出于安全考虑,我们打算检查收到的邮件。为此,我们想出了以下解决方案:
网络 TAP -将所有 SMTP 流量复制到防火墙
防火墙 -防火墙反过来将从 TAP 获取流量并将其转发到 Exchange 服务器
Exchange 服务器 -交换服务器(也充当所有邮件发送到的域的 DC)将从防火墙获取流量并存储邮件以供我们分析。
设置完此基础设施后,我们注意到一个基本问题:防火墙仅在运行“tcpdump”时才能看到流量(因为接口变为混杂模式)。我们随后为防火墙分配了我们域的 MX 记录所指的公共 IP 地址。这也没有用,防火墙没有将 SMTP 流量视为发送给它,实际上什么也没发生。
我得出的结论是,问题在于,为了实现这一点,必须有一个 TCP 三次握手和一个真实的会话才能使一切正常运作。使用 TAP 显然无法实现这一点。
问题:1. 这些假设正确吗?2. 有没有什么方法可以完成手头的任务?