Антиспам ORF
 

Верно ли я понимаю, что если у меня Exchange 2003 находится за шлюзом с ISA Server, то проверка Before Arrival у меня работать не будет? Пока что смотрю статистику - Before игнорируется по признаку ip whitelist, хотя сам белый список IP пустой.

неверно. У меня точно такая же схема, только вместо ORF установлен GFI MailEssential + GFI MailSecurity и идут проверки по SPF, DNSBL и прочим вариантам. Достаточно на ISA выставить правила, разрешающие выход по определенным портам для сервера, где стоит Exchange. Смотрите логи ISA, где она блочит запросы и разрешите их.

разрешил весь траффик наружу с почтового сервера ради эксперимента. Ничего не изменилось.
Просмотрел - ISA ломится только по 25, и 53. А на нее тоже по 25 только...
Никаких лишних протоколов.

Вот как выглядит лог...

нашел статью, в которой рекомендуется настроить промежуточный сервер пересылки на базе стандартного SMTP-сервера Windows. И сделать это на роутере с ISA-server.
Не очень нравится мне система из двух почтовых серверов, может у кого-то есть другие предложение? Или собственный опыт и рекомендации...

Каким образом настроена публикация?

публикация настроена правилом
Allow | SMTP server (25 inbound) | from external | to 192.168.1.10 | All users.

ISA 2006? Есть мастер публикации почтового сервера. Он делает это более правильно. Тогда все запросы будут напрямую передаваться на Exchange, с сохранением исходных адресов. И все фильтры будут работать.

ISA 2004. Мастером публикаций не пробовал, попробую вечерком, когда все укатят по домам :) О результатах отпишусь тут.

Проверил. Мастером публикаций он создает точно такое же правило, как у меня уже есть. Один в один.

Версии сервис-паков на ISA?

Microsoft ISA Server 2004
Version: 4.0.2167.887

SP3 в общем. На винде на роутере правда первый, но не думаю, что это может так сильно влиять...

На Exchange в SMTP-логе в качестве клиентов какие адреса?

входящие идут с IP шлюза.

Олег, есть мысли как не поднимая на роутере промежуточный SMTP-сервер для пересылки и перенося туда спам-фильтр сделать тестирование before arrival?

итак, Oleg Krylov'у спасибо за подсказку. Хорошее решение почти всегда является красивым, поэтому обошелся своими силами без дополнительного сервера. Последовательность действий выглядит следующим образом:
1. Лезем в лог-файл Exchange 2003, который по-умолчанию располагается %windir%\System32\LogFiles\SMTPSVC1, выбираем любой лог-файл
2. Находим строчку входящего подключения. Примечательно, что исходящие подключения маркируются параметром OutboundConnectionResponse записанным в поле cs-username, значит нам нужно строчка без этой записи.
3. Смотрим IP источника в этой строчке. В моем случае это было что-то вида 2009-02-18 08:27:31 192.168.1.1 head1.camp4.maillist.agava.net SMTPSVC1. Если IP - ваш внутренний это означает, что шлюз подменяет внешние адреса, и у вас есть два варианта - либо настраивать шлюз таким образом, чтобы он пробрасывал пакеты без изменения адреса отправителя, либо выносить ORF на шлюзовой комп, как это описано в статье.
4. У меня в качестве шлюза стоит Microsoft ISA Server 2004 SP3, хотя тут версии сервис-паков не имеют значения. Так же не играет роли каким образом вы пробрасывали порт SMTP наружу - "мастером произвольной публикации" либо "мастером публикации почтового сервера", потому что в результате создаются идентичные правила. За одним маленьким исключением. Достаточно в свойствах правила сменить на закладке "To" в разделе "Requests for the published server" пункт на "Request appear to come from original client". Этот пункт позволяет как раз пробрасывать без смены адреса, а значит использовать в ORF на внутреннем сервер можно!
5. Данный пункт автоматически выставляется при пробросе SMTP server-to-server communication и не выставляется в остальных случаях, тут Олег был прав (как всегда, впрочем:) )

надеюсь, что немного расписанной инструкции поможет избежать кому-нибудь подобной ошибки в дальнейшем.

Решение еще более элегантное и красивое - в документации к ORF на странице 3 разъясняется, что шлюз, равно, как и все резервные MX необходимо добавить в Intermrdiate Hosts. Так как при прохождении через различные промежуточные серверы smtp сохраняет в заголовках письма IP адреса, это позволяет вполне корректно применять любые фильтры.

там же в инструкции по тонкой настройке указано, что адреса локальных сетей класса A, B, C добавляются автоматически, нет нужды добавлять их в IHL вручную:
В моем случае ни автоматическая настройка, как написано в инструкции, на ручное добавление внутреннего адреса роутера не помогали - в логах ORF все равто отображался внутренний адрес роутера, а в мониторинге показывалось, что Before Arrival не работает по причине Before Arrival IP whitelist Tests