Irnoport 邮件网关配置手册

CiscoIronPortSystemsCiscoIronPortSystems第1页IronPortC-Series邮件网关配置指南CiscoIronPortSystemsCiscoIronPortSystemsCiscoIronPortSystems第2页目录1.前言...........................................................................................................................................................32.配置准备...................................................................................................................................................33.INBOUND模式.......................................................................................................................................33.1.网络拓扑..........................................................................................................................................33.2.需求说明..........................................................................................................................................43.3.配置步骤..........................................................................................................................................44.INBOUND+OUTBOUND模式..............................................................................................................94.1.网络拓扑..........................................................................................................................................94.2.需求说明........................................................................................................................................104.3.配置步骤-用单个LISTENER实现...............................................................................................104.4.配置步骤-用两个LISTENER实现...............................................................................................125.INBOUND+CLIENTSMTP模式......................................................................................................145.1.网络拓扑........................................................................................................................................145.2.需求说明........................................................................................................................................145.3.配置步骤........................................................................................................................................156.其他配置说明.........................................................................................................................................186.1.启用LDAP验证............................................................................................................................186.2.启用ISQ隔离区............................................................................................................................207.附录：邮件网关安装配置表.................................................................................................................227.1.邮件系统概况................................................................................................................................227.2.IRONPORT邮件网关配置...............................................................................................................23CiscoIronPortSystemsCiscoIronPortSystems第3页1.前言本文专门针对IronPortC-Series邮件安全网关（EmailSecurityAppliance，简称ESA）在常见的用户环境中，给出了用户需求分析，配置准备和配置步骤。使用过程中有什么意见和建议，欢迎联系DavidWu(wuqw@cisco.com)。使用本文档的工程师，至少需要了解以下知识：（1）SMTP和POP3基本原理（2）DNS原理及A记录、MX记录、PTR记录等概念（3）LDAP基本概念（4）常见邮件系统（如Exchange，Domino等）与邮件网关相关的配置，如智能主机SmartHost或RelayHost等。本文介绍了三种常见的用户配置环境：Inbound模式Inbound+Outbound模式Inbound+ClientSMTP模式本文档中用到的所有命令和截图都是基于AsyncOS6.5.0。2.配置准备在配置ESA之前，要做好以下准备工作：（1）根据ESA的SerialNumber，申请设备测试License。（2）将AsyncOS升级到最新版本。（3）按照邮件系统的基本状况和安装配置表（见附件）逐项填写，这将帮助了解用户的邮件系统状况和邮件收发流程。3.Inbound模式3.1.网络拓扑邮件系统网络拓扑如下：CiscoIronPortSystemsCiscoIronPortSystems第4页3.2.需求说明在Inbound配置模式中，邮件网关只负责接收来自外域的邮件：（1）从外域发往本域的邮件，根据域名MX记录的指向，先进入ESA，经过ESA的Anti-Spam/Anti-Virus/VOF过滤后，再投递到邮件服务器。（2）如果邮件被判定为肯定的垃圾邮件，直接删除（Drop）；判定为可疑的垃圾邮件，放入到用户级垃圾邮件隔离区（ISQ）。用户通过客户端收发邮件的方式保持不变：（1）通过邮件客户端（如Foxmail、Outlook）收发邮件的用户，其SMTP服务器和POP3服务器的IP地址仍然指向邮件服务器；（2）通过Web方式收发邮件的用户，仍然通过http方式访问邮件服务器。3.3.配置步骤根据Inbound模式的网络拓扑，ESA配置步骤如下：（1）了解邮件服务器的域名和IP地址：邮件系统域名：shanghaimx.com邮件服务器IP地址：192.168.81.100（2）给ESA提供内网IP地址，以及缺省网关地址，DNS服务器地址：IP：192.168.81.40Gateway：192.168.81.254DNS：192.168.114.1/202.96.209.5CiscoIronPortSystemsCiscoIronPortSystems第5页（3）修改防火墙上公网地址与内网地址的映射，将域名shanghaimx.com的MX记录的IP地址，映射为192.168.81.40。（4）在防火墙上开放以下TCP/UDP端口：端口协议In/Out说明25TCPIn/Out用于收发邮件53TCP/UDPOut查询Senderbase信誉得分和DNS解析80TCPOut更新anti-spam/anti-virus/vof规则22/443TCPIn远程管理（5）通过Management网络端口连接到ESA设备，启动浏览器，输入，缺省登陆帐号的用户名是admin，密码为ironport。（6）初始化配置通过配置向导（SystemWizard），分为5步：a)接受许可协议b)系统基本设置CiscoIronPortSystemsCiscoIronPortSystems第6页c)网络和邮件接收设置将192.168.81.40配置到网口Data2上，并在Data2上选中“Acceptmailonthisinterface”，表明在Data2上创建一个邮件接收的Listener。在本例中，设定发往shanghaimx.com域的邮件将投递到192.168.81.100。d)邮件安全模块设置CiscoIronPortSystemsCiscoIronPortSystems第7页e)确认配置并安装在确认无误后，点击“InstallThisConfiguration”，初始化配置完成。（7）初始化后系统策略设置以下给出的策略和参数设置是推荐值，在实际配置时，需要根据用户的要求进行修改。CiscoIronPortSystemsCiscoIronPortSystems第8页a)修改HAT表GUI：Mailpolicies