ISA防火墙作为出站SMTP中继过滤(3)

　　在中继限制对话框，我们现在可以看到Exchange服务器的IP地址显示在计算机列表中。注意我们没有选择允许所有通过验证的计算机，而不管上面的列表，这样可以阻止垃圾邮件制造者使用通过验证后使用ISA防火墙上的SMTP服务来发送邮件。点击确定；

　　在默认SMTP虚拟服务器属性对话框，点击应用再点击确定；

　　重启IIS的SMTP服务；

　　配置ISA防火墙的系统策略，允许本地主机网络的所有出站SMTP访问

　　ISA防火墙的默认系统策略允许ISA防火墙访问默认内部网络中的SMTP服务器，这样便于ISA防火墙发出警告邮件。为了让出站的邮件发送到外部网络，我们需要修改ISA防火墙的系统策略来允许ISA防火墙访问外部网络的SMTP服务。

　　执行以下步骤以配置系统策略：

　　在ISA Server 2004的管理控制台，展开服务器名，然后防火墙策略；

　　在防火墙策略节点，点击任务面板的任务标签。在任务标签，点击显示系统策略规则链接；

　　在系统策略列表，右击Allow SMTP from ISA Server to trusted server规则，然后点击编辑系统策略；

　　在系统策略编辑器，确定红色箭头指向了SMTP，然后点击到标签，点击添加按钮；

　　在添加网络实体对话框，点击网络目录，双击外部，然后点击关闭。

　　此时到标签中显示出了外部和内部网络，点击确定。

　　点击应用以保存修改和更新防火墙策略；

　　确认对出站邮件进行了过滤

　　现在我们来测试邮件过滤的配置。在“配置ISA防火墙作为进入的SMTP中继过滤”一文中我们已经配置了SMTP邮件筛选器阻止附件包含.pif文件的邮件。因为我们的 Exchange服务器没有允许客户使用SMTP连接，我们使用Outlook MAPI客户来发送一个包含.pif文件附件的邮件。

　　在发送此邮件以后，我们可以在ISA防火墙的%systemdrive%\Inetpub\mailroot\Badmail目录中发现三个文件，它们就是被SMTP筛选器过滤掉的邮件，我们已经在“配置ISA防火墙作为进入的SMTP中继过滤”一文中进行了说明。

　　我们可以检查SMTP邮件筛选器日志文件，然后可以看到过滤邮件的日志，它提供了邮件为什么被过滤的详细说明。

　　检查通过ISA防火墙的SMTP中继发送的邮件的邮件头

　　现在我们通过发送正常的邮件来测试我们的配置，我们仍然通过连接到Exchange服务器的Outlook MAPI客户来发送邮件。

　　在这个例子中我发送一封测试邮件到我的hotmail邮箱中，邮件头如下所示：

　　Received: from ISALOCAL ([24.1.226.66]) by mc9-f6.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824); Sun, 26 Dec 2004 08:13:14 -0800

　　Received: from EXCHANGE2003BE.msfirewall.org ([10.0.0.2]) by ISALOCAL with Microsoft SMTPSVC(6.0.3790.0); Sun, 26 Dec 2004 10:13:18 -0600

　　Received: from EXCHANGE2003BE ([10.0.0.2]) by EXCHANGE2003BE.msfirewall.org with Microsoft SMTPSVC(6.0.3790.0); Sun, 26 Dec 2004 10:13:11 -0600

　　X-Message-Info: JGTYoYF78jG+oarT45PqEpoyA3I3W9mg

　　X-MSMail-Priority: Normal

　　Return-Path: tshinder@msfirewall.org

　　X-OriginalArrivalTime: 26 Dec 2004 16:13:11.0865 (UTC) FILETIME=[CBEB8290:01C4EB65]

　　我们可以看到邮件头部显示了邮件离开我们的网络时，最后一个节点是ISA防火墙的SMTP服务。邮件通过ISA防火墙上的SMTP中继服务进行转发，然后通过ISA防火墙的外部接口到达hotmail的邮件服务器。