Wächter vor der Firewall
Microsoft empfahl bisher für alle Exchange-Installationen, dass aus Sicherheitsgründen kein Server direkt über das Internet zugänglich sein sollte. Der Zugriff von außen sollte etwa über einen Reverse Proxy wie Microsofts ISA-Server erfolgen. Diese Empfehlung gilt weiterhin für alle Client-Protokolle wie HTTP, Imap oder POP. Die Client-Access-Rolle sieht nämlich Server vor, die im Unternehmensnetz hinter der Firewall stehen. Für den Nachrichtenaustausch mit Mail-Servern im Internet via SMTP führt Microsoft jedoch eine neue Server-Rolle namens Edge Transport ein. Solche Maschinen befinden sich normalerweise in der DMZ und dienen als quasi Türsteher für Exchange-Systeme. Aufgrund der engen Integration von Exchange mit dem Active Directory (AD) könnte die exponierte Position des Edge Transport zu einer Gefahr für das Verzeichnissystem werden. Daher erhält ein Server in dieser Rolle ein eigenes anwendungsspezifisches Verzeichnis (ADAM) und muss somit nicht Mitglied einer AD-Domäne sein.
Aufgrund seiner Position besteht die vornehmliche Aufgabe eines Edge Transport darin, Spam auszusondern und Viren zu erkennen. Beim Filter für unaufgeforderte Werbe-Mails handelt es sich um eine Weiterentwicklung des "Intelligent Message Filter" (IMF), der bereits mit Exchange 2003 eingeführt wurde. Zum Lieferumfang von Exchange 2007 gehört "Forefront Security for Exchange Server". Die Software enthält mehrere Virenscanner von diversen Drittanbietern und kann bis zu sieben solche Engines parallel ausführen. Sie lässt sich auch auf einem Hub Transport oder Mailbox-Server ausführen. Ihre Benutzung erfordert allerdings den Erwerb einer eigenen Lizenz, sie ist nicht im Messaging-System enthalten. Alternativ bietet Microsoft die Möglichkeit, diese Aufgaben an seine gehosteten Exchange-Services auszulagern. Zu diesen Diensten zählen auch solche für Archivierung und Verschlüsselung.
Auch der Edge Transport kann ein- und ausgehende Mails anhand definierbarer Regeln kontrollieren und in den Nachrichtenfluss eingreifen. Während die Policies auf einem Hub Transport vor allem der Compliance gelten, dienen sie auf dem Außenposten der Mail-Hygiene. Da sich der Edge Transport nicht auf der gleichen Maschine zusammen mit anderen Exchange-Rollen installieren lässt, können kleinere Firmen darauf verzichten und den Hub Transport so konfigurieren, dass er direkt mit externen Mail-Servern kommuniziert. Microsoft rät von einer solchen Konstellation allerdings ab, weil der Rules Agent des Hub Transport nicht für die Aufgaben eines externen Brückenkopfs ausgelegt ist. Stattdessen sollte in solchen Fällen auf die gehosteten Dienste der Redmonder zurückgegriffen werden.