Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010
Firewall – Phần 2: Chính sách E-Mail


Trong phần hai của loạt bài Cài đặt, cấu hình giải pháp xử lý email trên
TMG 2010 Firewall này, chúng tôi sẽ giới thiệu cho các bạn cách cấu
hình chính sách bảo vệ email.
Cài đặt, cấu hình giải pháp xử lý email trên TMG 2010 Firewall – Phần 1:
Cài đặt
Trong phần một của loạt bài về giải pháp xử lý email trên TMG firewall này,
chúng tôi đã giới thiệu cho các bạn về quá trình cài đặt cần thiết để tạo email
gateway cho TMG firewall. Cho đến lúc này, khi các thành phần email
gateway đã được cài đặt, chúng ta có thể tìm hiểu thêm về cách cấu hình
chính sách bảo vệ email. Bắt đầu bằng cách kích hoạt E-Mail Policy. Điều
đó cũng có nghĩa chúng ta sẽ kích hoạt các tính năng bảo vệ E-Mail cơ bản
có trong giải pháp TMG Email Gateway. Sau khi kích hoạt các cách thức
bảo vệ email, bạn sẽ có một giải pháp anti-spam và anti-malware ngay lập
tức. Mặc dù vậy, như những gì sẽ thấy trong các phần sau của loạt bài này,
bạn sẽ có khá nhiều tùy chọn cho việc tùy chỉnh chính sách email để có được
một mức bảo vệ phù hợp với các yêu cầu cần thiết cho tổ chức của mình.
Nhắc lại, TMG sử dụng một phương pháp "một công hai việc" cho việc bảo
vệ email:

Forefront Protection for Exchange 2010 – FPE là một ứng dụng anti-
spam và anti-malware, và cũng cho phép lọc nội dung.

Exchange Edge Server – Exchange Edge Server có thể thực hiện các
nhiệm vụ lọc kết nối và anti-spam.
Sự kết hợp của Exchange Edge Server và Forefront Protection for Exchange
làm cho TMG firewall trở thành một vũ khí mạnh trong kho vũ khí của bạn,
giúp bạn chống lại spam và email sản sinh malware.

Chúng ta hãy bắt đầu! Có rất nhiều vấn đề mà chúng tôi cần giới thiệu cho
các bạn ở đây.
Kích hoạt sự bảo vệ email
Mở giao diện TMG firewall, kích vào tên máy tính trong phần panel trái của
giao diện điều khiển. Ở đây bạn sẽ thấy một nút mới không có trong các
phiên bản trước của tường lửa – đó chính là nút E-Mail Policy. Kích vào nút
E-Mail Policy này như thể hiện trong hình 1.

Hình 1
Sau khi kích nút E-Mail Policy, bạn sẽ thấy ba tab trong panel giữa.

E-Mail Policy. Tab cấu hình các thiết lập để kích hoạt sự bảo vệ
email.

Spam Filtering. Tab cấu hình các thiết lập anti-spam sau khi sự bảo
vệ email được kích hoạt.

Virus and Content Filtering. Tab cấu hình các thiết lập anti-malware
và lọc nội dung để bảo vệ email.
Chúng ta hãy bắt đầu với sự bảo vệ email bằng cách kích liên kết Configure
E-Mail Policy như thể hiện trong hình 2 bên dưới.

Hình 2
Khi đó bạn sẽ thấy xuất hiện trang Welcome to the E-Mail Policy Wizard
như thể hiện trong hình 3. Kích Next.

Hình 3
Trang tiếp theo là Internal Mail Server Configuration được thể hiện trong
hình 4. Ở đây bạn cần cấu hình cho TMG firewall những thành phần như
tên, địa chỉ IP của máy chủ SMTP bên trong, đây là máy chủ SMTP trên

mạng bên trong của bạn, máy chủ này được cấu hình để chấp nhận email gửi
đến từ Internet. Nó cũng là máy chủ SMTP bên trong sẽ làm nhiệm vụ gửi
email từ bên trong tổ chức ra mạng Internet bên ngoài.
Kích nút Add bên cạnh phần Internal mail servers. Khi đó bạn sẽ thấy xuất
hiện hộp thoại Computer. Nhập vào tên của máy chủ SMTP và địa chỉ IP
của máy chủ. Cách khác, bạn có thể sử dụng nút Browse để tìm máy chỉ, địa
chỉ IP và tên sẽ được nhập vào. Lưu ý rằng, có thể có nhiều máy chủ mail
trong mạng bên trong để chấp nhận mail gửi đến.
Kích OK.

Hình 4
Lúc này kích vào nút thứ Add, đây là nút bên cạnh phần Accepted
authoritative domains. Khi đó bạn sẽ thấy hộp thoại Add Authoritative
Domain xuất hiện như thể hiện trong hình 5 bên dưới. Nhập vào tên miền
mà bạn muốn chấp nhận email gửi đến. Nếu có nhiều miền email để nhận
email, bạn có thể kích nút Add lần nữa để thêm vào các miền khác.
Lưu ý
: Các email được gửi đến tổ chức của bạn thông qua TMG firewall
không có miền email đích trong danh sách sẽ bị loại bỏ. Điều này để tránh
cho tổ chức của bạn phải làm việc như một SMTP relay bị khai thác bởi
spammer.

Hình 5
Kích Next trong trang Internal Mail Server Configuration, như thể hiện
trong hình 6.

Hình 6
Trong trang Internal E-Mail Listener Configuration, như thể hiện trong
hình 7, chọn mạng mà từ đó bạn muốn gửi email đi. Nếu có nhiều địa chỉ IP
trên NIC đó, bạn có thể kích nút Select Addresses và chọn một địa chỉ IP

nào đó để chấp nhận mail gửi đi từ máy chủ SMTP bên trong.
Kích Next.

Hình 7
Trong trang External E-Mail Listener Configuration, thể hiện trong hình
8, tích dấu kiểm vào hộp kiểm cho mạng mà trên đó bạn muốn chấp nhận
email gửi đến. Trong hầu hết các trường hợp, đó sẽ là mạng External. Nếu
có nhiều địa chỉ IP trên giao diện đó, bạn có thể kích nút Select Addresses
và chọn một địa chỉ IP nào đó là địa chỉ mà bạn muốn chấp nhận mail gửi đi.
Trong hộp FQDN or IP address trong trang này, nhập vào Fully Qualified
Domain Name mà bạn muốn TMG firewall sử dụng như một sự phản ứng
cho các thư khởi tạo SMTP session, chẳng hạn như HELO hoặc EHLO. Bảo
đảm rằng bản ghi DNS ngược cho name này phân giải địa chỉ IP chính xác,
đó là địa chỉ đang nhận mail gửi đến.
Kích Next.

Hình 8
Các tùy chọn chính sách email
Trong trang E-Mail Policy Configuration, thể hiện trong hình 9, bạn có thể
kích hoạt các tùy chọn dưới đây:

Spam filtering: Tùy chọn này sẽ kích hoạt kỹ thuật antispam của
Forefront Protection for Exchange và sử dụng nhiều phương pháp lọc
antispam để bảo vệ tổ chức của bạn tránh spam. Nó cũng lợi dụng kỹ
thuật anti-spam có trong Exchange Edge Server.

Virus and content filtering: Tùy chọn này kích hoạt chế độ bảo vệ
anti-virus của Forefront Protection for Exchange và sử dụng nhiều cỗ
máy anti-virus để bảo vệ bạn tránh được các email sản sinh malware;
thêm vào đó nó có thể thực hiện lọc nội dung nhằm khóa những nội

dung không thích hợp.

Connectivityfor EdgeSync traffic: Bạn có thể đăng ký thành phần
Exchange Edge trên TMG firewall với tổ chức Exchange của mình.
Điều này cho phép bạn thực hiện lọc người nhận thư, các mail được
đề địa chỉ cho người không có trong tổ chức sẽ bị loại bỏ tại email
gateway.
Để bảo vệ mạnh nhất, hãy tích dấu kiểm vào các hộp chọn này và kích Next.

Hình 9
Nếu chọn Enable connectivity for EdgeSync traffic, bạn sẽ có nhiều việc
khác cần phải làm. Có hai bước mà bạn cần phải thực hiện ở đây và chúng ta
sẽ thấy cách thực hiện các bước đó như thế nào trong bài này. Các entry trợ
giúp cho hai bước - To create an Edge Subscription file và Using the
Exchange Management Console to import the Edge Subscription file–
có trong hình 10 và 11 bên dưới.

Hình 10


Hình 11
Kích Finish trong trang cuối cùng của Completing the E-Mail Policy
Wizard, xem thể hiện trong hình 12.

Hình 12
Hộp thoại Microsoft Forefront Threat Management Gateway giống như
hộp thoại hiển thị trong hình 13 sẽ xuất hiện tiếp, hỏi bạn xem có kích hoạt
System Policy Rules cần thiết cho việc nhận và chuyển tiếp lưu lượng
SMTP không. Chúng ta sẽ thực hiện điều đó, vì vậy hãy kích Yes.


Hình 13
Cấu hình chính sách email
Đến đây, chúng ta đã sẵn sàng cho việc nghiên cứu và cấu hình chính sách
email. Lúc này bạn có thể kích nút Apply để lưu cấu hình của mình, hoặc có
thể đợi cho tới khi thực hiện xong. Nó sẽ tự lưu cho bạn. Tôi thích kích
Apply hơn là không, vì bản thân không muốn mất những thay đổi cấu hình
mà mình đã thực hiện khi có vấn đề gì đó bất người xảy ra, chẳng hạn như
giao diện điều khiển bị treo. Tuy không có vấn đề nào xảy ra với giao diện
điều khiển TMG firewall trong quá trình làm việc của tôi tuy nhiên sẽ không
bao giờ biết được những điều xấu đó có thể xảy ra lúc nào – và cách tốt nhất
để phòng tránh điều đó là cách mà tôi đã chọn.
Bạn có thể thấy, trong phần panel ở giữa giao diện trong tab E-Mail Policy,
các thiết lập sau:

Email Policy: Enabled

Spam Filtering: Enabled

Virus and Content Filtering: Enabled

Edge Subscription: Enabled

Protection Manager Integration: Disabled

E-Mail Policy Integration Mode: Enabled
Lưu ý rằng Forefront Protection Manager (trước đây cũng được biết đến với
tên “Stirling”) không thể cấu hình vào thời điểm này vì Forefront Protection
Manger vẫn trong trạng thái thay đổi. Chúng ta sẽ đề cập đến vấn đề này khi
FPM ổn định hơn và nhóm sản phẩm có ý tưởng tốt hơn về cách kết thúc nó
như thế nào.

Còn lúc này, kích đúp vào mục External_Mail_Servers, như thể hiện trong
hình 14 bên dưới:

Hình 14
Khi đó bạn sẽ thấy xuất hiện hộp thoại External_Mail_Servers Properties,
như thể hiện trong hình 15, đây là nơi chúng ta có thể nâng cấp các thiết lập
External Mail Server. Trên tab Listener, bạn có thể thấy các thiết lập
Networks và FQDN mà mình đã đặt trong wizard.

Hình 15
Nếu kích vào liên kết E-Mail Policy ở phía trên panel giữa ((“Enabled”
trong hình 14), hộp thoại E-Mail Policy xuất hiện như trong hình 16. Ở đây
bạn có thể kích hoạt hoặc vô hiệu hóa sự bảo vệ và Email Policy. Chúng ta
cũng sẽ thấy các tùy chọn tương tự cho các liên kết khác trong phần trên của
panel giữa khi truy cập vào tab E-Mail Policy.

Hình 16
Tại đây, bạn có một cấu hình đang làm việc và lúc này có thể cấu hình các
bản ghi MX của mình để gửi mail đến giao diện ngoài của TMG firewall.
Các thiết lập mặc định sẽ làm việc tốt và sẽ cung cấp một mức bảo vệ khá
cao. Mặc dù vậy, như những gì tôi đã đề cập ở trên, bạn có thể tùy chỉnh cấu
hình với một quy mô lớn và chúng ta sẽ đi xem xét các tùy chọn tùy chỉnh
đó trong các phần sau của loạt bài này.
Khắc phục sự cố
Nếu phát hiện ra mail gửi đến không đến được TMG firewall sau khi đã thực
hiện những thay đổi với bản ghi MX, hãy xem xét một số vấn đề sau để khắc
phục sự cố:

Kiểm tra TTL trên bản ghi MX, kiểm tra cả bản ghi A mà bản ghi MX
đang trỏ đến – điều này cho phép bạn biết những thay đổi của mình sẽ

“phổ biến” trên Internet nhanh như thế nào.

Nếu có một tường lửa hoặc thiết bị NAT phía trước TMG firewall,
bảo đảm rằng nó phải chuyển tiếp các thư gửi đến trong cổng TCP 25
đến địa chỉ IP mà bạn đã cấu hình khi chạy wizard là địa chỉ IP mail
gửi đến.

Nếu gặp phải các vấn đề với mail gửi đi, hãy bảo đảm rằng đã cấu
hình máy chủ SMTP của mình để có thể sử dụng TMG firewall như
một “smart host” hoặc đã cấu hình các máy chủ kết nối Exchange
2007/2010 để sử dụng tường lửa cho các kết nối gửi đi.

Kiểm tra phần Services trên TMG firewall để bảo đảm rằng tất cả các
dịch vụ của TMG firewall, chẳng hạn như các dịch vụ Exchange và
Forefront Protection for Exchange đều hoạt động.
Kết luận
Trong phần hai của loạt bài này, chúng tôi đã giới thiệu được cho các bạn về
một số thủ tục cần thiết để các thành phần Email Protection có thể làm việc.
Chúng ta đã cấu hình bộ lắng nghe incoming SMTP listener, dùng để chấp
nhận mail gửi đến, cấu hình outgoing SMTP listener, dùng để gửi mail đi.
Thêm vào đó chúng ta cũng đã kích hoạt các thành phần Forefront
Protection for Exchange và Exchange Edge để cho phép bảo vệ anti-spam và
anti-virus.
Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn
những thông tin chi tiết hơn về cấu hình lọc spam trên TMG firewall. Một số
tùy chọn cấu hình mà chúng ta sẽ đề cập đến trong các phần đó, gồm có các
tính năng anti-spam như địa chỉ IP được phép, nhà cung cấp được phép,
danh sách IP bị khóa, nhà cung cấp bị khóa, lọc nội dung, lọc người nhận,
lọc thư gửi đi, cấu hình ID người gửi và cấu hình danh tiếng người nhận,…