Edge Server: to ISA or not to ISA

"In Exchange 2007, the Edge Transport server role is deployed in your organization's perimeter network as a stand-alone server. Designed to minimize the attack surface, the Edge Transport server handles all Internet-facing mail flow, which provides Simple Mail Transfer Protocol (SMTP) relay and smart host services for the Exchange organization."
in Edge Transport Server Role - Overview

Uma das muitas perguntas que me colocam é se devemos ou não colocar o Exchange 2007 Edge Server atrás de um ISA Server. Não existe muita informação prescritiva da Microsoft sobre este assunto, apenas nos é dito para colocar o servidor Edge numa rede de perímetro.

Bem, a resposta é: Sim e Não!

Vamos utilizar a seguinte figura para nos ajudar na resposta:

• SIM - Se o firewall de perímetro (FW1) for o ISA Server, é apenas necessário abrir a porta 25 (SMTP), para que o e-mail possa fluir de/para a Internet.
• NÃO - Se a DMZ for construída com firewalls de terceiros, então é apenas necessário colocar o Edge Server neste segmento de rede, dispensando a eventual protecção extra de um ISA Server.

A figura ilustra igualmente um ISA Server na DMZ. Este servidor é utilizado para publicar outros serviços de Exchange, tais como OWA, Outlook Anywhere e ActiveSync.

Se o firewall de perímetro for o Microsoft ISA Server, não deverá ser utilizado qualquer tipo de application filtering para publicar o Edge Server. Apesar de o ISA Server 2006 ter descontinuado o SMTP Message Screener, existe ainda o SMTP Filter. Este filtro pode ser verificado nas propriedades do protocolo SMTP Server, conforme se ilustra na figura seguinte:

O que pode (e deve) ser feito é definir um novo protocolo SMTP Server sem qualquer tipo de application filter e utilizá-lo quando se colocar o Edge Server atrás do ISA Server.

del.icio.us Tags: exchange 2007, isa server, security, firewall

Technorati Tags: exchange 2007, isa server, security, firewall