過(guò)濾進(jìn)入郵件的好處是顯而易見(jiàn)的，同樣的，你可以對(duì)出站的郵件進(jìn)行過(guò)濾。例如，如果一個(gè)或者多個(gè)你內(nèi)部網(wǎng)絡(luò)中的用戶中了郵件病毒，病毒使用預(yù)定的附件名字、附件類(lèi)型或者關(guān)鍵字發(fā)送大量的垃圾郵件，此時(shí)你就可以通過(guò)配置ISA防火墻過(guò)濾出站郵件來(lái)阻止病毒的郵件傳送。這樣不僅僅阻止病毒的擴(kuò)散，同樣也減少了Internet帶寬的消耗。
我們的試驗(yàn)網(wǎng)絡(luò)拓樸結(jié)構(gòu)和“配置ISA防火墻作為進(jìn)入的SMTP中繼過(guò)濾”一文一致，在本文中，我們將討論以下步驟來(lái)配置ISA防火墻作為進(jìn)站和出站的SMTP中繼過(guò)濾：
配置Exchange服務(wù)器使用ISA防火墻作為它的前端主機(jī)（Smart Host）；
建立SMTP服務(wù)器發(fā)布規(guī)則，偵聽(tīng)I(yíng)SA防火墻的內(nèi)部接口；
配置ISA防火墻上的SMTP服務(wù)，為內(nèi)部的郵件服務(wù)器（Exchange或其他任何郵件服務(wù)）提供出站中繼；
配置ISA防火墻的系統(tǒng)策略，允許本地主機(jī)網(wǎng)絡(luò)的所有出站SMTP訪問(wèn)；
確認(rèn)對(duì)出站郵件進(jìn)行了過(guò)濾；
檢查通過(guò)ISA防火墻的SMTP中繼發(fā)送的郵件的郵件頭；
前端主機(jī)（Smart Host）是為另外一臺(tái)SMTP服務(wù)器提供名字解析服務(wù)和SMTP郵件轉(zhuǎn)發(fā)功能的計(jì)算機(jī)。對(duì)于將ISA防火墻作為出站中繼代理的Exchange服務(wù)器來(lái)說(shuō)，ISA防火墻就是Exchange服務(wù)器的的前端主機(jī)。ISA防火墻上的SMTP服務(wù)解析郵件域名，然后轉(zhuǎn)發(fā)郵件到對(duì)應(yīng)的SMTP服務(wù)器上。
在Exchange服務(wù)器上執(zhí)行以下步驟來(lái)配置它使用ISA防火墻上的SMTP服務(wù)作為它的前端主機(jī)：
在Exchange服務(wù)器上，打開(kāi)系統(tǒng)管理器；
在Exchange系統(tǒng)管理器管理控制臺(tái)，展開(kāi)服務(wù)器節(jié)點(diǎn)下的服務(wù)器名，再展開(kāi)協(xié)議節(jié)點(diǎn)下的SMTP節(jié)點(diǎn)；
右擊默認(rèn)SMTP虛擬服務(wù)器，然后點(diǎn)擊屬性；
在默認(rèn)SMTP虛擬服務(wù)器屬性對(duì)話框，點(diǎn)擊發(fā)送標(biāo)簽；
在發(fā)送標(biāo)簽，點(diǎn)擊高級(jí)按鈕；
在高級(jí)發(fā)送對(duì)話框，輸入偵聽(tīng)SMTP連接請(qǐng)求的SMTP服務(wù)的IP地址，在此例中，ISA防火墻上的SMTP服務(wù)在內(nèi)部網(wǎng)絡(luò)接口的IP地址 10.0.0.1上偵聽(tīng)連接請(qǐng)求，所以我們輸入它；在輸入的時(shí)候，需要使用方括號(hào)“[]”來(lái)包含輸入的IP地址，所以我們輸入[10.0.0.1]，點(diǎn)擊確定；

在默認(rèn)SMTP虛擬服務(wù)器屬性對(duì)話框，點(diǎn)擊應(yīng)用再點(diǎn)擊確定；
在Exchange服務(wù)器上重啟SMTP服務(wù)。
　
建立SMTP服務(wù)器發(fā)布規(guī)則，偵聽(tīng)I(yíng)SA防火墻的內(nèi)部接口
在“配置ISA防火墻作為進(jìn)入的SMTP中繼過(guò)濾”一文中，我們建立了SMTP服務(wù)器發(fā)布規(guī)則來(lái)在ISA防火墻的外部接口偵聽(tīng)進(jìn)入的SMTP請(qǐng)求，然后轉(zhuǎn)發(fā)到在ISA防火墻的內(nèi)部網(wǎng)卡的IP地址上偵聽(tīng)的SMTP服務(wù)上。我們同樣可以建立SMTP服務(wù)器發(fā)布規(guī)則來(lái)偵聽(tīng)到達(dá)ISA防火墻的內(nèi)部網(wǎng)卡的SMTP 請(qǐng)求。不過(guò)非常方便的是我們可以直接修改現(xiàn)存的SMTP服務(wù)器發(fā)布規(guī)則，而不需要新建一條SMTP服務(wù)器發(fā)布規(guī)則。
執(zhí)行以下步驟來(lái)配置SMTP服務(wù)器發(fā)布規(guī)則，以在ISA防火墻的內(nèi)部網(wǎng)絡(luò)接口上接收進(jìn)入的SMTP請(qǐng)求：
在ISA Server 2004的管理控制臺(tái)，展開(kāi)服務(wù)器名，然后點(diǎn)擊防火墻策略，右擊右邊面板中的允許進(jìn)入SMTP中繼的SMTP Relay規(guī)則；
在SMTP Relay屬性對(duì)話框，點(diǎn)擊網(wǎng)絡(luò)標(biāo)簽。在網(wǎng)絡(luò)標(biāo)簽，勾選內(nèi)部網(wǎng)絡(luò)，點(diǎn)擊應(yīng)用，然后點(diǎn)擊確定；

注意：這兒有有個(gè)問(wèn)題。因?yàn)镮SA防火墻上的SMTP服務(wù)已經(jīng)綁定了內(nèi)部網(wǎng)絡(luò)接口的IP地址，所以應(yīng)該這里ISA是不能綁定在內(nèi)部網(wǎng)絡(luò)上進(jìn)行偵聽(tīng)的。我已經(jīng)給Tom提出了此疑問(wèn)，在Tom回復(fù)后，我再修改此文章。
接下來(lái)是配置ISA防火墻上的SMTP服務(wù)，讓它為所有域名的出站郵件提供中繼服務(wù)，這樣將使ISA防火墻上的SMTP服務(wù)成為一個(gè)“開(kāi)放中繼”。不過(guò)，我們可以更嚴(yán)格的限制“開(kāi)放中繼”，只允許內(nèi)部網(wǎng)絡(luò)中的Exchange服務(wù)器通過(guò)它來(lái)進(jìn)行中繼。
注意，進(jìn)站和出站郵件的中繼特性是完全不同的。ISA防火墻上的SMTP服務(wù)配置為允許所有SMTP服務(wù)器發(fā)送郵件到我們指定的域名，進(jìn)入的到達(dá)其他域的郵件將會(huì)被拒絕。與之相對(duì)的是，我們將允許中繼Exchange服務(wù)器的郵件到任何域。只有Exchange服務(wù)器才會(huì)被允許中繼郵件到所有域，其他任何主機(jī)都不允許，除非是到達(dá)我們自己域的郵件。
在ISA防火墻上執(zhí)行以下步驟來(lái)允許中繼Exchange服務(wù)器的郵件到所有郵件域：
在ISA防火墻計(jì)算機(jī)上，打開(kāi)管理工具中的Internet信息管理器管理控制臺(tái)；
在Internet信息管理器管理控制臺(tái)，展開(kāi)服務(wù)器名，然后右擊默認(rèn)SMTP虛擬服務(wù)器，點(diǎn)擊屬性；
在默認(rèn)SMTP虛擬服務(wù)器屬性對(duì)話框，點(diǎn)擊訪問(wèn)標(biāo)簽；
在訪問(wèn)標(biāo)簽，點(diǎn)擊中繼限制框架中的中繼按鈕；
在中繼限制對(duì)話框，確定只選擇了只有下面的列表，點(diǎn)擊添加按鈕；
在計(jì)算機(jī)對(duì)話框，選擇單一計(jì)算機(jī)，然后在下面的IP地址中輸入內(nèi)部網(wǎng)絡(luò)中Exchange服務(wù)器的IP地址，在此例中是10.0.0.2，輸入后點(diǎn)擊確定；

在中繼限制對(duì)話框，我們現(xiàn)在可以看到Exchange服務(wù)器的IP地址顯示在計(jì)算機(jī)列表中。注意我們沒(méi)有選擇允許所有通過(guò)驗(yàn)證的計(jì)算機(jī)，而不管上面的列表，這樣可以阻止垃圾郵件制造者使用通過(guò)驗(yàn)證后使用ISA防火墻上的SMTP服務(wù)來(lái)發(fā)送郵件。點(diǎn)擊確定；

在默認(rèn)SMTP虛擬服務(wù)器屬性對(duì)話框，點(diǎn)擊應(yīng)用再點(diǎn)擊確定；
重啟IIS的SMTP服務(wù)；
　
配置ISA防火墻的系統(tǒng)策略，允許本地主機(jī)網(wǎng)絡(luò)的所有出站SMTP訪問(wèn)
ISA防火墻的默認(rèn)系統(tǒng)策略允許ISA防火墻訪問(wèn)默認(rèn)內(nèi)部網(wǎng)絡(luò)中的SMTP服務(wù)器，這樣便于ISA防火墻發(fā)出警告郵件。為了讓出站的郵件發(fā)送到外部網(wǎng)絡(luò)，我們需要修改ISA防火墻的系統(tǒng)策略來(lái)允許ISA防火墻訪問(wèn)外部網(wǎng)絡(luò)的SMTP服務(wù)。
執(zhí)行以下步驟以配置系統(tǒng)策略：
在ISA Server 2004的管理控制臺(tái)，展開(kāi)服務(wù)器名，然后防火墻策略；
在防火墻策略節(jié)點(diǎn)，點(diǎn)擊任務(wù)面板的任務(wù)標(biāo)簽。在任務(wù)標(biāo)簽，點(diǎn)擊顯示系統(tǒng)策略規(guī)則鏈接；
在系統(tǒng)策略列表，右擊Allow SMTP from ISA Server to trusted server規(guī)則，然后點(diǎn)擊編輯系統(tǒng)策略；
在系統(tǒng)策略編輯器，確定紅色箭頭指向了SMTP，然后點(diǎn)擊到標(biāo)簽，點(diǎn)擊添加按鈕；
在添加網(wǎng)絡(luò)實(shí)體對(duì)話框，點(diǎn)擊網(wǎng)絡(luò)目錄，雙擊外部，然后點(diǎn)擊關(guān)閉。
此時(shí)到標(biāo)簽中顯示出了外部和內(nèi)部網(wǎng)絡(luò)，點(diǎn)擊確定。

點(diǎn)擊應(yīng)用以保存修改和更新防火墻策略；
確認(rèn)對(duì)出站郵件進(jìn)行了過(guò)濾
現(xiàn)在我們來(lái)測(cè)試郵件過(guò)濾的配置。在“配置ISA防火墻作為進(jìn)入的SMTP中繼過(guò)濾”一文中我們已經(jīng)配置了SMTP郵件篩選器阻止附件包含.pif文件的郵件。因?yàn)槲覀兊?Exchange服務(wù)器沒(méi)有允許客戶使用SMTP連接，我們使用Outlook MAPI客戶來(lái)發(fā)送一個(gè)包含.pif文件附件的郵件。
在發(fā)送此郵件以后，我們可以在ISA防火墻的%systemdrive%\Inetpub\mailroot\Badmail目錄中發(fā)現(xiàn)三個(gè)文件，它們就是被SMTP篩選器過(guò)濾掉的郵件，我們已經(jīng)在“配置ISA防火墻作為進(jìn)入的SMTP中繼過(guò)濾”一文中進(jìn)行了說(shuō)明。

我們可以檢查SMTP郵件篩選器日志文件，然后可以看到過(guò)濾郵件的日志，它提供了郵件為什么被過(guò)濾的詳細(xì)說(shuō)明。

檢查通過(guò)ISA防火墻的SMTP中繼發(fā)送的郵件的郵件頭
現(xiàn)在我們通過(guò)發(fā)送正常的郵件來(lái)測(cè)試我們的配置，我們?nèi)匀煌ㄟ^(guò)連接到Exchange服務(wù)器的Outlook MAPI客戶來(lái)發(fā)送郵件。
在這個(gè)例子中我發(fā)送一封測(cè)試郵件到我的hotmail郵箱中，郵件頭如下所示：
Received: from ISALOCAL ([24.1.226.66]) by mc9-f6.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824); Sun, 26 Dec 2004 08:13:14 -0800
Received: from EXCHANGE2003BE.msfirewall.org ([10.0.0.2]) by ISALOCAL with Microsoft SMTPSVC(6.0.3790.0); Sun, 26 Dec 2004 10:13:18 -0600
Received: from EXCHANGE2003BE ([10.0.0.2]) by EXCHANGE2003BE.msfirewall.org with Microsoft SMTPSVC(6.0.3790.0); Sun, 26 Dec 2004 10:13:11 -0600
X-Message-Info: JGTYoYF78jG+oarT45PqEpoyA3I3W9mg
X-MSMail-Priority: Normal
Return-Path: tshinder@msfirewall.org
X-OriginalArrivalTime: 26 Dec 2004 16:13:11.0865 (UTC) FILETIME=[CBEB8290:01C4EB65]
我們可以看到郵件頭部顯示了郵件離開(kāi)我們的網(wǎng)絡(luò)時(shí)，最后一個(gè)節(jié)點(diǎn)是ISA防火墻的SMTP服務(wù)。郵件通過(guò)ISA防火墻上的SMTP中繼服務(wù)進(jìn)行轉(zhuǎn)發(fā)，然后通過(guò)ISA防火墻的外部接口到達(dá)hotmail的郵件服務(wù)器。