Blokování odchozího SMTP provozu z pracovních stanic v SBS 2003 Standard síti

Představte si následující situaci. Firma používá Small Business Server 2003 R2 Standard (SBS) a na něm provozuje mimo jiné poštovní server Exchange. Server by měl být jediným oprávněným strojem pro odesílání elektronické pošty do internetu. Ovšem pracovní stanice v SBS síti zpravidla přistupují k internetu prostřednictvím SBS serveru. Tedy přes stejnou IP adresu. Stačí, tedy aby některá z nich byla zavirována, odesílala spam a na problém je zaděláno. IP adresa vašeho Exchange Serveru se díky stanici octne na spam blacklistech a problém je na světě. E-maily z vaší veřejné IP adresy budou ostatními poštovními servery hodnoceny jako spam a v nejhorším případně nebudou adresátovi vůbec doručeny. Tomu je třeba všemi prostředky zabránit.

Pokud nemáte SBS Premium s ISA Server firewallem či vašemu serveru není předřazen hardwarový firewall, nabízí se následující řešení.

Řešení

SBS Standard totiž umí pomocí Group Policy aplikovat na klientské stanice IPsec filtr, který pomocí pravidel dokáže blokovat provoz z pracovních stanic. V našem případě, tedy aplikujeme na pracovní stanice pomocí Group Policy pravidlo blokující odchozí TCP komunikaci z portu 25. Kompletní návod včetně obrázků najdete tady.

Měli byste mít na paměti, že Group Policy se aplikuje pouze na stanice, které jsou v doméně. Strojů umístěných v pracovní skupině se vůbec netýká a mohou dále komunikovat bez omezení. Proto je dobré řešit vše v rámci ISA Serveru případně před Small Business Server předřadit HW firewall, který ošetří SMTP komunikaci směrem do internetu globálně pro celou síť.

Published by

Jiri Brejcha

Jiri is passionate about mobility ranging from Wi-Fi to folding bikes;-) He is a Wi-Fi Technical Solutions Architect at Cisco UK, proud member of the Cisco Live Network Operations Center deployment team, and WLAN Pi development team. If he is not working, he is most likely riding his Brompton bike.

3 thoughts on “Blokování odchozího SMTP provozu z pracovních stanic v SBS 2003 Standard síti”

  1. Zdravim,
    glogalni “oriznuti komunikace” SMTP ze stanic do internetu lze zabezpecit u SBS STD pomoci filtru v RRAS.
    V konzoli RRAS staci v sekci “smerovani IP” – “protokol NAT…” nastavit na “sitovce do vnitrni site” vstupni filtr, ve kterem se necha vse prazdne – jen se vyplni protokol TCP a cilovy port 25.

    Johan

  2. zdravim, kde presne toto nastavit ? kdyz ozbalim “smerovani IP” jsou tam polozky obecne, staticke smerovani smerovani a potokol NAT a zakladni brana. kdyz vlezu do NAT… tak u pripojeni msiti siti je vsude 0, chapu to tak, jako ze tam neni zadny provoz ? kdezto u “obecne” vidim ze se tam neco deje. kde tedy presne nastavit ? diky

Leave a Reply

Your email address will not be published. Required fields are marked *