前不久刚刚实施给Exchange邮件服务架设SMG（SBG）8340，进行垃圾邮件过滤的项目。处理完出差或外网Outlook客户端经过SMG的验证的问题，就有总代的工程师和厂家的工程师问我同样的问题（外网Outlook客户验证失败，只能收邮件，不能发邮件），真是无巧不成书。本来这片文章已经拖很久没有写，看来现在要马上完成了。

       首先通过“邮件的收发及其验证”这篇文章希望大家对邮件的收发及其验证有了一个大概的了解。

http://blog.sina.com.cn/s/blog_6965d96d0100wpvv.html

其次我们再对Symantec Messaging Gateway 8300有一个大概的了解。在默认情况下SMG8300的25端口是专职扫描邮件的，排除非邮件的所有信息和通讯。就像她的名字中有Gateway的意思一样，她就是一个只允许25通信，且只允许邮件从25端口通过的“墙”！这样SMG8300的25端口被唯一的应用独占了！！！这种方式将极大的提高扫描效率和过滤的精准性。但也同时禁止了在25端口的其他复合应用，就像Outlook中“发送邮件服务器（SMTP）”25端口的验证。 

如何解决Outlook中“发送邮件服务器（SMTP）”25端口验证的问题？

如文章开头的拓扑图一样，我们建议更改Outlook中“发送邮件服务器（SMTP）”的端口为“587”，然后通过转发至Exchange邮件服务器25端口进行验证。

为什么采用此种解决方式？

我们曾经处理过通过25端口验证来进行垃圾邮件进攻的事件。经过分析，其进攻特点是隐藏在验证信息之后，同时其弱点也相当明显就是只针对指定（25）端口进行攻击。如果25端口同时处理此类验证攻击会极大的消耗系统资源，造成邮件的堵塞。因此通过其他端口进行转发验证可以保证邮件系统最大的稳定运行。

如果真有人使用验证端口进行垃圾邮件进攻的话，SMG8300会做出反应吗？

我们的回答是肯定的。我在实施中发现更改Outlook中“发送邮件服务器（SMTP）”的端口为“587”后，邮件验证正常，同时发邮件也正常。而且从Outlook发往Exchange邮件服务器过程中也要经过SMG8300的过滤。所以如果真有人使用验证端口进行垃圾邮件进攻的话，SMG8300也会将其拦截。 

是否Exchange邮件服务器的验证都要采用这种方式？

其实很多客户是不用这种转发验证的。

首先，Exchange邮件服务器一般放置在内网，为内网服务器。而客户端也一般在内网，所以他们之间没有SMG8300。

其次，即使有分公司在外地，外地与总部一般也是VPN或专线连接，也可以理解为内网，他们之间也没有SMG8300。

最后，出差在外的员工都是通过VPN连接到公司内部在收发邮件的，他们之间不存在SMG8300。实在不行还可以通过登陆OWA来收发邮件。

总之，邮件服务器不能轻易发布出去，不能让谁谁谁都可以连接。要连接就要通过验证，这种验证不能简简单单的邮件服务器的验证。而应该是VPN或网络准入的验证。

Symantec Messaging Gateway 8300不简简单单的是垃圾邮件过滤。她是Symantec对邮件系统防护的一种系统的诠释。逻辑要合理，架构要安全，思路要明晰。 

Outlook客户端的设置

SMG“587”端口的发布

SMG中的验证邮件设置

Exchange中继限制的设置

经过以上的步骤就可以实现在外网Outlook客户端验证正常，收发邮件正常。

可能的新问题：出差回来的后Outlook客户端又验证失败。

解决方法1，再把发送邮件服务器（SMTP）的端口改回25。（麻烦死了！！！）

解决方法2，更改Host文件，解析邮件服务器的地址为公网地址。这样即使在公司内部也通过公网访问邮件服务器，经过SMG8300。（可以一劳永逸，但有些绕弯）

解决方法3，直接架设VPN，这样可以提升整体的网络安全架构，加强验证管理。（推荐）

北京同力天合网络技术有限公司

TAPP（Technical Assistance Partner Program）

朱宗智

本期明星销售：徐海涛

电话：18610923150

E-mail：xuhaitao@it9173.com

如果电话敬请告知获得途径“新浪博客”