제목 : Publishing A Mail Server With ISA Server

원본 : http://www.isaserver.org/pages/article.asp?id=231
저자 : Thomas Shinder , Printable Version
번역자 : 김종문


Isaserver.org 사이트에 자주 질문 되는 것 중에 하나가 “내부 메일 서버를 어떻게 게시하냐?”이다. 두 번째 자주 질문 되는 것은 “왜 내가 만든 게시 규칙이 잘 작동하지 않는냐?” 이다. 이번 문서에서 우리는 ISA서버를 사용하여 secure mail 서버 게시를 둘러볼 것이다.

이 작업을 하기위해, Microsoft는 secure mail server 게시 마법사로 쉽게 만들었다. 메일 서버 게시 마법사는 게시되는 순서를 통해 당신의 메일 서버를 게시하고, 당신의 서버를 접근하기 위한 inbound를 허용하는 게시 규칙을 자동으로 생성해 줄 것이다.

그러나, 메일 마법사를 실행하기 전에, 약간의 준비 순서가 있다.
• DNS 구성
• 메일 서버를 ISA Server Client로 구성
• 외부 공인 IP

각각의 이런 준비는 메일 서버 게시 마법사를 가지고 게시 규칙을 생성하는 것 보다 중요한 것들이다.

DNS 구성
외부 클라이언트가 내부 메일 서버에 접속하기 위해, 당신은 ISA 서버에 외부 인터페이스에 공개 가능한 DNS 서버에 레코드 추가가 필요할 것이다. 당신이 원하는 어떤 이름으로 당신의 서버를 명명 할 수 있다.. 아마도 mail.domain.com이나 exchange.domain.com같은 표준적인 이름을 명명하기를 원할 것이다. 이런 레코드는 당신의 ISP에서 조절 할 수 있거나, 당신 조직에서 보유하고 있는 DNS라면,당신이 가지고 잇는 장비에 당신의 도메인을 위한 MX레코드를 입력 할 수 있다.
윈도우2000 도메인을 운영중이라면, 내부 도메인 이름과 외부 이름이 틀릴 수 잇다. 당신의 내부 도메인 이름은 사설(개인)이고 외부 호스트에서 접근이 안 될 것이다. 그러므로 DNS레코드는 당신의 공인 도메인들 중에 게시를 계획중인 하나로 내부 메일서버를 위해 기입되어져야 한다.(내부 메일 서버의 이름과는 상관없이 공인 DNS에는 게시되는 도메인의 MX 레코드로 기입되어야 한다.) 서버의 내부 도메인 이름을 사용 할 수 없다. 인터넷은 당신의 내부 도메인 이름 공간정보에 접근할 수 없기 때문이다.
그러나, 어떤 기업은 내부와 외부에 사용되는 도메인 이름을 같은 이름으로 유지하고 있다. 그런 경우 또한 두개의 별개 DNS 존 데이터 베이스를 관리해야 한다.하는는 내부 사용자를 위한 데이터 베이스이고, 다른 하나는 외부 사용자를 위한 것이다. 이것은 혼란을 줄 수 있지만, 어떤 business는 이런 문제에 다른 선택이 없다. 중요한 점은 공인된 DNS 서버에서 메일서버를 위해 기입하는 것 이다.

DNS구성에서 중요한 다른 논점은 어떻게 내부 메일 서버가 자체로 인터넷 이름을 풀이하는지 결정해야 한다. 내부 메일서버는 인터넷으로 메일을 보낼 때, 무슨 메일 서버가 메일을 전달할지 결정해야만 한다. 메일 서버는 이러한 문제를 다룰 수 있는 두 가지 방법이 있다.

• 메일 도메인 이름 풀이
• 스마트 호스트로 메일 전달

메일 서버가 메일 도메인 이름을 풀이 한다면, 메일 서버는 DNS 질의를 할 수 있어야 할 것이다. 메일 서버가 인터넷에 메일을 보내기 때문에 내부 메일 서버는 DNS 서버에 인터넷 이름을 풀이할 수 있는 질의를 보낼 수 있어야 한다.
메일 서버가 인터넷에 있는 DNS서버에 질의를 보내기를 허용하기 위해 메일 DNS 질의를 정의한 규칙의 클라이언트로 포함되어 인터넷 DNS서버에 질의를 할수 있게 Outbound UDP 53 규칙을 만들어 주어야 한다. 그러나, Exchange2k을 사용한다면,(IIS SMTP 서비스를 사용하는) DNS질의를 하기위해 UDP보다 TCP, Outbound TCP 53번 포트를 사용한다.
메일 서버가 DNS질의를 하기 위한 다른 방법은 인터넷에 DNS질의를 전달(Forward)하여 사용하게 구성된 DNS서버로 보내는 것디아. 이런 경우 내부 DNS만이 Outbound DNS 질의를 위한 프로토콜 규칙에 접근해야만 한다. 내부 DNS서버가 전달자로부터 응답을 받으면, 내부 DNS서버는 내부 메일 서버로 질의에 대한 결과를 보내준다.
당신의 메일 서버로부터 이름 풀이 작업을 하지 않기를 원한다면, smart host로 메일을 보내도록 구성 할 수 있다. 이런 경우는, smart host의 IP주소를 가지고 서버를 구성 할 수 있고 smart host는 메일 도메인 풀이를 처리할 것이다., smart host는 인터넷에 적절한 메일 서버로 메일을 전달 할 것이다.
이런 경우 외부 호스트 이름 풀이하기 위해 메일 서버를 위해 어떠 특별한 배열을 만들 필요는 없다. 모든 메일을 특별한 IP주소로 전달 할 것이다. 그러나, 스마트 호스트 이름을 위해 FQDN을 포함 할 수도 있다.

ISA 서버 클라이언트로 메일 서버 구성하기

ISA 서버가 프락시 서버 2.0을 통해 가지고 있는 가장 커다란 장점이라면 당신이 내부 서버를 SecureNAT 클라이언트로 게시 할 수 있다는 것이다. 프락시 서버 2.0에서, 게시된 모든 서버는 파이어월 클라이언트로 구성되어져 있어야 한다. 파이어월 클라이언트 소프트웨어 설치가 필요함에 따라, wspcfg.ini 파일 또한 구성해야만 하고 메일서버에 적당한 디렉토리에 위치하여야 한다.
당신은 지금도 내부 메일 서버를 파이어월 클라이언트로써 구성하고 wspcfg.ini 파일을 사용 하여 프락시 2.0으로 메일 서버를 게시하는데 사용될 수도 있다. 그러나 필자는 내부 메일 서버를 SecureNAT Client 만들 것을 강력히 제의 한다. 이런것이 당신의 삶 전체를 쉽게 만들어 잇다.(쉽다는 말)

외부 IP 주소

서버 게시 규칙은 목적지 묶음을 사용하지 않는다. 목적지 묶음을 사용하지 않는 대신 게시 규칙에 외부 인터페이스의 IP 주소를 사용한다. 내부 네트웍에서 하나 아상의 메일 서버를 게시 하기 원한다면 문제로 나타난다. 이 이유는 게시를 하나만 생성한다. 이것은 특정한 포트 번호(SMTP 25번)를 해당 IP 주소에서 사용한다. 그러므로, 다른 사용중인 IP에 대해 어떤 게시 규칙에서도 사용중인 포트를 사용 할 수 없다. 이것은 웹 서버 게시 규칙과 비교 된다 웹 서버 규칙은 많은 수의 내부 웹 서버를 하나의 외부IP와 포트 번호를 사용하여 게시 할 수 있다.
이런 제한을 극복하기 위해, 여러 개의 IP주소를 ISA서버의 외부 인터페이스에서 사용하거나 여러 개의 인터페이스를 사용하고 각각의 메일 서버에 인 바운드에 사용되어진 IP주소와 묶어(bind)준다. 여러 개의 외부 IP주소를 추가하고 여러 개의 내부 메일 서버를 게시하기위해 게시 규칙에 사용되어 질 수 있다.
게시 규칙을 사용하여 포트 재지정을 할수 없다는 것을 기록하는 것은 중요하다. 예를 들면 내부 서버 포트 2525를 사용하여 ISA서버의 외부 인터페이스로 메일 서버를 게시 하기를 원하고 있을 것이고, ISA서버는 내부 서버포트25번으로 들어오는 메시지를 전달한다. 하지만 이 방식은 작동하지 않는다. ISA서버의 외부 포트와 포트 넘버는 내부 서버에서 사용되었기 때문에 하나만 작동한다.

보안 메일 서버 게시 마법사 실행하기
ISA 서버는 메일 서버를 게시를 통해 안내할 마법사를 포함하고 있다 Secure Mail Publishing Wizard 는 다중 메일 프로토콜을 한번에 게시 할 수 잇게 한다. 마법사를 완료가 완료되면. 서버 게시 규칙과 내부 메일 서버에 접근이 허용된 클라이언트 주소 묶음(Client Address Set)이 생성될 것이다.
이런 규칙은 모든 종류의 메일 서버에서 잘 작동한다. Exchage5.5,Exchagne2k 또는 Lotus Notes 도 운영 할 수 있다. 서버가 표준 포트를 사용하는 동안 게시 규칙은 메일 시스템과 작동 할 것이다..

Secure Mail Server Wizard를 실행하면 다음의 순서로 진행 된다:

1. ISA Management 콘솔을 연다, 당신의 서버나 어레이를 확장한하고, Publishing 노드를 확자아한다. Server Publishing Rules 노드의 오른쪽 버튼을 누르고 Secure Mail Server를 누른다.



2. Secure Mail Server 명려어를 누른후 Welcome 페이지가 보인다.계속하기 위해 Next 를 누른다..



3. Mail Services Selection 다이얼로그 박스는 아래와 같이 보인다.



여기서 게시하기 위한 메일 프로토콜을 선택한다. Default Authentication 이나 SSL Authentication 을 사용가능으로 선택 할 것이다. 다른 규칙은 당신이 여기서 선택한 인증 방식을 지원하는 규칙이 생성된다. Default Authentication 옵션은 클리어 텍스트로 인증한다.

일반적으로, 인터넷 사용자에게 RPC포트를 열어주는 것은 좋지 않은 생각이다. 이런 일은 Incoming Microsoft Exchange/Outlook 를 선택하면 일어난다. 외부 사용자가 내부 Exchange Server에 접속하기 원한다면, 사용자들은 내부 Exchange 서버에 접속하기위해 ISA 서버에 VPN연결을 해야 한다.

Next 를 누른다.

4. ISA 서버의 External IP address 박스에서 , ISA 서버가 게시된 메일 서버를 위해 listen하기위해 외부 IP를 입력한다. Next 를 누른다,



5. Internal Mail Server 박스에서 두가지 선택이 있다.



내부 네트웍에 있는 서버를 게시하기 위해 At this IP address 를 선택한다.

On the local host 옵션은 메일 서버가 ISA서버에서 같이 운영될 때 선택한다. 이 옵션을 선택한다면, 두 가지 경고 창을 볼 것이다.





mail server and the Internet. 두번째 경고는 메시지 스크리너를 사용 할 시에만 나오는 메시지이다. 메시지 스크리너는 로컬 호스트에서 메알 서버를 ‘게시’ 할때 작동하지 않는다. 왜냐하면, 인터넷과 메일 서버사이에 SMTP가 매개물이기 때문이다.

Local Host에서 마법사를 사용하여 메일 서버를 구성 할 때 마법사는 ISA 서버의 외부 Interface에서 선택된 서비스를 청취하기 위해(listen) 고정된 일련의 패킷 필터규칙을 만들어 줄 것이다. ISA서버의 내부 Interface는 게시하지 않는다. 이런 작업을 하기 위해 At this IP address 옵션을 선택하고 내부 Interfaece에 주소를 적어놓는다.

이번 실험에서 At this IP 주소 옵션을 선택했고, 내부 네트웍에 있는 서버의 IP를 적어놓는다. Next를 누른다.

6. On the last page of the wizard, review your settings, and click Finish. 마법사 마지막 페이지에서 당신이 설정한 값들을 볼 수 있다.



마친후, 아래왁 같은 새로 구성된 서버 게시 규칙



파이어월 서비스는 메일서버에 인바운드 접속을 정하기 위해 규칙을 사용한다. 마법사는 고정된 패킷 필터를 만들지 않는다.. 당신은 작동하기 위해 게시 규칙을 허용하는 패킷 필터를 생성하지 않아도 된다. 왜냐하면, 규칙은 외부 인터페이스의 포트를 사용가능하게 만든다.
마법사를 통해 설정할 때 인바운드 접근을 제어하기 위한 규칙 옵션이 없다. 마법사를 이용해 게시 규칙이 구성되어진 아무 규칙을 두번 누르고, Applies to 탭을 누른후, 당신은 아래와 같이 나타난 것을 볼 것이다.



당신의 내부 메일 서버를 접근 할 수 있는 누군가를 제한하기를 원한다면, Client Address set specified 을 선택한다. ADD 버튼을 누르고 클라이언트 묶음을 리스트에 추가한다. 클라이언트 주소 묶음은 사용자나 그룹을 사용하는 것이 아니라 IP주소만을 사용하여 접근을 제어 할 수 있다.
당신은 내부 네트웍에 있는 SMTP서버만 게시 할 지도 모르지만, ISA 서버에 SMTP 서버를 두는 것을 피해야 한다. ISA 서버에 있는 어느 서비스라도 메모리, 프로세서 주기,그리고 잠재적 공격 루트가 있다.
당신은 메시지 스크리너를 적용하기를 원할 때 아마도 ISA 서버에서 SMTP 서비스 게시를 고려하기를 원할 시기인지도 모른다.

요약
ISA 서버는 당신의 내부 메일 서버를 인터넷에 게시하는 것을 쉽게 해준다.그러나 Secure Mail Server 게시 마법사를 실행하기 전에, 당신의 네트웍구조가 메일 서버가 게시 될 수 있게 지원하는지 확인해야 한다. 마법사는 서버 게시에 필요한 내부 메일 서버에 접근 할 수 있는 인 바운드 규칙을 생성해 준다. 규칙이 생성된 후에 외부 사용자들은 내부 메일 서버를 인터넷에 위치한 다른 웹 서버처럼 접속 할 수 있게 된다.