Верно ли я понимаю, что если у меня Exchange 2003 находится за шлюзом с ISA Server, то проверка Before Arrival у меня работать не будет? Пока что смотрю статистику - Before игнорируется по признаку ip whitelist, хотя сам белый список IP пустой.

неверно. У меня точно такая же схема, только вместо ORF установлен GFI MailEssential + GFI MailSecurity и идут проверки по SPF, DNSBL и прочим вариантам. Достаточно на ISA выставить правила, разрешающие выход по определенным портам для сервера, где стоит Exchange. Смотрите логи ISA, где она блочит запросы и разрешите их.

разрешил весь траффик наружу с почтового сервера ради эксперимента. Ничего не изменилось.
Просмотрел - ISA ломится только по 25, и 53. А на нее тоже по 25 только...
Никаких лишних протоколов.

Вот как выглядит лог...
Before Arrival Tested 2764 523
Before Arrival Allowed 0 0
Before Arrival Ignored 2764 523
Before Arrival Blacklisted 0 0
Before Arrival Spam ratio 0% 0%
Before Arrival IP whitelist Tests: 2764 / Hits: 2764 Tests: 523 / Hits: 523
Before Arrival Sender whitelist Tests: 0 / Hits: 0 Tests: 0 / Hits: 0
Before Arrival Auto sender whitelist Tests: 0 / Hits: 0 (disabled)
Before Arrival Recipient whitelist Tests: 0 / Hits: 0 Tests: 0 / Hits: 0
Before Arrival DNS whitelist (disabled) (disabled)
Before Arrival HELO blacklist (disabled) (disabled)
Before Arrival SPF test (disabled) (disabled)
Before Arrival IP blacklist (disabled) (disabled)
Before Arrival Sender blacklist (disabled) (disabled)
Before Arrival Recipient blacklist (disabled) (disabled)
Before Arrival Active Directory Tests: 0 / Hits: 0 (disabled)
Before Arrival Reverse DNS (disabled) (disabled)
Before Arrival Greylisting Tests: 0 / Hits: 0 Tests: 0 / Hits: 0

нашел статью (http://system-administrators.info/?p=1680), в которой рекомендуется настроить промежуточный сервер пересылки на базе стандартного SMTP-сервера Windows. И сделать это на роутере с ISA-server.
Не очень нравится мне система из двух почтовых серверов, может у кого-то есть другие предложение? Или собственный опыт и рекомендации...

Каким образом настроена публикация?

публикация настроена правилом
Allow | SMTP server (25 inbound) | from external | to 192.168.1.10 | All users.

ISA 2006? Есть мастер публикации почтового сервера. Он делает это более правильно. Тогда все запросы будут напрямую передаваться на Exchange, с сохранением исходных адресов. И все фильтры будут работать.

ISA 2004. Мастером публикаций не пробовал, попробую вечерком, когда все укатят по домам :) О результатах отпишусь тут.

Проверил. Мастером публикаций он создает точно такое же правило, как у меня уже есть. Один в один.

Версии сервис-паков на ISA?

Microsoft ISA Server 2004
Version: 4.0.2167.887

SP3 в общем. На винде на роутере правда первый, но не думаю, что это может так сильно влиять...

На Exchange в SMTP-логе в качестве клиентов какие адреса?

входящие идут с IP шлюза.
2009-02-18 08:27:31 192.168.1.1 head1.camp4.maillist.agava.net SMTPSVC1 MAINSERVER 192.168.1.10 0 EHLO - +head1.camp4.maillist.agava.net 250

Олег, есть мысли как не поднимая на роутере промежуточный SMTP-сервер для пересылки и перенося туда спам-фильтр сделать тестирование before arrival?

итак, Oleg Krylov'у спасибо за подсказку. Хорошее решение почти всегда является красивым, поэтому обошелся своими силами без дополнительного сервера. Последовательность действий выглядит следующим образом:
1. Лезем в лог-файл Exchange 2003, который по-умолчанию располагается %windir%\System32\LogFiles\SMTPSVC1, выбираем любой лог-файл
2. Находим строчку входящего подключения. Примечательно, что исходящие подключения маркируются параметром OutboundConnectionResponse записанным в поле cs-username, значит нам нужно строчка без этой записи.
3. Смотрим IP источника в этой строчке. В моем случае это было что-то вида 2009-02-18 08:27:31 192.168.1.1 head1.camp4.maillist.agava.net SMTPSVC1. Если IP - ваш внутренний это означает, что шлюз подменяет внешние адреса, и у вас есть два варианта - либо настраивать шлюз таким образом, чтобы он пробрасывал пакеты без изменения адреса отправителя, либо выносить ORF на шлюзовой комп, как это описано в статье (http://system-administrators.info/?p=1680).
4. У меня в качестве шлюза стоит Microsoft ISA Server 2004 SP3, хотя тут версии сервис-паков не имеют значения. Так же не играет роли каким образом вы пробрасывали порт SMTP наружу - "мастером произвольной публикации" либо "мастером публикации почтового сервера", потому что в результате создаются идентичные правила. За одним маленьким исключением. Достаточно в свойствах правила сменить на закладке "To" в разделе "Requests for the published server" пункт на "Request appear to come from original client". Этот пункт позволяет как раз пробрасывать без смены адреса, а значит использовать в ORF на внутреннем сервер можно!
5. Данный пункт автоматически выставляется при пробросе SMTP server-to-server communication и не выставляется в остальных случаях, тут Олег был прав (как всегда, впрочем:) )

надеюсь, что немного расписанной инструкции поможет избежать кому-нибудь подобной ошибки в дальнейшем.

Решение еще более элегантное и красивое - в документации к ORF на странице 3 разъясняется, что шлюз, равно, как и все резервные MX необходимо добавить в Intermrdiate Hosts. Так как при прохождении через различные промежуточные серверы smtp сохраняет в заголовках письма IP адреса, это позволяет вполне корректно применять любые фильтры.

там же в инструкции (http://www.orf-filter.ru/tuning.html) по тонкой настройке указано, что адреса локальных сетей класса A, B, C добавляются автоматически, нет нужды добавлять их в IHL вручную:
Что конкретно мне нужно добавить в список вспомогательных хостов?
Добавьте IP адреса каждого хоста, относящегося к ORF серверу. Обычно список таков:
- резервные MX,
- серверы с внешним интерфейсом в DMZ (когда ORF работает на выходном буфере),
- непрозрачные брандмауэры.

Обратите внимание на то, что список вспомогательных хостов, касающийся личных внутрисетевых адресов класса A, B и С выстраивается автоматически, вам не нужно добавлять их вручную. Адреса подразделяются следующим образом: 10.0.0.0 – 10.255.255.255 (Класс A), 172.16.0.0 – 172.31.0.0 (Класс B) и 192.168.0.0 – 192.168.255.0 (Класс C).
В моем случае ни автоматическая настройка, как написано в инструкции, на ручное добавление внутреннего адреса роутера не помогали - в логах ORF все равто отображался внутренний адрес роутера, а в мониторинге показывалось, что Before Arrival не работает по причине Before Arrival IP whitelist Tests