Мы намерены проверять входящую почту в целях безопасности. Для этого мы решили, что решение будет включать:
Сеть TAP - Чтобы скопировать весь SMTP-трафик на брандмауэр
Брандмауэр - Брандмауэр, в свою очередь, получит трафик от TAP и перенаправит его на сервер Exchange.
Сервер обмена - Сервер обмена (также действует как DC для домена, на который отправляются все сообщения) будет получать трафик от брандмауэра и сохранять сообщения для нашего анализа.
После настройки этой инфраструктуры мы заметили одну основную проблему: брандмауэр видит трафик только при запуске tcpdump (поскольку интерфейс переходит в неразборчивый режим). Затем мы назначили брандмауэру общедоступные IP-адреса, к которым относится запись MX для нашего домена. Это также не сработало, и брандмауэр не рассматривал SMTP-трафик, как если бы он был отправлен ему, и на самом деле ничего не произошло.
Я пришел к выводу, что проблема в том, что для того, чтобы это работало, должно быть трехстороннее рукопожатие TCP и НАСТОЯЩИЙ сеанс, чтобы все работало. Очевидно, что с TAP этого не добиться.
На вопросы: 1. Верны ли предположения? 2. Есть ли способ решить поставленную задачу?