Segurança : Cisco Email Security Appliance

Como você usa o LDAP aceita a pergunta para validar o remetente de mensagens retransmitidas?

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Pergunta

Como você usa o LDAP aceita a pergunta para validar o remetente de mensagens retransmitidas?

Contribuído por Soren Petersen e por Siddharth Rajpathak, engenheiros de TAC da Cisco.

AVISO: Você pode somente executar um LDAP aceita a pergunta no envelope “correio” do endereço se a mensagem chega em um ouvinte público. O ouvinte privado não permite o uso do LDAP aceita perguntas. O LDAP aceita a pergunta é aplicado somente às conexões de entrada. Por este motivo da “o comportamento conexão” da política do fluxo de correio não deve ser ajustado para retransmitir para que esta instalação trabalhe.

Estão abaixo as etapas necessárias setup o LDAP aceitam a validação do remetente da pergunta:

  1. Para reservar/negue remetentes internos da retransmissão para fora ao Internet, segundo a existência de seu endereço do correio no LDAP, seu ouvinte privado terá que ser substituído com um ouvinte público. Neste exemplo o ouvinte público novo será nomeado “Outbound_Sender_Validation”.
     
  2. Crie um perfil novo do servidor ldap e setup um LDAP aceitam a pergunta para este perfil. Para obter o LDAP aceite a pergunta para validar o correio do envelope do endereço que você precisará de substituir {a} com {f} na corda da pergunta. Os detalhes em como configurar e o uso LDAP podem ser encontrados no guia de usuário avançado.

    Exemplo.: (mail= {a}) => (mail= {f})
     
  3. Permita o LDAP configurado aceitam a pergunta no ouvinte de “Outbound_Sender_Validation”.
     
  4. Vai do “às políticas correio > o acesso destinatário Table(RAT)” e comuta ao ouvinte público novo, “Outbound_Sender_Validation”. Para permitir o relé, ajuste “todos receptores restantes” para aceitar, e assegure-se de que esta seja a única entrada no RATO.
     
  5. Vai do “a vista geral CHAPÉU” e comuta ao ouvinte de “Outbound_Sender_Validation”. Aqui, você precisa somente um grupo do remetente. Para evitar o risco de um relé aberto do correio, é aconselhável estabelecer este grupo do remetente para combinar somente para os endereços IP de Um ou Mais Servidores Cisco ICM NT dos MTA que são permitidos retransmitir.
    • É importante que da “o comportamento conexão” da política atribuída do fluxo de correio não está ajustado para retransmitir porque este de outra maneira desabilitaria o uso do LDAP aceita a pergunta. 
    • Para assegurar que nenhum outro MTA pode conectar através do “Outbound_Sender_Validation” ajustou a política do padrão “TODO O” grupo do remetente ao OBSTRUÍDO.

O que é visto nos logs

AVISO: Baseado nesta instalação, a rejeção não é feita antes que o envelope Rcpt a endereçar esteja recebido. Isto é porque o LDAP aceita a pergunta foi pretendido originalmente para o receptor um pouco do que a validação do remetente. Isto igualmente aparece nos logs do correio, onde a rejeição LDAP é indicada na mesma linha de registo que o endereço destinatário:

Wed Feb 18 16:16:19 2009 Info: New SMTP ICID 2643 interface Management
(10.0.0.100) address 10.0.0.200 reverse dns host unknown verified no
Wed Feb 18 16:16:19 2009 Info: ICID 2643 ACCEPT SG RELAY_HOSTS match 10.0.0.200
rfc1918
Wed Feb 18 16:16:32 2009 Info: Start MID 2554 ICID 2643
Wed Feb 18 16:16:32 2009 Info: MID 2554 ICID 2643
From: <do_not_exist@example.test>
Wed Feb 18 16:16:39 2009 Info: MID 2554 ICID 2643 To: <good_user@example.com>
Rejected by LDAPACCEPT
Wed Feb 18 16:17:14 2009 Info: ICID 2643 close

Olhar esta entrada de registro conduzi-lo-ia acreditar que o endereço rejeitado é “good_user@example.com” mesmo que fosse realmente “do_not_exist@example.test” que é rejeitado.


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 118580