Blokování odchozího SMTP provozu z pracovních stanic v SBS 2003 Standard síti

Představte si následující situaci. Firma používá Small Business Server 2003 R2 Standard (SBS) a na něm provozuje mimo jiné poštovní server Exchange. Server by měl být jediným oprávněným strojem pro odesílání elektronické pošty do internetu. Ovšem pracovní stanice v SBS síti zpravidla přistupují k internetu prostřednictvím SBS serveru. Tedy přes stejnou IP adresu. Stačí, tedy aby některá z nich byla zavirována, odesílala spam a na problém je zaděláno. IP adresa vašeho Exchange Serveru se díky stanici octne na spam blacklistech a problém je na světě. E-maily z vaší veřejné IP adresy budou ostatními poštovními servery hodnoceny jako spam a v nejhorším případně nebudou adresátovi vůbec doručeny. Tomu je třeba všemi prostředky zabránit.

Pokud nemáte SBS Premium s ISA Server firewallem či vašemu serveru není předřazen hardwarový firewall, nabízí se následující řešení.

Řešení

SBS Standard totiž umí pomocí Group Policy aplikovat na klientské stanice IPsec filtr, který pomocí pravidel dokáže blokovat provoz z pracovních stanic. V našem případě, tedy aplikujeme na pracovní stanice pomocí Group Policy pravidlo blokující odchozí TCP komunikaci z portu 25. Kompletní návod včetně obrázků najdete tady.

Měli byste mít na paměti, že Group Policy se aplikuje pouze na stanice, které jsou v doméně. Strojů umístěných v pracovní skupině se vůbec netýká a mohou dále komunikovat bez omezení. Proto je dobré řešit vše v rámci ISA Serveru případně před Small Business Server předřadit HW firewall, který ošetří SMTP komunikaci směrem do internetu globálně pro celou síť.