FJ集團企業級郵件伺服器——Exchange伺服器安裝與配置(邊緣傳輸伺服器)

簡單就是力量（power cloaked in simplicity）！

Exchange邊緣傳輸伺服器角色通常部署在組織<b>外圍網絡</b>中，它能夠最小化攻擊面，還可以處理所有面向Internet的郵件流，為Exchange組織提供SMTP中繼和智能主機服務 。

一、安裝邊緣傳輸伺服器角色

edge伺服器被設計成一個SMTP網關伺服器，所有企業内部與Internet之間收發的郵件都要通過邊緣傳輸伺服器來路由。因邊緣傳輸伺服器更接近Internet，故對其部署的安全性要求更高 。

部署邊緣傳輸伺服器時，滿足條件如下所示：

（1）推薦部署在外圍網絡（DMZ）中，以提高Exchange組織的安全性；

（2）最好安裝在獨立的伺服器上（不推薦将該伺服器加入到AD域中）；

（3）配置邊緣傳輸伺服器的FQDN名，主機必須擁有主DNS字尾才能安裝角色；

（4）在組織内部和外部的防火牆上，必須開放如下表所示的端口 。

防火牆接口

防火牆規則

協定/TCP端口

說明

外部

進入Internet

SMTP/25

必須為進入Internet的郵件打開此端口

内部

通過内部網絡入站和出站

必須為發往和來自Exchange組織的郵件流打開此端口

從内部網絡入站

Secure LDAP/50636

若要進行EdgeSync同步，必須打開此端口

注：Microsoft Exchange EdgeSync服務是運作在中心傳輸伺服器上的資料同步服務，該服務用來協助邊緣傳輸伺服器拷貝反垃圾郵件配置或域安全資訊。

（5）在内部DNS伺服器中配置邊緣傳輸伺服器的IP位址解析， 以使中心傳輸伺服器能夠通路 ；

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660797OvJA.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660797mfJy.jpg"></a>

（6）必須修改外部DNS的MX記錄，使其指向新的邊緣傳輸伺服器；

将邊緣傳輸伺服器（Edge）的計算機名及其主DNS字尾，改成如下圖所示：

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_13636607988h5I.jpg"></a>

注：

①Win 2003中需安裝ADAM。邊緣傳輸伺服器（Edge）不是活動目錄域的成員，不能通過活動目錄來儲存伺服器的配置資訊，于是它使用Active Directory應用程式模式（ADAM）更新檔代替Active Directory域 。這樣在Edge中，ADAM用于儲存配置和收人資訊。

②Win 2008中，添加Active Directory輕型目錄服務角色 ，如下圖所示：

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_13636607987p1r.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660799vdQU.jpg"></a>

（2）安裝邊緣傳輸伺服器角色與安裝Exchange典型安裝的方法類似，輕按兩下Exchange安裝檔案，選 邊緣傳輸伺服器角色 ，如下圖所示：

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660799LgWj.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660800tf6m.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660801Eybb.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_136366080194lI.jpg"></a>

下面我們輸入密鑰，如下圖所示：

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660802Qdt6.jpg"></a>

二、配置邊緣同步

（1）在EdgeSVR上，打開Exchange指令行管理程式，運作 New-EdgeSbubscription 來導出邊緣訂閱檔案，如下圖所示：

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660802Dcuc.jpg"></a>

（2）将邊緣訂閱檔案EdgeSubscriptionInfo.xml複制到中心傳輸伺服器。具體如下圖所示：

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660803zkX5.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660803JoLe.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660804htmp.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660805r0mG.jpg"></a>

(3) 下面我們在中心傳輸伺服器上運作 start-edgesynchronization 指令,進行強制邊緣同步,同步配置資料,如下圖所示 :

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660805vxbI.jpg"></a>

(4) 同步後,我們再在中心傳輸伺服器上運作 test-edgesynchronization 指令，驗證配置是否成功 。

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660806qT5L.jpg"></a>

(5) 配置邊緣訂閱後,分别自動建立2個發送連接配接器 , 在中心傳輸伺服器和邊緣傳輸伺服器上,如下圖所示 :

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660807ZOr0.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660807US0q.jpg"></a>

(6) 同時,在中心傳輸伺服器的接受域配置資訊也會自動複制到邊緣傳輸伺服器 , 如下圖所示 :

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660808H7nv.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660808kS8s.jpg"></a>

(7) 測試Internet郵件流 :

僅作參考！下面是搭建一個測試環境 ,網絡拓撲圖如下所示 :

溫馨提示:

參考《<b>FJ</b><b>集團企業郵件伺服器</b><b>--Exchange</b><b>伺服器安裝與配置</b><b>(3</b><b>個角色</b><b>)</b>》

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_13636608098lrt.jpg"></a>

重點提示:

為了郵件伺服器在通信時确實經過了邊緣傳輸伺服器 , 必須在DNS伺服器上設定MX交換記錄且一定要将<b>MX記錄指向邊緣傳輸伺服器</b> ! 切記!!!

三、配置防垃圾郵件功能

在Exchange 2007中内置了反垃圾郵件功能，對垃圾郵件進行過濾篩選，具體包括：

(1) 連接配接篩選

(2) 發件人篩選

(3) 收件人篩選

(4) 内容篩選

1. 使用連接配接篩選阻止垃圾郵件

預先設定IP位址清單包括 :

(1) 管理者定義的IP允許清單和IP阻止清單; //不常用 ! 維護非常耗時 !

(2) IP阻止清單提供程式(<b>實時阻止清單(RBL)服務</b>); // 最佳作法 !

(3) IP允許清單提供程式(<b>安全清單服務</b>) 。

下面我們來詳細舉例 ,如何配置:

(1) 配置IP阻止清單

如測試環境中的mail.beyond.com(192.168.1.224)那台郵件伺服器狂發垃圾郵件 ,如何阻止接收它發來的郵件呢?

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660810ySve.jpg"></a>

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660811MQbA.jpg"></a>

(2)配置 <b>IP阻止清單提供程式 </b>(<b>實時阻止清單(RBL)服務</b>)

在實際環境中 , 并不需要自己設計 , 利用<b>中國反垃圾郵件聯盟</b>的位址來實作就行了 , 其位址為cb1.anti-spam.org.cn

下面是添加 中國反垃圾郵件聯盟 ,如下圖所示 :

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_13636608125BG7.jpg"></a>

下面是添加 中國網際網路協會反垃圾郵件中心 ,如下圖所示 :

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660813UGd6.jpg"></a>

使用<b>内容篩選</b>阻止垃圾郵件

内容篩選器代理為每封郵件配置設定垃圾郵件可信度(SCL)分級 。SCL分級是0~9之間 。SCL分級越高，表明郵件越可能是垃圾郵件 。

可把内容篩選器代理配置為根據SCL分級對郵件執行下列操作 ：

（1） 删除郵件

（2） 拒絕郵件

（3） 隔離郵件

思考： NJ公司對EX郵件系統，使用智能郵件過濾阻止垃圾郵件方法是： SCL分級等于或高于7的郵件 ，必須删除； 分級為6的郵件，必須拒絕； 分級為5的郵件，必須隔離 。

<a href="http://beyondhdf.blog.51cto.com/attachment/201303/19/229452_1363660813Vc9P.jpg"></a>

配置防病毒功能

電腦病毒和蠕蟲危害盡人皆知 。如： 曾經風靡全球的“美麗殺”（Melissa）、Papa和HAPPY99等病毒正是通過電子郵件的方式進行傳播的，當時許多郵件伺服器癱瘓 ，其後果不言而喻 ！

強烈建議在邊緣傳輸伺服器上部署殺軟！！！

本文轉自 

beyondhedefang 51CTO部落格，原文連結：http://blog.51cto.com/beyondhdf/1157921 ，如需轉載請自行聯系原作者