Temos a intenção de examinar as mensagens recebidas por motivos de segurança. Para fazer isso, descobrimos que a solução incluirá:
Rede TAP - Para copiar todo o tráfego SMTP para o firewall
Firewall - O firewall, por sua vez, obterá o tráfego do TAP e o encaminhará ao servidor do Exchange
Servidor Exchange - O servidor Exchange (também atua como um DC para o domínio para o qual todos os e-mails são enviados) obterá o tráfego do firewall e armazenará os e-mails para nossa análise.
Depois de configurar essa infraestrutura, notamos que há um problema básico: O firewall só vê o tráfego ao executar o 'tcpdump' (porque a interface se transforma em modo promíscuo). O que fizemos foi atribuir ao firewall os endereços IP públicos aos quais o registro MX do nosso domínio se refere. Isso também não funcionou e o firewall não considerou o tráfego SMTP como se fosse enviado a ele e nada realmente aconteceu.
Concluí que o problema é que, para que isso funcione, tem que haver um handshake TCP de 3 vias e uma sessão REAL para que tudo funcione. Com o TAP obviamente isso não é conseguido.
Para as perguntas: 1. As suposições estão corretas? 2. Existe alguma maneira de alcançar a tarefa?