 'Relay' aberto.

Há diversas opções disponíveis para controlar a forma que o serviço Exchange SMTP resolve nomes de domínio MX. O servidor Exchange precisa estar habilitado para resolver o domínio de e-mail de cada mensagem de saída, assim determinando o servidor SMTP que é o responsável por receber as mensagens para aquele domínio. Você pode permitir o servidor Exchange enviar solicitações de DNS para o servidor DNS configurado na sua interface de rede, ou também configurar um "smart host" no qual todo e-mail de saída é encaminhado a ele, ou ainda configurar o servidor Exchange para enviar consultas de DNS um servidor DNS externo. Um servidor de DNS externo é um servidor que não é configurado em alguma das interfaces de rede do servidor Exchange, mas é utilizado para "sobrescrever" a configuração de DNS da placa de rede. Normalmente, um servidor de DNS do provedor de internet é utilizado como um servidor de DNS externo, mas você tem a opção de utilizar um servidor de DNS interno se for sua preferência.

A opção para utilizar autenticação básica é removida porque as credenciais enviadas utilizando autenticação básica são enviadas "sem proteção". Isso significa que as credenciais são enviadas sem encriptação e qualquer um com um "sniffer" (analisador de protocolo de rede) poderá descobrir os nomes de usuários e senhas de usuários logando por autenticação básica. Sessões anônimas são requeridas para que servidores SMTP na Internet possam entregar mensagens para usuários no seu domínio de e-mail. Seus usuários externos que precisam um servidor SMTP para enviar e-mail para outros domínios irão utilizar autenticação integrada para autenticar com o serviço SMTP. O serviço SMTP será configurado para permitir que usuários autenticados possam enviar mensagens pelo serviço SMTP do servidor Exchange.

Siga os passos a seguir para configurar o serviço SMTP no servidor Exchange:

1. Entre no System Manager.

2. No Exchange System Manager, no lado esquerdo da console, expanda Servers e nome do servidor. Neste exemplo, nós expandimos EXCHANGE2003BE. Expanda Protocols e expanda SMTP. Clique com botão direito em Default SMTP Virtual Server e clique em Properties.

   

3. Em Default SMTP Virtual Server Properties, clique na lista IP address e selecione o endereço IP atribuído à placa de rede do servidor Exchange. Nesse exemplo, selecione 10.0.0.2.

   

4. Clique na guia Access. Clique no botão Authentication.

   

5. Na tela Authentication, remova a opção Basic authentication (password is sent in clear text). Clique OK.

   

6. Na guia Access, clique no botão Relay. Na tela Relay Restrictions, confirme que esta selecionado a opção Allow all computers which successfully authenticate to relay, regardless of the list above. Observe que se você não selecionar essa opção, a opção Grant or deny relay permissions to specific users or groups é selecionada por padrão. Se você tem um determinado grupo de usuários que precisam de relay, você pode utilizar essa opção. Clique OK.

   

7. Clique OK na tela Default SMTP Virtual Server Properties.

8. Clique com o botão direito em Default SMTP Virtual Server no lado esquerdo da console e clique Stop. Depois que os serviços SMTP pararem, clique com botão direito em Default SMTP Virtual Server e clique Start.

Criando um Regra de Publicação de Servidor que Permita Acesso de Entrada para mensagens SMTP de Servidores da Internet

O próximo passo é criar uma Regra de Publicação de Servidor SMTP que permita o firewall do ISA Server 2004 aceitar mensagens de entrada SMTP. As mensagens SMTP são encaminhadas para o serviço SMTP no servidor Exchange na rede interna.

Siga os passos a seguir para criar uma Regra de Publicação do Servidor SMTP:

1. Na console de gerenciamento Microsoft Internet Security and Acceleration Server 2004, expanda o nome do servidor no lado esquerdo da console e clique na guia Tasks no Painel de Tarefas. Clique em Create a New Server Publishing Rule.

   

2. Na tela Welcome to the New Server Publishing Rule Wizard, digite um nome para a regra em Server publishing rule name. Neste exemplo, digite Inbound SMTP Exchange. Clique Next.

   

3. Na tela Select Server, digite o endereço IP do Servidor Exchange em Server IP address. Clique Next.

4. Na tela Select Protocol, clique em Selected protocol. Selecione a opção SMTP Server. Observe que para filtrar mensagens de entrada SMTP de spam ou palavras você deve utilizar o SMTP Message Screener. Clique Next.

   

5. Na tela IP Addresses, selecione a opção External e clique no botão Address. Nós precisamos selecionar um endereço Externo porque a placa de rede perimetral é também considerada uma placa de rede externa.

   

6. Na tela External Network Listener IP Selection, selecione a opção Specified IP addresses on the ISA Server computer in the select network. Na lista Available IP Addresses, clique no endereço IP da interface externa do seu firewall ISA Server 2004 firewall (geralmente IP iniciado com 200.x.x.x). Neste exemplo, 192.168.1.70. Clique Add. O endereço agora aparece na lista Selected IP Addresses. Clique OK.

   

7. Clique Next na tela IP Addresses.

   

8. Clique Finish na tela Completing the New Server Publishing Rule Wizard.

9. A nova Regra de Publicação de Servidor aparecerá na lista Firewall Policy no painel de detalhes.

   

10. O Filtro SMTP é automaticamente habilitado quando a Regra de Publicação de Servidor SMTP é criada. Expanda Configuration no lado esquerdo do painel e clique em Add-ins. De duplo clique em SMTP Filter no Painel de Detalhes.

11. Na tela SMTP Filter Properties, clique na guia SMTP Commands. Aqui você vê a lista de comandos SMTP que são permitidos pelo filtro SMTP. Qualquer conexão de entrada SMTP que envie um comando que não está nessa lista será descartado. Em adicional, qualquer conexão SMTP que envie um comando que esta na lista, mas que exceda o tamanho assinalado para o comando, também será descartado. Clique Cancel.

    

12. Clique Apply para salvar as alterações e atualizar as políticas do firewall.

    

13. Clique OK na tela Apply New Configuration.

Fonte também utilizada: ISA Server 2004/Exchange Server Deployment Kit

Até a próxima,

Eduardo Petizme