آیا در محیط خود به Exchange Edge Transport نیاز دارید؟
مایکروسافت نقش Edge Transport را ابتدا به عنوان یکی از پنج نقش اصلی در Exchange 2007 معرفی کرد و دوباره آن را در Exchange 2010 ارائه کرد. هدف از نقش Edge Server این است که ترافیک SMTP ورودی محدود به محیط DMZ شود، از آنجایی که بسیاری از اتصالات SMTP ورودی غیر قابل شناسایی هستند، برخی واحد های امنیتی اجازه ارتباط مستقیم این ترافیک ها را، به منابع شبکه داخلی شما نمی دهند(Exchange Server)، Edge Transport Server، به مشتریان این قابلیت را می دهد که بدون نیاز به خرید SMTP Gateway Appliance یک ایمیل سرور راه اندازی کنند.
برای امنیت بیشتر، سرورهایی که نقش Edge Servers را اجرا می کنند Join به دامین داخلی مربوط به Exchange Organization شما نمی شوند و همینطور قادر به نصب آن در کنار دیگر Role های Exchange نیستیم، این امکان وجود داردکه Edge Server را Join یک دامین در شبکه DMZ کنید که بتوانید از Group Policy و تنظیمات امنیتی مشترک استفاده کنید، اما اکثر مشتریان Active Dirctory را در محیط DMZ خود قرار نمی دهند.
سرورهای Edge می توانند به عنوان اولین خط دفاعی شما در برابر نرم افزارهای مخرب SMTP و انکار سرویس ها (DOS,DDOS) به عنوان نقطه ورود SMTP عمل نماید. Edge Transport Role با ایمیل سرور داخلی از طریق Edge Subscription کار می کند، Edge Subscription یک اتصال متقابل معتبر و رمزگذاری شده بین سرورهای Edge و سرورهای داخلی Exchange فراهم می کند، برخی از مزایای امنیتی دیگر Edge عبارتند از:
- بیشتر تنظیمات Edge Transport بر روی سرورهای داخلی Exchange انجام می شود و این پیکربندی با استفاده از فرایندی به نام EdgeSync انجام می شود، اگر یک Edge Server به هر نحوی در معرض خطر و نفود قرار بگیرد، پیکربندی Edge Transport قابل تغییر نمی باشد.
- قابلیت پیشرفته Anti-Malware با استفاده از Recipient Filtering، کمی جلوتر توضیح خواهم داد.
- کاهش حملات Harvest با استفاده از Tarpit، Tarpitروشی است که Edge Transport برای پاسخ دادن به دستورات نامعتبر و Recipient ها به یک مدت مشخص(پیش فرض 5 ثانیه) پاسخ های خود را به تاخیر می اندازد، این رفتار به شدت اثرات انکار سرویس و حملات Harvest را کاهش می دهد.
- تمام ارتباطات Edge Sync با استفاده از گواهینامه Self-Sign Exchange، احرازهویت و رمزنگاری می شود.
- تمام ارتباطات بین Edge و سرورهای Exchange داخلی از TLS Encryption استفاده می کند.
مایکروسافت موقع ارائه Exchange 2013 RTM در تاریخ 11 اکتبر 2012، آن را بدون نقش Edge Transport منتشر کرد، مشتریانی که تمایل به کنترل SMTP ورودی داشتن می توانستن از Edge Transport 2007 یا 2010 به عنوان SMTP Front-end در Exchange استفاده کنند
در Exchange 2013 SP1 دوباره نقش Edge 2013 معرفی شد و مشتریان می توانستند تمامی سرویس های ایمیل خود را به 2013 ارتقا دهند،Edge Transport ساختار اصلیش مشابه ورژن های قدیمی است اما رابط کاربری ندارد، Edge 2013 با استفاده از Exchange Management Shell مدیریت می شود و دیگر نیازی به راه اندازی IIS نیست، در حقیقت، تنها نرم افزار پیش نیاز برای نصب .Net Framework 4.5 و نقش AD LDS است.
Exchange 2013/2016 Mailbox Servers دارای Anti-Malware Protection است اما سرورهای Edge Transport به شما Recipient Filtering را ارائه می دهند، Recipient Filter Agent تمامی پیام هایNon-Authentication از طریق اینترنت را پردازش می کند و با آنها مثل پیام های خارجی رفتار می کند، این کار به Edge سرور اجازه می دهد تا کارهای زیر را انجام بدهد:
- Recipient Blocking به مدیران اجازه می دهد تا SMTP Senders یا Sender Domain خاصی را Block کنند.
- Mailbox های مهم را می توان فیلتر کرد تا هرگز از اینترنت ایمیلی دریافت نکنند.
- Edge Transport می تواند ایمیل های ورودی بهDistribution List ، که فقط برای دریافت ایمیل از کاربران داخلی پیکربندی شده است را مسدود کند.
توجه داشته باشید که Recipient Filtering در سرورهای Exchange Mailbox هم نصب می باشد، ولی نباید آن را پیکر بندی کنید، سرورهای Mailbox قادر به تشخیص پیام های خارجی نیستند واگر یک پیام مشکوک شناسایی شود، کل پیام را مسدود می کنند.