Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010
Firewall – Phần 2: Chính sách E-Mail Trong phần hai của loạt bài Cài đặt, cấu hình giải pháp xử lý email trên
TMG 2010 Firewall này, chúng tôi sẽ giới thiệu cho các bạn cách cấu
hình chính sách bảo vệ email.
Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall – Phần 1:
Cài đặt
Trong phần một của loạt bài về giải pháp xử lý email trên TMG firewall này,
chúng tôi đã giới thiệu cho các bạn về quá trình cài đặt cần thiết để tạo email
gateway cho TMG firewall. Cho đến lúc này, khi các thành phần email
gateway đã được cài đặt, chúng ta có thể tìm hiểu thêm về cách cấu hình
chính sách bảo vệ email. Bắt đầu bằng cách kích hoạt E-Mail Policy. Điều
đó cũng có nghĩa chúng ta sẽ kích hoạt các tính năng bảo vệ E-Mail cơ bản
có trong giải pháp TMG Email Gateway. Sau khi kích hoạt các cách thức
bảo vệ email, bạn sẽ có một giải pháp anti-spam và anti-malware ngay lập
tức. Mặc dù vậy, như những gì sẽ thấy trong các phần sau của loạt bài này,
bạn sẽ có khá nhiều tùy chọn cho việc tùy chỉnh chính sách email để có được
một mức bảo vệ phù hợp với các yêu cầu cần thiết cho tổ chức của mình.
Nhắc lại, TMG sử dụng một phương pháp "một công hai việc" cho việc bảo
vệ email:

Forefront Protection for Exchange 2010 – FPE là một ứng dụng anti-
spam và anti-malware, và cũng cho phép lọc nội dung.

Exchange Edge Server – Exchange Edge Server có thể thực hiện các
nhiệm vụ lọc kết nối và anti-spam.
Sự kết hợp của Exchange Edge Server và Forefront Protection for Exchange
làm cho TMG firewall trở thành một vũ khí mạnh trong kho vũ khí của bạn,
giúp bạn chống lại spam và email sản sinh malware.

mạng bên trong của bạn, máy chủ này được cấu hình để chấp nhận email gửi
đến từ Internet. Nó cũng là máy chủ SMTP bên trong sẽ làm nhiệm vụ gửi
email từ bên trong tổ chức ra mạng Internet bên ngoài.
Kích nút Add bên cạnh phần Internal mail servers. Khi đó bạn sẽ thấy xuất
hiện hộp thoại Computer. Nhập vào tên của máy chủ SMTP và địa chỉ IP
của máy chủ. Cách khác, bạn có thể sử dụng nút Browse để tìm máy chỉ, địa
chỉ IP và tên sẽ được nhập vào. Lưu ý rằng, có thể có nhiều máy chủ mail
trong mạng bên trong để chấp nhận mail gửi đến.
Kích OK.

Hình 4
Lúc này kích vào nút thứ Add, đây là nút bên cạnh phần Accepted
authoritative domains. Khi đó bạn sẽ thấy hộp thoại Add Authoritative
Domain xuất hiện như thể hiện trong hình 5 bên dưới. Nhập vào tên miền
mà bạn muốn chấp nhận email gửi đến. Nếu có nhiều miền email để nhận
email, bạn có thể kích nút Add lần nữa để thêm vào các miền khác.
Lưu ý
: Các email được gửi đến tổ chức của bạn thông qua TMG firewall
không có miền email đích trong danh sách sẽ bị loại bỏ. Điều này để tránh
cho tổ chức của bạn phải làm việc như một SMTP relay bị khai thác bởi
spammer.

Hình 5
Kích Next trong trang Internal Mail Server Configuration, như thể hiện
trong hình 6.

Hình 6
Trong trang Internal E-Mail Listener Configuration, như thể hiện trong
hình 7, chọn mạng mà từ đó bạn muốn gửi email đi. Nếu có nhiều địa chỉ IP
trên NIC đó, bạn có thể kích nút Select Addresses và chọn một địa chỉ IP

dung không thích hợp.

Connectivityfor EdgeSync traffic: Bạn có thể đăng ký thành phần
Exchange Edge trên TMG firewall với tổ chức Exchange của mình.
Điều này cho phép bạn thực hiện lọc người nhận thư, các mail được
đề địa chỉ cho người không có trong tổ chức sẽ bị loại bỏ tại email
gateway.
Để bảo vệ mạnh nhất, hãy tích dấu kiểm vào các hộp chọn này và kích Next.

Hình 9
Nếu chọn Enable connectivity for EdgeSync traffic, bạn sẽ có nhiều việc
khác cần phải làm. Có hai bước mà bạn cần phải thực hiện ở đây và chúng ta
sẽ thấy cách thực hiện các bước đó như thế nào trong bài này. Các entry trợ
giúp cho hai bước - To create an Edge Subscription file và Using the
Exchange Management Console to import the Edge Subscription file–
có trong hình 10 và 11 bên dưới.

Hình 10 Hình 11
Kích Finish trong trang cuối cùng của Completing the E-Mail Policy
Wizard, xem thể hiện trong hình 12.

Hình 12
Hộp thoại Microsoft Forefront Threat Management Gateway giống như
hộp thoại hiển thị trong hình 13 sẽ xuất hiện tiếp, hỏi bạn xem có kích hoạt
System Policy Rules cần thiết cho việc nhận và chuyển tiếp lưu lượng
SMTP không. Chúng ta sẽ thực hiện điều đó, vì vậy hãy kích Yes.


Còn lúc này, kích đúp vào mục External_Mail_Servers, như thể hiện trong
hình 14 bên dưới:

Hình 14
Khi đó bạn sẽ thấy xuất hiện hộp thoại External_Mail_Servers Properties,
như thể hiện trong hình 15, đây là nơi chúng ta có thể nâng cấp các thiết lập
External Mail Server. Trên tab Listener, bạn có thể thấy các thiết lập
Networks và FQDN mà mình đã đặt trong wizard.

Hình 15
Nếu kích vào liên kết E-Mail Policy ở phía trên panel giữa ((“Enabled”
trong hình 14), hộp thoại E-Mail Policy xuất hiện như trong hình 16. Ở đây
bạn có thể kích hoạt hoặc vô hiệu hóa sự bảo vệ và Email Policy. Chúng ta
cũng sẽ thấy các tùy chọn tương tự cho các liên kết khác trong phần trên của
panel giữa khi truy cập vào tab E-Mail Policy.

Hình 16
Tại đây, bạn có một cấu hình đang làm việc và lúc này có thể cấu hình các
bản ghi MX của mình để gửi mail đến giao diện ngoài của TMG firewall.
Các thiết lập mặc định sẽ làm việc tốt và sẽ cung cấp một mức bảo vệ khá
cao. Mặc dù vậy, như những gì tôi đã đề cập ở trên, bạn có thể tùy chỉnh cấu
hình với một quy mô lớn và chúng ta sẽ đi xem xét các tùy chọn tùy chỉnh
đó trong các phần sau của loạt bài này.
Khắc phục sự cố
Nếu phát hiện ra mail gửi đến không đến được TMG firewall sau khi đã thực
hiện những thay đổi với bản ghi MX, hãy xem xét một số vấn đề sau để khắc
phục sự cố:

Kiểm tra TTL trên bản ghi MX, kiểm tra cả bản ghi A mà bản ghi MX
đang trỏ đến – điều này cho phép bạn biết những thay đổi của mình sẽ