Zabezpieczanie serwera pocztowego zawsze będzie kompromisem pomiędzy bezpieczeństwem a funkcjonalnością oferowaną użytkownikom.

Opisywana przed tygodniem metoda zabezpieczenia serwera Exchange przed nie autoryzowanym wysyłaniem poczty elektronicznej ma dość poważną wadę - uniemożliwia korespondowanie użytkownikom korzystającym z klientów pocztowych, komunikujących się przez protokoły POP3 i IMAP4.

Rozwiązanie z POP3

Zakładka Routing we właściwościach konektora IMC serwera Exchange pozwala ustawić jeszcze inną opcję dotyczącą zasad przesyłania przez serwer (mail relaying) korespondencji: Reroute incoming SMTP mail. Pola Routing i Routing Restrictions pozwalają dodatkowo sprecyzować, w jaki sposób serwer ma traktować nadsyłaną korespondencję.

Po wybraniu tej opcji w pierwszej kolejności należy określić (pole Routing) domeny lokalne, z których adresowaną korespondencję odbierać będzie IMC. Dodając kolejne domeny, administrator może zdecydować, czy korespondencja kierowana do konkretnej domeny ma być przekierowywana do innej domeny (Should be rerouted to this domain), ma być obsługiwana przez lokalny serwer (Should be accepted as "inbound") czy też korespondencja adresowana do tej domeny ma zawsze do niej trafiać bez względu na wprowadzane obostrzenia (Override relay restrictions).

Najbardziej naturalnym i niezbędnym do poprawnego funkcjonowania klientów POP3 i IMAP4 jest wpisanie lokalnych domen na listę jako inbound. Oczywiście jest to możliwe tylko wtedy, jeśli firma nie stosuje złożonych "scenariuszy" przesyłania poczty, np. do konkretnego serwera pełniącego funkcję bezpiecznej bramki internetowej.

Kto tam?

Fakt, że określono zasady routingu korespondencji, nie oznacza, iż serwer został zabezpieczony przed nie autoryzowanym wykorzystaniem go do rozsyłania spamu. Konieczne jest jeszcze wprowadzenie restrykcji, które określą, jacy klienci mogą łączyć się z serwerem. Takie ograniczenia można skonfigurować, klikając przycisk Routing Restrictions. Przy ich ustawianiu należy pamiętać o tym, że do powodzenia realizacji transmisji poczty zewnętrznej przez danego klienta wystarczy spełnienie tylko jednego z warunków zdefiniowanych w tym oknie.

Przede wszystkim administrator mo-że wymusić identyfikację użytkowników przed wysłaniem poczty (podobnie jak w przypadku jej odbierania z serwera). Niestety, nie wszystkie aplikacje klien- ta poczty elektronicznej pozwalają użytkownikowi wymusić identyfikację przy wysyłaniu poczty SMTP. Aplikacjami oferującymi takie funkcje poprzez ustawienie specjalnej opcji w konfiguracji programu są Microsoft Outlook Express oraz komercyjna wersja pakietu Eudora. Ustawienie w konfiguracji serwera Exchange opcji Hosts and clients that successfully authenticate skutecznie uniemożliwia anonimowym użytkownikom przesłanie jakiejkolwiek koresponden- cji nie adresowanej do lokalnie obsługi-wanych domen.

Wykorzystując pole Hosts and clients with these IP addresses, administrator może umożliwić wysyłanie poczty SMTP tym klientom ze statycznie przyznanymi numerami IP, którzy nie mogą się poprawnie zidentyfikować przy wysyłaniu korespondencji, a muszą ją wysyłać.

Administrator może również stworzyć swoją "czarną listę" serwerów i klientów, którzy nigdy nie będą mogli przesyłać korespondencji zewnętrznej przez dany serwer. Do tego celu służy pole Specify the hosts and clients that can NEVER route mail.

Optymalna konfiguracja

Osoby nadużywające "gościnności" serwerów pocztowych sprawdzają najczęściej ich otwartość automatycznie, odpytując za pośrednictwem specjalnego narzędzia serwery DNS o to, jakie serwery pocztowe obsługują daną domenę (co opisane jest rekordami MX w DNS-ie), a następnie sprawdzając, czy serwery takie umożliwiają realizację funkcji mail relaying bez żadnych ograniczeń.

Administratorzy, zarządzający sieciami z dużą liczbą różnych klientów pocztowych, którzy nie zawsze potrafią się zidentyfikować, a jednocześnie nie zawsze korzystają z sieci wewnętrznej (np. zewnętrzni współpracownicy firmy, osoby sprawdzające pocztę z domu, w delegacji itp.), mogą zainstalować dodatkowy serwer SMTP, którego zadaniem będzie wyłącznie odbieranie korespondencji i kierowanie jej do podsta- wowego serwera pocztowego. Kluczem do powodzenia takiej operacji jest niewpi- sywanie dodatkowego serwera SMTP do DNS-u jako maszyny typu MX (Mail Exchanger). Do realizacji takiej funkcji nadaje się serwis SMTP, wbudowany w oprogramowanie Microsoft IIS.

Na podstawowym serwerze pocztowym Exchange należy w konfiguracji ograniczeń routingu wpisać w polu Hosts and clients with these IP addresses adres IP z maską 255.255.255.255 serwera odbierającego pocztę SMTP. Takie rozwiązanie gwarantuje, że pozornie nie udostępniając funkcji mail relaying podstawowy serwer pocztowy umożliwia jednak nadal swobodne korzystanie z poczty poprzez serwer.