Under huven på E-Mail Policy i Forefront TMG

Forefront TMG har fått en utökad funktionalitet att säkra upp vår E-post. Lösningen bygger på att man installerar Exchange Edge och Forefront Protection for Exchange (FPE) på samma server som TMG.  Beroende på hur man ser det kan man även se det som att man använder TMG för att säkra upp vår Exchange Edge server och FPE för att få antivirus och en avancerad antispam funktionalitet.

image

Jag kommer inte gå in närmare på hur man sätter upp det för det finns det så många andra som gjort:

Deb shinder:
http://www.isaserver.org/tutorials/Installing-Configuring-Email-Hygiene-Solution-TMG-2010-Firewall-Part1.html

Yuri Diogenes:
http://blogs.technet.com/b/yuridiogenes/archive/2009/10/19/walkthrough-exchange-2010-rc-edge-role-and-forefront-protection-2010-beta-for-exchange-installation-on-forefront-tmg-2010-rc.aspx

Där emot så kan det vara bra att veta vad som egentligen händer med denna konfiguration. En “best practice” är bland annat att inte konfigurera något i varken Exchange Edge eller Forefront Protection for Exchange utan sköta allt via TMG konsolen. Det här gör att administrationen blir väldigt mycket enklare om du har en array med flera lastbalanserade TMG servrar för mail protection. Du gör all konfiguration från din Enterprise Management Server (EMS) som i sin tur konfigurerar både TMG, Exchange och FPE på varje arraymedlem.

Men vad är det då som händer när man konfigurerar din E-Mail Policy? I mitt exempel tittar vi på  SPAM hanteringen och SCL rating. Om du har skapat din E-mail policy utefter någon av de ovanstående instruktionerna och går in under “Configure SCL Ratings”

I det här fallet har jag konfigurerat TMG att inte radera eller blockera någon SPAM utan skicka allt till en dedikerad postlåda för att i det här exemplet kunna låta en service desk övervaka och hantera den unika postlådan.

image 

Om vi nu öppnar Exchange Management Consol och tittar under properties på “Content filtering” kan vi se att vi hittar motsvarande konfiguration och kan se att den konfiguration vi gjorde i TMG nu har slagit igenom i Exchange.

image

Ok, då är vi med så långt, men hur definieras då SCL nivån på mailet? Det är tack vare Cloudmarks antispam motor i Forefront Protection for Exchange. Med andra ord så hanterar Exchange Edge mailet baserat på inställningarna i TMG och tack vare FPE så validerats mailets spam nivå av FPE.

Det är dock inte alla inställningar som kan göras i TMG, vissa inställningsmöjligheter saknas i TMG och kan därav konfigureras i Exchange eller FPE.

Om vi går in i Forefront Protection for Exchange under Policy Manger och Configure Antispam finner vi en konfiguration som inte konfigurerats av TMG.
Exempelvis saknas funktionen att skicka vidare mail till en karantänbrevlåda.
image

Där emot har vi en intressant funktion “Stamp header and continue processing” Den här funktionen gör att mailen blir taggade av Cloudmark motorn med en SCL siffra i sin header och skickas sedan in i Exchange igen, det här resulterar i att mailet hamnar i Outlooks skräppost låda hos mottagaren. Notera att inställningar direkt i FPE måste alltså göra på samtliga FPE servrar i en eventuell TMG array.

 

Lösningar på diverse problem med denna kombination

AnswerE-mail policy reapplied  Event ID 31506

Det här felet kan bero på flera saker, främst kan det handla om att du har gjort en inställning i FPE eller Exchange Edge som TMG servern egentligen skall trycka ut, vilket gör att det blir en konflikt, kolla då igenom vilka inställningar som TMG sköter och sätt tillbaka dessa i Exchange och FPE. Det här felet har dock dykt upp oavsett felaktig konfiguration men det har lösts i uppdateringen Service Pack 1 Update 1 

Event ID 31308, 3109

Det är ganska vanligt att man ser varningar med Event ID 31308 och 31309 i eventloggen där den även klagar eller får problem att starta isamanagedctrl tjänsten. Det här har att göra med att det är ett flertal tjänster som använder denna service och vi löser det här genom att sätta upp ett beroende på när servicen skall starta men följande kommando: 

sc config isamanagedctrl start= delayed-auto depend= isactrl/MSExchangeTransport

 

Stänga av integrationen mellan produkterna

Om du mot all förmodan vill konfigurera dessa produkter helt separat vilket även gör att du tappar funktionalitet så är det är en inställningar som har smugit sig in under troubleshooting i TMG konsolen.
Under Tasks finner du “Control E-mail Policy Configuration Integration”, sätter du denna på Disabled så kommer inte TMGs inställningar att slå igenom på varken Exchange Edge eller FPE.

image

 

Mycket nöje med att säkra upp era Exchange Edge lösningar med Forefront TMG och Forefront Protection for Exchange!

Annonser
Det här inlägget postades i Exchange, Forefront, Forefront TMG. Bokmärk permalänken.

En kommentar till Under huven på E-Mail Policy i Forefront TMG

  1. Patrik skriver:

    Hej, har ett problem med edge på TMG. Du kanske kan ge en lösning?
    http://www.itproffs.se/index.php?/topic/38563-edge-pa-tmg2010-array-utan-integration/

Kommentera

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s