На моём DFL-800 на внешнем интерфейсе белый IP адрес, во внутренней сети серые IP из серии 192.168.*.*. Почтовый сервер подключен к интерфейсу LAN и так же имеет серый IP-адрес. В правилах настроены 2 правила SAT и NAT для него и в данный момент вся почта доставляется корректно. Но в такой конфигурации многие технологии фильтрации спама не работают (SPF, DNSBL), так как сервер в качестве IP-адреса сервера отправителя выступает IP-адрес LAN интерфейса DFL. Хотелось бы включить эти технологии, но для этого необходимо что бы в качестве IP сервера отправителя показывался реальный IP. Возможно ли настроить ретранслятор таким образом? И будет ли работать следующая конфигурация: у провайдера приобретается еще один белый IP адрес, присваивается почтовому серверу а на фаерволе настраивается одно правило ALLOW? Или есть другие варианты решения этой задачи?
Про SMTP ALG я знаю, но не хотелось бы прибегать к его применению.

А должно быть 3.

То ли я чего не понимаю, то ли это фигня какая-то написана. У меня Exchange 2007 за NAT и SPF и DNSBL работают. Тебе нужно чтобы твой антиспам проверял чужие сервера по SPF и DNSBL или чтобы чужие твой сервер проверяли?

Это каких это 3 надо?
Мне нужно что бы мой сервер за NAT проверял SPF и DNSBL. Для проверки моего сервера абсолютно не важно находится он за NAT или нет.

отправка

Прием входящих

Мабыть поэтому?

Дмитрий прав. Классическая схема SMTP NAT для отправки и SAT+Allow для получения почты достаточно, но в исходящих сообщениях адресом отправителя будет стоять серый адрес почтовика. К сожалению, тут либо при помощи ALG править исходящие сообщения, либо заставлять почтовый сервер указывать исходящим внешний адрес.

Ну или классический DMZ с белыми адресами.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Он пишет, что у него у входящих IP отправителя каким-то образом заменяется на IP интерфейса DFL. Типа было 88.33.44.55, а стало 192.168.*.*

А внутренний адрес почтовика будет стоять наверное только в заголовках письма (если не заморачиваться с настройкой). Соединение-то все равно будет внешний:XXXXX <-> внешний:25. Они и будут проверяться SPF DNSBL.

Гм... Ну тогда SAT+NAT надо заменить на SAT+Allow

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

... + NAT для отправки

Вот эт да. Когда изменил уже работающие NAT правила на Allow - всё стало работать так как надо. Перед этим пытался создать правила не совсем корректно, отсюда и проблемы. Всем спасибо.