思科 IronPort 和 Exchange 2016

如果您多年来一直关注我的博客，您应该知道，出于邮件卫生目的，我一直在邮箱服务器前面使用 Exchange 边缘传输服务器。我最后的（众所周知的）环境如下所示：

有两个邮箱服务器（Exchange 2013 和 Exchange 2016）和两个边缘传输服务器（也是 Exchange 2013 和 Exchange 2016）。 MX 记录指向两个边缘传输服务器，并且有两个边缘同步。边缘传输服务器能够进行 DKIM 签名（如之前的博文中所述），但缺乏 DKIM 验证和 DMARC 验证。

边缘传输服务器中最重要的部分是实时阻止列表，配置为使用 Spamhaus 进行连接过滤。虽然这种方法效果很好（仍然有相当多的垃圾邮件被发送到邮箱中），但总有改进的空间。我一直在寻找云解决方案，但它们并不总能提供预期的效果。

我的一些客户正在本地使用思科电子邮件安全设备（以前称为 IronPort）解决方案，并且对此感到满意，因此是时候开始在我自己的环境中测试思科电子邮件安全设备 (ESA) 了。

设立欧空局

ESA 既可以作为物理设备使用，也可以作为虚拟设备使用。不幸的是（我的微软顾问说）只能作为 vmware 虚拟机，但由于我也有一个正在运行的 vmware 服务器，所以这不是问题。由于OVF解决方案，部署虚拟机是小菜一碟。连接三个 NIC（管理、内部和外部）就可以了。我的思科联系人告诉我，使用单臂部署是一种常见做法，但我进行了双臂部署，导致配置如下：

管理网络是（默认）192.168.42.42，内部网络配置为使用我的10.38.96.0/24网络，而外部网络配置为176.62.196.244地址。设备的 FQDN 是 smtphost.exchangelabs.nl，在 DNS 中，它指向上述 IP 地址，并且我已为此 IP 地址配置了 PTR 记录。

初始设置后（在 CLI 中通过 PUTTY 输入许可证文件是最具挑战性的），您可以继续在 GUI 中进行系统设置。默认域名是exchangelabs.nl，输入报告地址和时间服务器，如下图所示：

进入系统设置后，您可以继续进行网络配置。输入默认网关（在公共接口上）、公共和内部 IP 地址，然后输入入站邮件的转发地址（即 Exchange 2013 和 Exchange 2016 服务器），如以下屏幕截图所示：

最后一步是配置邮件安全选项，例如启用信誉过滤、IronPort 反垃圾邮件、Sophos 防病毒和病毒爆发过滤器，如以下屏幕截图所示：

检查完配置后，您就可以开始了，一旦接受，设备就会自行配置。这只花了几分钟，我立即开始接收来自 ESA 的配置消息。其中一些没有任何意义，看起来设备在设备完全配置之前就开始发送消息，但至少它运行良好。

下一步是在 Exchange 配置中创建发送连接器，使用 ESA 作为智能主机。所有出站邮件均通过 ESA 路由，因为它具有正确的 FQDN、IP 地址和 PTR 记录，互联网上的其他服务器将接受我的电子邮件。

添加额外的域

除了我的测试域之外，我还希望我的 jaapwesselius.com 和 jaapwesselius.nl 域使用 ESA。首先是在收件人地址表 (RAT) 中添加域，以便 ESA 接受该域的消息。第二步（也是最后一步）是为这些域配置 SMTP 路由，以便邮件将传递到我的 Exchange 服务器上。自我注意：输入域配置数据后使用提交更改按钮 ?

在我的平台上检查入站电子邮件时（使用远程连接分析器），您可以清楚地看到邮件正在通过 ESA：

留言卫生

为了了解 ESA 中的消息卫生，我们必须仔细研究 ESA 中的邮件流。这称为电子邮件管道，由三部分组成：

• 收据 - 这是接收消息的初始步骤，即接受连接、检查策略并验证收件人
• 工作队列 - 连接后，邮件进入工作队列，在此进行过滤、安全列表/阻止列表、反垃圾邮件/防病毒、爆发过滤和隔离。
• 传递 - 负责将传入消息传递到 Exchange 服务器。

任何电子邮件安全解决方案中最重要的部分之一是连接过滤，您需要确保只接受来自受信任来源的消息。不应接受来自垃圾邮件发送者的消息。在 Exchange 边缘传输服务器上，您可以配置实时阻止列表 (RBL)，我经常使用 SpamHaus 来实现此目的，如我关于配置边缘传输服务器的博文中所述。

ESA 正在使用发件人信誉过滤来实现此目的。发件人信誉过滤正在使用 SenderBase 信誉服务，该服务使用 SenderBase 联属网络。 SenderBase 信誉服务根据投诉率、邮件量统计数据以及公共黑名单和开放代理列表中的数据，为电子邮件发件人分配 SenderBase 信誉评分 (SBRS)。 SenderBase 信誉评分有助于区分合法发件人和垃圾邮件来源。 SBRS 的变化范围为 -10（最有可能是垃圾邮件）到 +10（最有可能是合法邮件）。

经过几周的使用（默认配置）后，我不得不承认它运行得非常好。到目前为止，我还没有收到任何垃圾邮件，我唯一不想收到的邮件是主要来自供应商销售部门的合法邮件。

传输层安全协议

默认情况下，ESA 配置有自签名证书。该证书仅用于访问 ESA（用于管理目的）。要在此服务器上使用 TLS，您必须请求（或导入）第 3 方 SSL 证书。

导入 SSL 证书后，您必须在主机地址表 (HAT) 上配置侦听器和邮件流策略。配置完成后，您可以使用 http://checktls.com 站点来检查您的站点是否已准备好 TLS：

如果您检查传入的 TLS 消息（第二天），您可以看到收到了多少 TLS 加密消息。就我个人而言，我有点惊讶昨天我仍然收到 21 条未加密的消息（平均周二）。

报告

报告总是很有趣，ESA 每天都会发送报告（PDF 格式）。其中一份报告是关于传入消息的。从下面的屏幕截图中可以看出，许多邮件被发件人信誉过滤阻止：

在同一个 PDF 中，您可以看到发送（威胁消息）域的概述：

出站消息

ESA 还可以（应该？）用于出站消息。我的环境中的邮件流已更改，不再使用边缘传输服务器。相反，会创建发送连接器，并将 ESA 配置为发送连接器上的智能主机。

在安装过程中，第二个网络接口配置为中继出站消息，并且出站消息的 FQDN 配置为使用 smtphost.exchangelabs.nl，因此出站消息看起来来自 smtphost.exchangelabs.nl。

我已经配置了反向 DNS 条目，因此在使用 http://misk.com/tools 时我可以检查这是否正确：

因此，当接收 SMTP 主机对我的发送 IP 地址进行反向查找时，他们会发现与我的 FQDN 匹配。到目前为止，我还没有听到任何关于消息未送达的投诉 ?

概括

Exchange 边缘传输服务器可用于连接过滤，也可以配置使用关键字的内容过滤。除此之外，边缘传输服务器并不是真正的反垃圾邮件解决方案。大多数时候，我看到边缘传输服务器，它们被用作位于网络 DMZ 中的邮件中继服务器。

对于消息卫生，有多种解决方案，过去几周我一直在使用 Cisco 电子邮件安全设备（在 Vmware 上运行）。我必须说，该设备给我留下了深刻的印象。安装非常容易，并且使用 ESA 用户手册（由 1216 页 ? 组成），您可以真正深入了解消息卫生。

目前，我对入站和出站邮件流（包括多个域和邮箱）有几乎默认的配置，并且自安装以来我没有看到任何垃圾邮件。

在接下来的博客文章中，我将更详细地介绍如何使用思科电子邮件安全设备配置反垃圾邮件、DKIM 签名、DMARC 等。