在防火墙的后面使用桥头服务器

  • 项目

 

上一次修改主题: 2005-05-20

通常,如果组织包含多个 Exchange 服务器,则应使用桥头服务器,以便为路由组或 Exchange 组织提供 Internet 连接。

下图对此拓扑进行说明。

bd62d49e-fad9-4731-8853-28b172c8889c

如果使用桥头服务器,则没有必要使每一台 Exchange 服务器都拥有 Internet 连接。此配置提高了安全性,因为只有桥头服务器暴露在 Internet 中。

important重要提示:
由于网关服务器通常具有与内部计算机不同的安全要求,因此必须认真地检查网关服务器,以了解可能的安全风险。

基本配置

基本配置包含一台连接到 Internet 并具有适当的 DNS 配置的 Exchange 桥头服务器。SMTP 连接器安装在桥头服务器上,并提供通过 Internet 的传出邮件传递。此外,为了保护内部网络,防火墙筛选传入的 Internet 通信,并路由来自内部和外部 IP 地址的邮件。

下面的列表提供了对 DNS 服务器、Exchange 桥头服务器、Exchange 成员服务器以及防火墙的常规配置要求。

  • DNS 服务器
    Exchange 依赖组织中现有的 DNS 服务器。具体地说,Exchange 使用内部 DNS 来路由内部邮件,并依赖内部 DNS 服务器来转发到外部 DNS 服务器,并通过外部 DNS 服务器来解析外部地址。要以这种方式配置 DNS,应确保满足下列条件:
    • 要将桥头服务器识别为域的邮件服务器,组织的外部 DNS 服务器必须包含与该桥头服务器对应的 MX 记录。此 DNS 配置使入站邮件能够被发送到桥头服务器。
    • 组织的内部 DNS 服务器必须具有外部 DNS 服务器的转发器。
    • Exchange 服务器应指向内部 DNS 服务器。
      有关如何以这种方式配置 DNS 的详细信息,请参阅验证 DNS 设计和配置
  • Exchange 桥头服务器
    • Exchange 桥头服务器具有通过防火墙上的 25 端口的 Internet 连接。
    • 默认 SMTP 虚拟服务器被配置为使用下列默认设置发送和接收 Internet 邮件:
      - 25 端口(标准 SMTP 端口)的 IP 地址。
      - 配置为允许匿名访问。必须允许匿名访问 Exchange 桥头服务器上的 SMTP 虚拟服务器,因为向此域发送邮件的 Internet SMTP 服务器将不会通过身份验证。
      - 配置为不中继邮件。
    • SMTP 虚拟服务器所驻留的 SMTP 连接器配置了地址空间 *(星号),以强制所有传出邮件都使用该桥头服务器。
  • Exchange 成员服务器
    • 这些服务器没有与 Internet 的直接连接。
    • 这些服务器使用 SMTP 虚拟服务器上的默认设置。
  • 防火墙
    防火墙的配置依照组织的指导方针和供应商的说明。
    note注意:
    有关防火墙配置的全面讨论不在本指南所讲述的范围之内。可以通过许多种方法来配置防火墙使用 SMTP 中继服务器。可以允许防火墙或 SMTP 中继服务器在内部地址与外部地址之间执行网络地址转换。在本指南中,通过防火墙的邮件流被看作是透明的。

入站 Internet 邮件

邮件以下列方式流入 Exchange 组织:

  1. 远程 SMTP 服务器查询 DNS,以解析邮件域的 MX 记录,并获取 Exchange 服务器的 IP 地址。
  2. 远程 SMTP 服务器通过防火墙连接到 SMTP 虚拟服务器上的 25 端口。
  3. SMTP 虚拟服务器接受传入邮件,然后将邮件路由到驻留用户邮箱的 Exchange 服务器,或者路由到桥头服务器,以便将邮件传递到另一个路由组。

出站 Internet 邮件

邮件以下列方式流出 Exchange 组织:

  1. 内部用户向外部域中的收件人发送邮件。
  2. 内部用户的 Exchange 服务器将邮件发送到桥头服务器上的 SMTP 连接器。
    由于该连接器配置了地址空间 *(表示所有外部域),因此路由组中的每个 Exchange 服务器都通过桥头服务器上的 SMTP 连接器发送外部电子邮件。
  3. SMTP 连接器使用 DNS 来解析收件人电子邮件服务器的 IP 地址,并直接将邮件路由到收件人的 SMTP 服务器。