Jak blokovat odchozí e-maily z organizace?

Proč vlastně potřebujeme blokovat odchozí maily? Důvodů je celá řada a každý admin by mohl vyprávět. Asi těmi nejpodstatnějšími z nich jsou otázky bezpečnosti (kontrola nad odesílanými informacemi) a otázky zvýšeného trafficu odesíláním mailů nepracovního charakteru (mp3, pps, wmv, mpg apod.). Jedná se tedy o prvek, který by měl být součástí informační politiky firmy.

Blokujeme na proxyně

Prvním způsobem, jak zamezit určitým lidem, aby odesílali z organizace e-maily, je tvorba firewallového pravidla na ISA serveru. Podmínkou pro tuto metodu je buď přítomnost ISA serveru v doméně, kde se nachází Active Directory exponovaných uživatelů nebo pomocí konektoru, leží-li ISA např. v DMZ. S druhou možností nemám zkušenosti, proto popíšu případ ISA integrované do AD.

Nejedná se o žádnou složitost. Vytvoříte v AD skupinu uživatelů, nazvanou např. OutgoingDisabled, jejímiž členy budou pracovníci s omezením odesílání. Na ISA serveru pak vytvoříme pravidlo, které bude blokovat SMTP komunikaci. Cílovou skupinou tohoto pravidla pak bude OutgoingDisabled. Důležité je, aby toto pravidlo bylo předřazeno obecnému pravidlu povolujícímu SMTP přenos.

Výhoda je zřejmá, řešení pracuje jak s uživatelskými účty, tak se skupinami. Naproti tomu je k řešení nutno používat ISA server, je tedy zvýšený traffic mezi ním a Exchange serverem, protože rozlišování probíhá až na proxyně.

Blokujeme na Exchangi

Druhý způsob je z mého pohledu daleko elegantnější z několika důvodů. K řešení postačí Exchange server, nastavení je jednodušší. Negativní stránkou mohou být dvě věci. Je to zvýšení zátěže Exchange serveru, protože musí zpracovávat block-list (osobně se domnívám, že na dobře dimenzovaném serveru se jedná o marginální věc) a za druhé, k řešení nelze defaultně používat AD skupiny uživatelů (distribution list-based restriction – tento problém by měl vyřešit zásah do registru)*.

Nastavení blokování se provádí pomocí ESM konzole. Na konektoru (Administrative Groups\First Administrative Group\Routing Groups\First Routing Group\Connectors\Properties), který používáte pro připojení do netu (Address Space typicky * – podobným způsobem lze předdefinovat libovolnou doménu a blokovat přístup např. jen do konrétní domény konkrétním uživatelům) prostě uvedete do Delivery Restrictions uživatele, kteří mají mít bloklý SMTP přístup (Reject messages from:). Zdánlivá nelogičnost, která se může jevit (restrikce jsou podle definice na příchozí traffic), je vysvětlitelná velice jednoduše. Příchozími je míněna mailová komunikace přišedší na Connector. Příchozí komunikace zvnějšku organizace se SMTP konektorem nemá nic společného. Jen připomínám, že je v ESM nutné zapnout Advanced View.

Vivisekce eksčendžího konetoru je k vidění například zde.

Popis blokování na Exchange je také součástí kb316281.

* Zásah do registru by měl vypadat následujícím způsobem:

HKLM/System/CurrentControlSet/Services/Resvc/Parameters

Value Name: CheckConnectorRestrictions

Data Type: REG_DWORD

Radix: Hexadecimal

Value: 1

Po změně v registru je nutné restartovat služby Microsoft Exchange Routing EngineSMTP.

Popis řešení je také součástí kb277872.

Update 24.11.2007

Blokování na konektoru funguje perfektně. Odzkoušeno a používáno.